Datenschutz

Ineffizient, teuer und peinlich: Die Datenlandschaften der Polizeibehörden

Wollen Polizeibehörden Daten austauschen, scheitern sie meist nicht – wie gern behauptet – am Datenschutz, sondern an technischen Inkompatibilitäten. Rola Security Solutions verdient daran eine Menge Geld.

via Twitter/h4uk3

Nach Terroranschlägen dauert es nicht lange, bis Forderungen nach mehr Überwachung und mehr Datenaustausch laut werden. So auch bei den Anschlägen in Brüssel im März 2016, nach denen Bundesinnenminister Thomas de Maizière in den Tagesthemen forderte, man müsse „ran an die Datentöpfe“ und postulierte, in Krisenzeiten habe Sicherheit Vorrang vor Datenschutz.


netzpolitik.org - unabhängig & kritisch dank Euch.

Dass die entsprechenden Datentöpfe schon bestehen und die Akteure der Anschläge zuvor meist bereits polizeilich und nachrichtendienstlich bekannt waren, wird unter den Teppich gekehrt. So auch in Deutschland, wo eine vielfältige Dateienlandschaft bei Bundes- und Landespolizeibehörden existiert. Der schwarze Peter landet in der Regel beim Datenschutz, doch in der Realität verhindern Software-Inkompatibilitäten und andere technische Probleme eine effiziente Zusammenarbeit. Denn Datenaustausch zwischen Landes- und Bundespolizeien ist bei Straftaten wie Waffenhandel und Terrorismus – zumindest rechtlich – kein Problem.

Gemeinsame Ermittlungsdatei „Zwischenlösung“ – 2,3 Millionen Euro für einen Einsatz

Das verdeutlichen die Antworten der Bundesregierung auf eine Kleine Anfrage von Ulla Jelpke (unten im Volltext aus dem PDF befreit), der innenpolitischen Sprecherin der Linksfraktion im Bundestag. Ein Beispiel für die zerrüttete Dateienlandschaft ist die Gemeinsame Ermittlungsdatei „Zwischenlösung“ (GED), deren Name für sich spricht. Die Infrastruktur für dieses System wurde bundesweit am 31. Dezember 2012 im Nachgang des Bekanntwerdens des NSU und des daran geknüpften Ermittlungsversagens bereitgestellt. Mittels GED sollte es im Falle eines Terroranschlags oder ähnlicher Situationen möglich sein, dass Bund und Länder gemeinsam Informationen bereitstellen und einsehen können. Die Eingabe der Informationen muss dabei manuell erfolgen – Ermittler aus einem Bundesland müssen also die Daten aus ihrem jeweiligen Fallbearbeitungssystem herausnehmen und in das andere, mittlerweile 2,3 Millionen Euro teure GED-System eintragen. Eine offengelegte Schnittstelle existiert nicht. Und das, obwohl die Fallbearbeitungssysteme der meisten Bundesländer wie die GED vom Hersteller Rola Security Solutions stammt.

Unter diesen Voraussetzungen ist es nicht verwunderlich, dass die GED in den letzten 3,5 Jahren nur ein einziges Mal genutzt wurde. Laut Bundesregierung geschah dies in einem nicht näher spezifizierten Ermittlungsverfahren zu politisch rechts-motivierter Kriminalität, Beiträge lieferten die Länder Sachsen, Bayern und Rheinland-Pfalz. Da das konkrete Verfahren nicht angegeben ist, lässt sich nicht beurteilen, ob dies plausiblerweise alle drei Länder waren, in denen ermittlungsrelevante Informationen vorlagen oder ob eine Zuarbeit weiterer Länder durch die technischen Hürden unterblieb.

Manuelle Eingabemaske statt Standard-Schnittstelle

Nach den Terroranschlägen in Paris im November 2015 wurde ein anderes Verfahren zur gemeinsamen Ermittlungsarbeit genutzt. Es wurde der sogenannte BAO-Lagefall (Besondere Aufbauorganisation) ausgerufen, bei dem Informationen von Bundes- und Länderpolizeien in eine gemeinsame Datenbank eingepflegt werden. Diese ist Teil von INPOL-Fall, einem BKA-eigenen Informationssystem und dient der Bearbeitung „besonderer“ Situationen wie Katastrophen oder Terrorismus. Anstoß für den seit 2006 existierenden Datenverbund gab die damals stattfindende Fußball-WM, für die man gemeinsame Erkenntnisse sammeln können wollte.

Manche Bundesländer haben die Möglichkeit, über die Bund-Länder-Datei-Schnittstelle (BLDS) Informationen in dieses System einzuspeisen. Die Schnittstelle existiert ebenfalls seit 2006, doch nicht alle Länder haben sie in diesen zehn Jahren implementiert. Im BAO-Lagefall Paris nutzten nur sechs Länder – Baden-Württemberg, Bayern, Hessen, Nordrhein-Westfalen, Rheinland-Pfalz und Schleswig-Holstein – diese Variante der Datenübermittlung. Der Rest blieb bei einer manuellen Eingabemaske. Ähnlich sieht das auch für andere Dateien aus, etwa für die Datei Streugut, in der Ergebnisse kriminaltechnischer Untersuchungen gespeichert werden oder FUSIO für Organisierte Kriminalität. Bei der Verbunddatei IFIS (INPOL-Fall Innere Sicherheit) ist man noch vollständig auf die manuelle Dateneingabe angewiesen.

Betriebsaufnahme des Nachfolgesystems PIAV verzögert sich ins Unbestimmte

Es stellt sich die Frage, warum so viele Länder in den vergangenen zehn Jahren die BLDS nicht nutzten. Sie warteten auf den noch unfertigen Nachfolger, den Polizeilichen Informations- und Analyseverbund (PIAV), dessen Realisierungskosten die Bundesregierung 2013 auf 62 Millionen Euro schätzte. Eine an der Entwicklung beteiligte Person, [Klarstellung: Annette Brückner], schreibt auf police-it.org:

Die [Implementierung der BLDS] war dann doch den meisten Ländern viel zu teuer und das Problem wurde daher geflissentlich ausgesessen. Zumal in der Folgezeit ja die Hochzeit der Bund-Länder-Projektarbeit anbrach für die Konzeption und Entwicklung des PIAV. Wozu also noch BLDS- und INPOL-Fall unterstützen, wenn doch beim BKA und vielen Ländern das gleiche Fallbearbeitungssystem schon vorhanden war?

PIAV wurde bereits im Programm Innere Sicherheit 2008/2009 der Innenministerkonferenz der Länder als Ablösung der heterogenen Falldateien erwähnt. Seitdem verzögerte sich die Einführung stetig, eigentlich sollte das Projekt 2014 abgeschlossen sein. Mittlerweile, im Mai 2016, ging die „Stufe 1 ‚Waffen- und Sprengstoffkriminalität'“ in den Wirkbetrieb. Bislang, so die Bundesregierung, befinde man sich noch bis planmäßig Ende Juni in einer sogenannten Stabilisierungsphase, um auf Fehler in der Anfangszeit reagieren zu können.

Neben Waffen- und Sprengstoffkriminalität gibt es noch 15 weitere Deliktbereiche, die im PIAV erfasst sein sollen. Bis Ende 2020 sollen diese integriert werden, einen genauen Zeitplan gibt dafür aber es noch nicht. Die Zuschaltung der Stufe 2 mit Gewaltdelikten/gemeingefährlichen Straftaten und Rauschgiftdelikten plant man für Ende 2017. Es geht nur schleppend voran, die Regierung stört sich daran jedoch nicht. Jelpke fragt nach, was geplant ist, wenn die mit PIAV beabsichtigten Ziele nicht in einem „der aktuellen Bedrohungslage entsprechenden Zeitrahmen“ erreicht werden können. Darauf die lakonische Erwiderung der Regierung:

Zur Zeit sind keine Indikatoren feststellbar, die diese hypothetische Annahme stützen.

Ein Riesengeschäft für Rola Security Solutions

Ein Problem an PIAV und anderen polizeilichen Softwaresystemen ist die Herstellerfirma. Bei PIAV, der GED und länderspezifischen Fallbearbeitungssystemen trifft man immer wieder auf Rola Security Solutions. Das von der Deutschen Telekom übernommene Unternehmen ist quasi Hauptversorger im Polizeibereich. Elf Landeskriminalämter, das BKA, aber auch die Bundeswehr und Steuerehörden nutzen seine Software. Einfacher macht das die Zusammenarbeit nicht. Die Fallbearbeitungssysteme der einzelnen Länder haben unterschiedliche Spezifikationen, sodass Kompatibilität nicht ohne Weiteres besteht und die Anbindung an andere Systeme teuer bezahlt werden muss.

Zudem gibt es bei den Vergabeprozessen an Rola immer wieder Auffälligkeiten. Rola hat sich in eine Monopolstellung gebracht, Jannis Brühl schrieb für die Süddeutsche Zeitung: „Für Behördenaufträge hat Rola offenbar eine Art Abonnement. Mehrere erhielt das Unternehmen ‚freihändig‘, also ohne Ausschreibung.“

Fragestellerin Jelpke findet die Stellung Rolas problematisch und fordert mehr Eigenentwicklung:

Zu den zentralen Fallbearbeitungssystemen des BKA, die zugleich an mehrere Landeskriminalämter verkauft wurden, liegt dem BKA nicht einmal der Quellcode vor. So kann sich die Software-Firma immer wieder neue Aufträge für Weiterentwicklungen und Schnittstellen zwischen Bundes- und Landeskriminalämtern sichern, die nach Ansicht der Bundesregierung nicht einmal ausgeschrieben werden müssen. Wirtschaftlicher wäre, wenn sich die Behörden die notwendigen technischen Fähigkeiten endlich selbst ins Haus holen würden.

Fazit

Die IT-Landschaft der Polizei ist eine Blamage, findet Jelpke.

Regelmäßig schaffen die deutschen Polizeibehörden teure Anwendungen für den Informationsaustausch an, die aber entweder kaum genutzt werden oder technisch nicht funktionieren. Die Forderung des Bundesinnenministers, ran an die Datentöpfe zu wollen, ist nicht nur politisch hoch bedenklich. Sie blamiert sich auch vor dem Unvermögen der Behörden, überhaupt schon bestehende rechtliche Möglichkeiten zu Informationsaustausch effizient zu nutzen.

Eine der größten Anschaffungen für die Polizeien von Bund und Ländern, der Polizeiliche Informations- und Analyseverbund, kommt einfach nicht zum Abschluss. Schon 2008 durch die Innenminister beschlossen, steht nun noch nicht einmal ein Datum fest, zu dem PIAV in vollem Umfang seinen Betrieb aufnehmen wird. Für Kritikerinnen und Kritiker des überbordenden polizeilichen Informationsaustauschs sicherlich erfreulich, für die Politiker der Inneren Sicherheit einfach peinlich – und teuer obendrein.

Doch für die Kritiker der polizeilichen Datensammlung stellt diese Inkompetenz mitnichten eine Erleichterung dar. Denn das Unvermögen, die bestehenden technischen Möglichkeiten zu nutzen, hält die politischen Entscheidungsträger nicht davon ab, noch mehr Datensammelei und Eingriffsbefugnisse zu fordern. Die Wirksamkeit dieser geforderten Maßnahmen ist dabei in den meisten Fällen nicht nachweisbar – Vorratsdatenspeicherung und die Identifikationspflicht für Prepaid-SIM-Karten sind dabei nur zwei Beispiele. Die Grundrechtseingriffe aber sind real.

Hinweis: Da Vorwürfe der Ähnlichkeit mit einem anderen Artikel zum Thema aufkamen: Die Ähnlichkeit des Aufbaus dürfte im Aufbau der Kleinen Anfrage begründet sein, an dem sich beide Beiträge orientieren. Der Artikel auf police-it.org und der Rest der Seite sei jedem empfohlen, da dort noch auf andere Aspekte von polizeilicher IT detailliert eingegangen wird.

Antworten auf die Kleine Anfrage aus dem PDF befreit

Kleine Anfrage der Abgeordneten Ulla Jelpke u. a. und der Fraktion DIE LINKE.

Funktionsweise des Informationsaustauschs zwischen Polizeibehörden in Deutschland

BT-Drucksache 18/08356

Vorbemerkung der Fragesteller:

Im Nachgang zu den terroristischen Anschlägen vom 22. März 2016 in Brüssel wurde im politischen Raum mehrfach die Forderung nach einem Ausbau des Datenaustauschs der Polizeibehörden in den Mitgliedsstaaten der Europäischen Union erhoben. So äußerte Bundesinnenminister de Maizière in den ARD- Tagesthemen noch am Tag der Anschläge, eine Verknüpfung der bislang getrennten „Datentöpfe“ der Sicherheitsbehörden sei nötig. „Datenschutz ist schön, aber in Krisenzeiten hat Sicherheit Vorrang“, führte der Minister im Interview weiter aus.

Es bestehen allerdings schon erhebliche Zweifel, ob ein mehr an Daten und Zugriff auf mehr Datenbanken, die immer auch mit Grundrechtseingriffen einhergehen, überhaupt zu einer verbesserten Gefahrenabwehr führen. So führte Sascha Lobo in einer Kolumne unter dem Titel „Terror und Datenwahn“ auf Spiegel Online vom 30.03.2016 aus, dass alle identifizierten Attentäter der einschlägigen Anschläge der letzten zwei Jahre zuvor polizeilich bekannt waren. Auch wird immer Wieder darüber berichtet, dass bestehende Möglichkeiten des Informationsaustauschs zwischen den EU-Staaten kaum genutzt werden, oder die zugelieferten Daten aufgrund stark abweichender Erfassungspraxen nicht zu belastbaren Lagebildern führen („Warum Europa im Kampf gegen den Terror versagt„, Süddeutsche Zeitung vom 24. März 2016).

Auch bezogen auf die Bundesrepublik ist eine kritische Analyse der polizeilichen Aufgabenwahrnehmung erforderlich. Auf dem Internetportal police-it.org‚ das sich mit der Polizei und ihren Informationssystemen beschäftigt, wurden in einem Beitrag unter der Überschrift „Reine Schaufensterpolitik: De Maizière will ‚ran an die Datentöpfe‘“ deutliche Zweifel geäußert, ob die Polizei derzeit überhaupt in der Lage ist, ihre bereits bestehenden Befugnisse und Pflichten zur Weitergabe von Daten untereinander nach bestehenden Rechtsgrundlagen wahrzunehmen.

Selbst vom gleichen Anbieter (rola Security Solutions GmbH) beschaffte, so genannte „Fallbearbeitungssysteme“, die beim Bundeskriminalamt (BKA), der Bundespolizei (dort b-case) und zwei Dritteln der Landeskriminalämter (LKA, dort RSCase) genutzt würden, seien demnach nicht in der Lage, miteinander Informationen auszutauschen. Um in der urwüchsig entstandenen IT-Landschaft der deutschen Polizeibehörden überhaupt zu einem digitalen Datenaustausch zu kommen, seien in der Vergangenheit unterschiedliche Lösungen entwickelt worden. Schon seit Jahren existieren zahlreiche, so genannte Verbunddateien, „Datentöpfe“ für spezifische Anwendungsbereiche, in die die Polizeibehörden der Länder und des Bundes Informationen einstellen und im Gesamtbestand suchen können. Die meisten dieser Verbunddateien nutzen das vom BKA selbst (weiter-)entwickelte Informationssystem Inpol-Fall. Seit 2006 stellt das Bundeskriminalamt hierfür die Bund-Länder-Datei-Schnittstelle (BLDS) zur Verfügung. Dabei handelt es sich um ein standardisiertes Verfahren, das die IT-Systeme der Teilnehmer (=Länder) nutzen können, um Informationen aus den Landessystemen elektronisch bei der Verbunddatei im BKA anzuliefern und von dort abzurufen.

Die technischen Schwierigkeiten beim Datenaustausch bestünden jedoch fort. Auch eine von der Innenministerkonferenz im Herbst 2011 beschlossene Anschaffung einer „Gemeinsamen Ermittlungsdatei – GED – Zwischenlösung“, die insbesondere dann zum Einsatz kommen solle, wenn das BKA im Rahmen der Gefahrenabwehr oder der Strafverfolgung im Zusammenhang mit dem internationalen Terrorismus aktiv wird, habe die altbekannten technischen Schwierigkeiten. police-it.org berichtet
unter Bezugnahme auf die Pressestelle des BMI, dass die GED derzeit nicht über Schnittstellen verfüge, die eine Datenanlieferung aus den Landesfallbearbeitungssystemen erlaube. Dazu müssten eigens installierte Terminals genutzt werden, was zu Doppelarbeit bei den Landesbehörden führe.

Mit der GED sollte nur eine Zwischenlösung gefunden werden, so lange die schon 2008 beschlossene Schaffung eines „Polizeilichen Informations- und Analyseverbundes“ (PIAV) noch nicht realisiert ist. Dieses neue Verbundsystem PIAV hinkt den Planungen weit hinterher. Mit den Vorarbeiten war bereits 2007 begonnen worden.

PIAV soll den Informations- und Nachrichtenaustausch zwischen Polizeibehörden des Bundes und der Länder verbessern und erweitern: Anders als bei bisherigen Verbundlösungen sollen auch solche Informationen untereinander geteilt werden, die im Rahmen der polizeilichen Gefahrenabwehr bzw. noch vor dem Abschluss eines strafrechtlichen Ermittlungsverfahrens erhoben und erfasst werden.

Dazu sollen die PIAV-Teilnehmersysteme über ein standardisiertes Verfahren und auf der Basis des von allen einheitlich verwendeten, gemeinsamen Informationsmodells Polizei (IMP) Informationen beim PIAV-Zentralsystem im BKA anliefern, sowie dort bearbeiten und recherchieren können. Außerdem soll es möglich sein, Informationen und Nachrichten auch bi- bzw. multilateral zwischen einzelnen PIAV-Teilnehmern auszutauschen. Der Auftrag für das Zentralsystem PIAV Operativ Zentral wurde an die Firma Rola Security Solutions GmbH vergeben. Die Inbetriebnahme einer ersten, funktional und fachlich auf den Bereich der Waffen- und Sprengstoffdelikte beschränkten Ausbaustufe von PIAV ist nach Angaben der Bundesregierung gegenüber dem Haushaltsausschuss des Bundestages dennoch erst für „Mitte 2016“ geplant, die letzte Ausbaustufe soll im Jahr 2020 mit dem Staatsschutzbereich erreicht werden. (https://police-it.org/schaufensterpolitik-de-maiziere-will-ran-an-die-datentoepfe-11031).

Vorbemerkung:
Die Bundesregierung ist nach sorgfältiger Abwägung zu der Auffassung gelangt, dass eine Beantwortung der Frage 6 in offener Form ganz oder teilweise nicht erfolgen kann. Die erbetenen Auskünfte sind geheimhaltungsbedürftig, weil sie Informationen enthalten, die im Zusammenhang mit der Arbeitsweise und Methodik der von der Kleinen Anfrage betroffenen Behörden und insbesondere deren Aufklärungsaktivitäten und Analysemethoden stehen.

Die Antworten auf die Kleine Anfrage beinhalten zum Teil detaillierte Einzelheiten zu den technischen Fähigkeiten und nachrichtendienstlichen Verfahrensweisen der Behörden. Aus ihrem Bekanntwerden könnten Rückschlüsse auf den Modus Operandi, die Fähigkeiten und Methoden der Nachrichtendienstbehörden gezogen werden. Insofern könnte die Offenlegung entsprechender Informationen die Sicherheit der Bundesrepublik Deutschland gefährden oder ihren Interessen schweren Schaden zufügen. Deshalb sind die entsprechenden Informationen zur Frage 6 als Verschlusssache gemäß der Allgemeinen Verwaltungsvorschrift des Bundesministeriums des Innern zum materiellen und organisatorischen Schutz von Verschlusssachen (VS-Anweisung – VSA) mit dem VS-Grad „NUR FÜR DEN DIENSTGEBRAUCH“ eingestuft.

1. Zu bzw. nach welchen Ereignissen wurde in diesem Jahr und in den vergangenen beiden Jahren die Gemeinsame Ermittlungsdatei „Zwischenlösung“ (GED) genutzt?

a) Aus welchen der am jeweiligen Verfahren beteiligten Länder erfolgte die Dateneingabe

  • via eigens installierter GED- Terminals bzw.
  • via direkter elektronischer Schnittstelle zwischen Landessystem und GED-System bzw.
  • mit anderen Verfahren (z.B. Übermittlung von Informationen via Email, Fax oder EPOST)?

b) Trifft es zu, dass das Zentralsystem der GED „Zwischenlösung“ beim BKA nicht über eine Schnittstelle verfügt, die gegenüber den Ländern offengelegt ist und somit die Entwicklung einer Prozedur zur elektronischen Anlieferung von Informationen bei der GED ermöglicht?

c) Wie hoch war das Aufkommen an Meldungen an die GED durch die Länder anteilig pro Ereignis bzw. über sämtliche Einsatzfälle der GED in diesem Zeitraum?

Zu 1.

Bisher wurde die Gemeinsame Ermittlungsdatei-Zwischenlösung (GED) nur in einem BKA-Ermittlungsverfahren (Bundeskriminalamt) aus dem Bereich PMK-Rechts genutzt.

a) Eine Datenerfassung in dem BKA-Ermittlungsverfahren erfolgte durch die Bundesländer Sachsen, Bayern und Rheinland-Pfalz durch Eingabe über GED-Terminals.

b) Die GED „Zwischenlösung“ verfügt über keine gegenüber den Ländern offen gelegte Schnittstelle.

c) Die Erhebung der konkreten Anzahl der erfassten Meldungen durch die Länder anteilig pro Ereignis in dem unter Ziffer 1) genannten BKA-Ermittlungsverfahren ist in der kurzen Frist nicht möglich gewesen.

2. Welche Kosten sind für die Entwicklung der GED angefallen, wer waren bzw. sind Auftragnehmer für Entwicklung, Beratungsleistungen, Anschluss an bestehende EDV-Infrastruktur des BKA und laufende Kosten für die Wartung (bitte mit jeweiliger Art der Auftragsvergabe und Kosten auflisten)?

Zu 2.

Nachfolgende Auflistung zeigt gemäß Projektabschlussbericht der Gemeinsame Ermittlungsdatei Großschadenslage – TE (GED) -Zwischenlösung auf Basis b-case die Kosten zuzüglich der Wartung auf.

Beschreibung und Basis Ausgaben in Euro Kostenzuordnung
HP Infrastruktur 350.961,94 Hardware
Citrix Lizenzen 218.048,78 Lizenzkosten
Netzwerkkabel 3.457,47 Hardware
ServerPass Standard Zertifikate 1.285,20 Zertifikatskosten
Erwerb von zwei weiteren Datenbankinstanzen – Lizenzen für rs-Case Software für GED 23.800,00 Lizenzkosten
Ausweitung der Nutzungsberechtigung b-case für GED 1.000.000,00 Lizenzkosten
Zusatzmodul rsC-623: Info- u. Störungsanzeige in der PIA 8.925,00 Lizenzkosten
Modul BLDS-Schnittstellenadministration 59.500,00 Lizenzkosten
Wartung der Ausweitung der Nutzungsberechtiung b-case für GED Rola 580.833,33 Wartung
Wartung Citrix-Lizenzen 48.132,41 Lizenzkosten
Gesamtkosten 2.294.944,13

Eine weitere Aufschlüsselung nach Vergabeverfahren und Auftragnehmern war in der gegebenen Frist nicht möglich.

3. Bei welchen der einschlägigen terroristischen Großlagen der vergangenen zwei Jahre im Aus- und Inland (insbesondere Anschläge in Paris im Januar und November 2015, Anschläge in Brüssel, Länderspielabsage in Hannover, Lage in München in der Silvesternacht) war ein entsprechender „BAO-Lagefall“ ausgerufen mit der Folge, dass einschlägige Informationen aller Behörden in entsprechenden Verbunddateien zu melden waren?

a) Welche Verbunddatei (BAO-Lagefall o.ä.) wurde jeweils für den Informationsaustausch entsprechender relevanter Informationen genutzt?

b) Wie erfolgte in diesen Fällen ein Informationsaustausch zwischen Ländern und dem Bund, wenn im Einzelfall kein BAO-Lagefall ausgerufen wurde?

c) Welche Teilnehmerbehörden haben Informationen elektronisch via BDLS-Schnittstelle angeliefert?

d) Wie erfolgte die Anlieferung von Informationen von solchen Teilnehmerbehörden, die nicht die BLDS-Schnittstelle genutzt haben?

e) Wie gestaltet sich in diesem Fall das Verfahren der Informationserfassung, -aufbereitung, -übermittlung an das BKA, ggf. erneute Erfassung und Einspeicherung im Zielsystem?

f) Von welchem Datum stammen die Errichtungsanordnung(en) zu den entsprechend (a) genutzten Verbunddatei(en)?

Zu 3.

Das BKA hat in den vergangenen zwei Jahren im Zusammenhang mit den Anschlägen in Paris einen BAO-Lagefall ausgerufen (BAO Paris).

a) Zur Abbildung und Bearbeitung von Hinweisen im Zusammenhang mit den Anschlägen in Paris/Brüssel steht eine INPOL-Fall-Anwendung mit der Bezeichnung „Einsatzlage Paris/Brüssel“ zur Verfügung.

b) Die Übermittlung relevanter Hinweisinformationen zur Bewältigung einer polizeilichen AAO- oder BAO-Lage erfolgt außerhalb eines ausgerufenen BAO-Lagefalls auf konventionellem Weg unter Beachtung von Datenschutz- und Geheimschutzaspekten, mittels E-Mail, E-Post810, VS-Mail und ElcroDat.

c) Die Bundesländer Baden-Württemberg, Bayern, Hessen, Nordrhein-Westfalen, Rheinland-Pfalz und Schleswig-Holstein nutzen die Möglichkeit zur Übermittlung von Daten per BLDS.

d) Für alle anderen Bundesländer besteht die Möglichkeit zur manuellen Erfassung über eine bereitgestellte Eingabemaske.

e) Die Daten werden in den Quellsystemen der Bundesländer manuell erfasst und per Schnittstelle an das Zielsystem (BAO-Lagefall) angeliefert. Bundesländer ohne diese Möglichkeit erfassen die Daten manuell über eine zentral bereitgestellte Eingabemaske im Zielsystem.

f) Die Errichtungsanordnung ist auf den 14. Dezember 2015 datiert.

4. Welche Verfahren der Informationsanlieferung bei der BKA-Zentralstelle wurden seitens der Länderpolizeibehörden und der beiden Bundespolizeibehörden zwischen 2013 und heute tatsächlich praktisch im dauerhaften Wirkbetrieb genutzt?

a) zur Anlieferung von Informationen bei der vom BKA geführten Antiterrordatei (ATD)?

b) zur Anlieferung von Informationen bei der vom BKA geführten Rechtsextremismus-Datei (RED)?

c) zur Anlieferung von Informationen bei den zentral vom BKA gehosteten Verbunddateien BAO-Lagefall, Streugut, FUSIO, DOK DEO und IFIS (bitte einzeln ausführen)?

Zu 4. und a)

Die Datenanlieferung an die Antiterrordatei (ATD) erfolgt entweder automatisiert per Schnittstelle über die Fallbearbeitungssysteme INPOL-Fall, KRISTAL und b-case (Landeskriminalämter, BKA) oder direkt über die ATD-Oberfläche (Berlin, Niedersachsen, Zollkriminalamt [ZKA] und Bundespolizei [BPOL]). Über die ATD-Oberfläche werden außerdem durch alle Polizeibehörden solche Daten in die ATD übertragen, deren Geheimhaltungsgrad höher als „Verschlusssache – Nur für den Dienstgebrauch (VS-NfD)“ liegt.

b) Die Datenanlieferung an die Rechtsextremismus-Datei (RED) erfolgt analog zu dem unter 4a) dargestellten Verfahren, allerdings ist das ZKA nicht an der RED beteiligt.

c) Zu den zentral vom BKA gehosteten Verbunddateien „BAO-Lagefall“, „Streugut“, „Fusio“ und „DEO“ kann die Anlieferung von Informationen sowohl über die BLDS-Schnittstelle als auch manuell über eine zentral bereitgestellte Eingabemaske erfolgen. Die Verbunddatei „IFIS“ wird nur manuell bereitgestellt.

5. Welches Verfahren zum Informationsaustausch wurde im Zeitraum 2013 bis heute in welchen Fällen tatsächlich praktisch genutzt für den Informationsaustausch zwischen Ländern und Bund im Fall einer Großschadenslage im Sinne der Anwendung GSL?

Zu 5.

Die Anwendung GSL steht zur Abbildung von Informationen im Zusammenhang mit Großschadenslagen zur Verfügung und bietet Bund und Ländern die Möglichkeit, Daten manuell oder per BLDS zu erfassen. Im Zeitraum 2013 bis heute ist die Anwendung nicht zum Informationsaustausch zwischen Bund und Ländern im Rahmen einer Großschadenslage eingesetzt worden.

6. Welche vertraglichen Möglichkeiten der Einsichtnahme und Prüfung des Quellcodes für die Anwendungskomponenten auf den Clients als auch für die Serverkomponenten stehen den beschaffenden Bundesbehörden zu für die bei der Firma Rola Security Solutions GmbH beschafften Informationssysteme (z.B. RSFrame) und Fallbearbeitungssysteme (z.B. RSCase / b-case) und die auf dieser Basis betriebenen Informationssysteme von Sicherheitsbehörden des Bundes (Zentralsystem für NADIS-Neu beim Bundesamt für Verfassungsschutz, Zentralsystem für PIAV-Operativ Zentral, für die Gemeinsame Ermittlungsdatei (GED) und die Antiterrordatei beim BKA, Fallbearbeitungssystem B-CASE für BKA und Bundespolizei)?

a) Wurden solche Einsichtnahmen und Prüfungen in der Vergangenheit bereits durchgeführt, wenn ja: wann und durch wen?

b) Welcher Änderungs-‚ Korrektur- und Erweiterungsbedarf ergab sich in Folge solcher Prüfungen?

c) Welche Behörden des Bundes sind in diese Prüfungen eingebunden / gewesen?

Zu 6.

Im BKA sind derzeit zwei Systeme der Firma Rola im Einsatz: Das Fallbearbeitungssystem b-case (inkl. GED) und das Zentralsystem PIAV-Z.

Beim Fallbearbeitungssystem b-case ist im Rahmenvertrag für BKA und BPOL eine Regelung zur Nutzung des Quellcode in folgenden Fällen enthalten:

  • „über das Vermögen der Auftragnehmerin die Eröffnung des Insolvenzverfahrens beantragt wird,
  • über das Vermögen der Auftragnehmerin das Insolvenzverfahren eröffnet wird,
  • ein Antrag auf Eröffnung des Insolvenzverfahrens über das Vermögen der Auftragnehmerin mangels Masse abgewiesen wird.“

Weitere Möglichkeiten der Einsichtnahme und Prüfung des Quellcodes wurden im Rahmenvertrag nicht vereinbart. Der Quellcode zu b-case ist im BKA hinterlegt.

Für PIAV-Operativ Zentral musste der Auftragnehmer vertraglich garantieren, dass die Software u. a. frei von nicht in der Programmbeschreibung der Software beschriebenen Funktionalitäten ist, die geeignet sind, die Integrität, Vertraulichkeit und Verfügbarkeit der Software, anderer Soft- und/oder Hardware insbesondere der Systemumgebung zu gefährden. Darüber hinaus ist vertraglich festgelegt, dass eine Untersuchung des Quellcodes veranlasst werden kann. Der Quellcode zu PIAV-Operativ Zentral ist im BKA hinterlegt.

Das System ATD (sowie auch RED) sind Fachverfahren, die BKA-intern entwickelt wurden und gepflegt werden. Daher ist die Mitwirkung von Fremdfirmen bei Betrieb bzw. Aktualisierung dieser Verfahren nicht notwendig.

a) bis c)

Die Fragen werden wegen des Sachzusammenhangs gemeinsam beantwortet. Bisher wurde eine entsprechende Einsichtnahme nicht getätigt.

Darüber hinaus wird auf den „VS-NUR FÜR DEN DIENSTGEBRAUCH“ eingestuften Antwortteil gemäß Vorbemerkung der Bundesregierung verwiesen.

7. Welche Schlussfolgerungen und Konsequenzen zieht die Bundesregierung angesichts der aktuell vorliegenden Erfahrungen mit dem polizeilichen Informationsaustausch aus dem Vorschlag des Bund Deutscher Kriminalbeamter (BDK), „die im Grundgerüst bereits bestehende GED entsprechend für die Nutzung für Länder, welche beim BKA hosten möchten, auszubauen“ und damit die landeseigenen Fallbearbeitungssysteme zu ersetzen (siehe http://www.bdk.de/der-bdk/aktuelles/artikel/polizeiliche-it-landschaft-gleicht-einem-flickenteppich)?

Zu 7.

Konkrete Anforderungen der Bundesländer an das BKA in dieser Zielrichtung liegen hier nicht vor.

8. Sind der Bundesregierung andere IT-Systeme/-Produkte im Einsatz von Sicherheitsbehörden des Bundes bekannt, in denen der Hersteller an unterschiedliche Bedarfsträger miteinander nicht kompatible Versionen der gleichen Software ausliefert, sodass Schwierigkeiten beim Austausch von Informationen bestehen,

a) wenn ja, welche IT-Systeme/Produkte und Hersteller;

b) inwiefern kann man dabei ein ökonomisches Interesse der Hersteller unterstellen, bei der öffentlichen Hand auf diesem Weg weitere Aufträge für die notwendige Programmierung von Schnittstellen zwischen ihren eigenen IT-Systeme und -Produkte zu generieren;

c) welche Schlussfolgerungen und Konsequenzen zieht die Bundesregierung aus diesem Umstand für den Aufbau eigener Fähigkeiten und Ressourcen für das Controlling von IT-Beschaffungsmaßnahmen

d) und hat sich die Bundesregierung mit dieser Problematik im Rahmen der IT-Strategie bzw. der IT-Konsolidierung Bund befasst?

Zu 8.

a) bis c)

Es sind der Bundesregierung keine von Sicherheitsbehörden des Bundes eingesetzten IT-Systeme/-Produkte bekannt, in denen der Hersteller an unterschiedliche Bedarfsträger miteinander nicht kompatible Versionen der gleichen Software ausliefert, sodass Schwierigkeiten beim Austausch von Informationen bestehen.

Auch bei den rsCase-Systemen besteht entgegen der Einleitung der Kleinen Anfrage die Möglichkeit eines Datenaustauschs über Ex-und Importfunktionalitäten (z. B. IMP- oder FTS-Ex-und Import).

9. Mit welcher Beschaffungsmaßnahme (bitte Nummer der Auftrags- und Vergabebekanntmachung angeben) wurden für das Bundeskriminalamt und die Bundespolizei die für den Einsatz im PIAV notwendigen Erweiterungen bzw. Zusätze (z.B. Schnittstellen) des bei den beiden Bundespolizeibehörden eingesetzten Fallbearbeitungssystems b-Case beauftragt, die in der Leistungsbeschreibung für den veröffentlichten Rahmenauftrag für das System PIAV-Operativ Zentral nicht, z.B. als gesondertes Los, enthalten sind und daher durch diesen Rahmenvertrag nicht abgedeckt sein können?

Zu 9.

Die Beschaffung der Erweiterungen bzw. Zusätze (z.B. Schnittstellen) von b-case im BKA und in der BPOL erfolgte über den bestehenden Rahmenvertrag zum Betrieb und Weiterentwicklung des Software-Produktes „rsCase“ ( B2.60-1946/11 VV:1).

Dieser umfasst im Hauptsächlichen die Weiterentwicklung des Fallbearbeitungssystems entsprechend kundenspezifischer Anforderungen. Ein gesondertes Vergabeverfahren für die Weiterentwicklung des Fallbearbeitungssystems von BPOL und BKA war somit nicht notwendig.

10. Wann rechnet die Bundesregierung mit der Aufnahme des Wirkbetriebs für die erste Ausbaustufe von PIAV-Operativ für Waffen- und Sprengstoffdelikte?

Zu 10.

Am 2. Mai 2016 hat PIAV Stufe 1 „Waffen- und Sprengstoffkriminalität“ planmäßig den Wirkbetrieb aufgenommen. Bis zum 10. Mai 2016 wurden sukzessive alle 19 PIAV-Teilnehmer zugeschaltet. PIAV befindet sich bis zum 30. Juni 2016 noch in einer Stabilisierungsphase, um frühzeitig auf ggf. auftretende Fehler in der Anfangszeit reagieren zu können.

11. Welche weiteren Deliktsbereiche sollen über den PIAV-Operativ abgedeckt werden, und zu wann ist nach derzeitigem Stand mit der Aufnahme des Wirkbetriebs für die entsprechenden PIAV-Ausbaustufen zu rechnen? (bitte einzeln aufführen)?

Zu 11.

Die derzeitige Planung von PIAV-Operativ sieht nachfolgende Deliktsbereiche vor, die in Stufen bis zum Jahr 2020 umgesetzt werden:

  • Waffen- und Sprengstoffkriminalität
  • Rauschgiftkriminalität
  • Gewaltdelikte/Gemeingefährliche Straftaten
  • Eigentumskriminalität und Vermögensdelikte
  • Sexualdelikte
  • Cybercrime
  • Dokumentenkriminalität
  • Schleusung/Menschenhandel/Sexuelle Ausbeutung
  • Korruption
  • Arzneimittelkriminalität
  • Falschgeldkriminalität
  • Wirtschaftskriminalität/ Umwelt- und Verbraucherschutzdelikte
  • Geldwäsche
  • Organisierte Kriminalität
  • Politisch motivierte Kriminalität

Der Start des Wirkbetriebs für die 2. Stufe des PIAV mit den Dateien „Gewaltdelikte/Gemeingefährliche Straftaten“ und „Rauschgiftdelikte“ ist für Ende 2017 geplant. Die weitere Realisierung ist noch nicht konkret terminiert.

12. Wird der Aufbau der Komponente PIAV-Strategisch und der Module Lagebildmodul und Früherkennungsmodul ebenfalls weiterverfolgt und wie sieht die Planung zur Konzeption, Entwicklung und Vorbereitung des Wirkbetriebs und des Wirkbetriebs nach derzeitigem oder dem letzten bekannten Stand aus?

Zu 12.

Die Konzeption von PIAV sieht eine operative und eine strategische Komponente vor. Insbesondere zur Risikominimierung haben sich Bund und Länder gemeinsam darauf verständigt, zunächst mit der Realisierung von PIAV-Operativ zu beginnen. Gegenwärtig werden von Bund und Ländern jedoch parallel grundlegende Fragestellungen für PIAV-Strategisch geklärt.

13. Wie und wann erfolgt eine Erfolgskontrolle hinsichtlich der für den PIAV definierten Ziele und wer erhält wann und in welcher Form Kenntnis von den Ergebnissen dieser Überprüfung?

Zu 13.

Durch Gremien der Innenministerkonferenz wurden bereits Aufträge zur Evaluation bzw. Erfolgskontrolle zu PIAV-Operativ adressiert. Hierzu wurde eine Bund-Länder-Arbeitsgruppe einberufen. Erste Ergebnisse der Evaluation von PIAV werden ein Jahr nach Wirkbetriebsaufnahme der 1. Stufe erwartet.

14. Existierten Überlegungen oder Planungen für den Fall, dass die mit dem PIAV beabsichtigten und definierten Ziele nicht bzw. nicht in dem für die Innere Sicherheit notwendigen Umfang bzw. dem der aktuellen Bedrohungslage entsprechenden Zeitrahmen erreicht werden und, wenn ja, welche?

Zu 14.
Nein. Zurzeit sind keine Indikatoren feststellbar, die diese hypothetische Annahme stützen.

11 Kommentare
  1. Wenn ich als pädagogische Fachkraft so etwas bemerke, rufe ich gleich die Polizei an? Bei flexibleren Lehrplänen und mehr Zeit wären ja auch Gespräche in der Klasse möglich über unterschiedliche Religionen und vielleicht einmal ein Rollenspiel mit vertauschten Rollen: Sei doch du mal jetzt ein Sikh, und du eine Christin und du…

  2. Ich finde es ja wirklich löblich, dass netzpolitik.org sich auch dieses Themas annimmt. Es ist wichtig und gut, dass die große Plattform hier das ganze anpackt und einem breiten Publikum bewusst macht, mit wie viel Inkompetenz Steuergelder rausgeschmissen werden. Was ich aber ein bisschen – nun – komisch finde, ist die Tatsache, dass dieser Artikel so ein wenig nachempfunden klingt nach einem Artikel auf police-it.org (https://police-it.org/hart-an-der-bankrotterklaerung-bmi-zur-funktionsweise-des-polizeilichen-informationsaustauschs-11681). Insofern, eine kleine Quellenangabe fände ich da doch wohl gerechtfertigt. Oder vielleicht einen nachempfundenen Grimme Online Award – würde sich police-it sicher drüber freuen :)

  3. Liebe Kollegin Anna,

    wenn ich das richtig verstanden haben, dann haben Sie keinen Journalismus gelernt oder studiert, sondern sind so eine Art „Seiteneinsteigerin“ die nach einem Praktikum bei netzpolitik nun dort schreibt und den Technik-Erklärbär macht. Klingt süss. Sehen Sie , auch Annette Brückner kommt aus der IT-Welt, (Polizeiliche IT) hat gemeinsam mit ihrem Partner schon einiges geleistet und betreibt jetzt vor dem Hintergrund eines fundiertem Wissens einen Blog, der heißt „Police IT“. Dabei handelt es sich, auch wenn die liebe Kollegin Anna und vielleicht noch weitere Personen bei netzpolitik das nicht verstehen können oder wollen, um einen Blog, der nach journalistischen Grundsätzen funktioniert. Weil das so ist, werde ich dort auch künftig vermehrt schreiben.
    Als jemand, der seit 1979 von Beruf Journalist ist, möchte ich der lieben Kollegin Anna und ihrem Auftraggeber sagen, dass es einfach nur schlechter Stil ist, wenn man wie die junge Kollegin Anna hingeht und einen Artikel einerseits zwar nicht direkt abschreibt, aber doch „nach empfindet“ und gleichzeitig die Autorin dieses Textes diffamiert. So geschehen in Ihrem Beitrag unter der Zwischenüberschrift:
    „Betriebsaufnahme des Nachfolgesystems PIAV verzögert sich ins Unbestimmte.“ Dort wird Frau Brückner lediglich als .“Eine an der Entwicklung beteiligte Person“
    bezeichnet, die auf police-it.de“ schreibt.
    Mal abgesehen davon, dass es so sachlich auch nicht stimmt, aber was sie macht, erklärte Annette Brückne selbst im Impressum von Police IT:
    „Mein Name ist Annette Brückner, ich bin Initiatorin und Autorin von vielen Beiträge auf dieser Seite und Geschäftsführerin der Cives GmbH.
    Mit Informationssystemen für Polizeibehörden hatte ich mehr als zwanzig Jahren zu tun, sowohl als Entwicklerin, als auch als Projektleiterin. Zuvor war ich, nach einer kaufmännischen Ausbildung und journalistischem Grundstudium in München, mehrere Jahre als technischer Redakteur für Datenverarbeitung bei der Siemens AG tätig.“
    Das ist klarer als die Angaben zu Anna und ihren beruflichen Hintergrund.

    Es geht nicht, insbesondere wenn man wie Anna selbst im Journalismus mal gerade ein Praktikum gemacht hat, das man andere, von denen Sie noch viel lernen könnten, wenn Sie denn wollten, in einer solchen Weise herabwürdigt. Aber nur weil Frau Brückner Ihr Geld bisher in der Fachwelt verdient hat, deshalb weiß, worüber sie schreibt, ist sie keine Unperson, die keinen Namen hat. Die Frau heißt „Annette Brückner“ und der Text der die Kollegin Anna offenbar so inspiriert hat, sollte richtig verlinkt werden:
    „police-it.de“ gibt es nicht. Die Seite heißt „police-it.org.“
    .
    Liebe Leute von netzpolitik, Ihr habt Euch u.a. mit dem Grimme Preis auszeichnen lassen, das ist ein journalistischer Preis der zumindest dazu verpflichten sollte,
    journalistischen Grundsätze zu befolgen.
    Die Art und Weise wie die junge Kollegin Anna und auch andere bei netzpolitik mit Frau Brückner umgehen ist dümmlich und arrogant. Der auf Polizei-Themen spezialisierte Blog „Police IT“ wäre es im Gegenteil wert, von netzpolitik einmal ordentlich dargestellt zu werden. Ich kann Euch/Ihnen nur empfehlen, recherchieren Sie doch einfach selbst mal, was Annette Brückner gemacht hat und was sie jetzt macht. Es gibt dazu seit langem gute Texte aus dem Heise-Verlag.
    http://www.heise.de/ct/artikel/Die-Bayern-Belgien-Connection-284812.html
    http://www.heise.de/tp/artikel/29/29434/1.html
    Bei der Gelegenheit könnt Ihr ja auch noch mal darstellen, wie sich netzpolitik finanziert. Mich interessiert, wer diesen Dienst finanziert.
    Bei Frau Brückner weiß ich, dass sie bereits ein langes Berufsleben hinter sich hat und damit auch über eine wirtschaftliche Grundalge verfügt, die Police IT möglich macht.

    1. Da fragt man sich sogleich, wenn sich einer „als jemand, der seit 1979 von Beruf Journalist“ darstellt, was ist denn mit dem Lorscheid los? Macht der gerade schwere Zeiten durch? Warum belässt er es nicht bei sachlicher Kritik sondern zielt persönlich auf unfeine Weise auf eine Kollegin, die ihre Kompetenz bereits nun wirklich schon mehrfach unter Beweis gestellt hat?

      Das schöne am Journalistenberuf ist sicherlich auch, dass man berechtigte Kritik von anderen Beweggründen früh unterscheiden lernt. So wie sie, Herr Lorscheid Kritik vortragen, werden Sie gewiss nicht preiswürdiger.

    2. Ich muss ihnen Recht geben. Nach Durchsicht entspricht der Text inhaltlich und in der Reihenfolge der angesprochenen Punkte dem Text von AB, ohne dass AB namentlich erwähnt worden wäre. Lediglich die „Kleine Anfrage der Linksfraktion“ ist hier ausführlich dargestellt.

      Bei der Gelegenheit könnt Ihr ja auch noch mal darstellen, wie sich netzpolitik finanziert. Mich interessiert, wer diesen Dienst finanziert. Steht rechts oben auf der Seite unter den Social Media Links: Spenden https://netzpolitik.org/spenden/

      1. Spenden wird es nach der fast schon honorarpflichtigen PR-Aktion der Bundesregierung sicherlich reichlich gegeben haben – aber vorher? Ohne eine kontinuierliche Finanzierung klappt so etwas nicht.
        Mich interessiert, wer die Auftraggeber der Agentur im Hintergrund von netzpolitik sind

        1. > Mich interessiert, wer die Auftraggeber der Agentur im Hintergrund von netzpolitik sind

          Recherche, lieber Helmut. Recherche!

  4. Hm, also der Cyber Smart der Polizei ist goldig, auch wenn er nur silbern ist.
    Silber ist doch manchmal mehr wert als das Goldene Ei.
    Vielleicht erkennt das auch noch der ein oder andere :-)
    Lieben Gruß SUSI
    P.S. Die alten Babyphones mit Funktechnologie funktionieren immer, auch wenn die Digitalen Störaktionen laufen in den neuen digitalen Babyphones :-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.