Niedersachsen gab im vergangenen Jahr rund 45.000 Euro für Software-Lizenzen aus, um die Handys von Ausreisepflichtigen zu durchsuchen. Im Jahr davor waren es etwa 35.000 Euro, die das Land in IT-Forensik investierte. Das teilt die zuständige Landesaufnahmebehörde Niedersachsen auf Anfrage von netzpolitik.org mit.
Seit 2022 können Ausländerbehörden in Niedersachen Geräte an die Landesaufnahmebehörde schicken, um in den Daten nach Hinweisen auf Identität oder Staatsangehörigkeit zu suchen. Gesetzlich ist das erlaubt, wenn ausreisepflichtige Ausländer:innen ihre Identität nicht auf anderen Wegen nachweisen können, etwa über ein Passdokument.
Die zentrale Behörde in Braunschweig durchsucht die Geräte in solchen Fällen nicht selbst, teilt uns eine Sprecherin mit, sondern extrahiert lediglich die Daten. Das heißt: Personal der Behörde schließt das Handy an ein spezielles Gerät an, umgeht im Zweifel auch Zuganngssperren und extrahiert dann die darauf befindlichen Daten – von Fotos, verschlüsselt versendeten Nachrichten und angerufenen Nummern bis zur Browserhistorie. Dieses Daten-Paket bekommen anschließend die Ausländerbehörden.
Fast 80.000 Euro, um 81 Geräte zu durchsuchen
Für diese Arbeit greift die Landesaufnahmebehörde auf Werkzeuge des Forensik-Unternehmens Cellebrite zurück. Diese kämen auch in den niedersächsischen Polizeidienststellen zum Einsatz, teilt ein Sprecher des Innenministeriums mit. Allerdings wollte das Ministerium und die Behörde bisher nichts zu den Kosten sagen. Diese seien „Bestandteil vertraulicher Vertragsverhandlungen“.
Erst nach mehrfachem Nachhaken teilt uns die Landesaufnahmebehörde weitere Details mit. Demnach nutzt die Behörde die Software von Cellebrite innerhalb eines Rahmenvertrages, der von der Zentralen Polizeidirektion Niedersachsen geschlossen wurde. Die Kosten für die Lizenz: 33.328 Euro für das Jahr 2022 und 44.910 Euro für 2023. Zusammengenommen sind das fast 80.000 Euro allein für die Software.
Wie viele Geräte sind bislang mit Hilfe der Software bearbeitet worden? 81 Geräte hätten Ausländerbehörden seit Anfang 2022 eingeschickt, teilt ein Sprecher des Ministeriums mit. Damit gab das Land in den vergangenen zwei Jahren rund 1.000 Euro pro Durchsuchung aus.
Zuständiger Innenminister war in dieser Zeit Boris Pistorius (SPD), der seit Januar 2023 als Verteidigungsminister in die Bundesregierung gewechselt ist. Seinen Posten übernahm danach Daniela Behrens (SPD).
„Unkomplizierter Zugriff auf gesperrte Geräte“
Cellebrite vertreibt Geräte und Software, mit denen man Computer oder Smartphones knacken und durchsuchen kann. Das Unternehmen mit Sitz in Israel sammelt zu diesem Zweck Schwachstellen in Betriebssystemen oder Programmen, über die es auf die Geräte zugreifen kann. Vermarktet werden diese Produkte vor allem an Strafverfolgungsbehörden.
Welches Produkt aus dem Katalog von Cellebrite in Niedersachsen zum Einsatz kommt, sagen die Behörden nicht. Allerdings bietet Cellebrite für den Zugriff auf Smartphones nur eine Produkt-Serie an: Sie heißt „UFED“, kurz für „Universal Forensics Extraction Device“. Beworben wird UFED als „unkomplizierter Zugriff auf gesperrte Geräte“. Muster-, Kennwort- oder PIN-Sperren der gängigen Handys ließen sich damit umgehen.
Sollte UFED auch in Braunschweig bei der Handydurchsuchungen zum Einsatz kommen, bekommen Ausländerbehörden damit einen umfassenden Zugang zu den Daten auf dem Gerät. Sie können die Anrufhistorie oder das Adressbuch nach Kontakten durchsuchen, über die Standortdaten Bewegungsprofile der Person sehen oder ihre verschlüsselt versendeten Nachrichten lesen.
Das Aufenthaltsgesetz schreibt vor, dass eine Person mit einem juristischen Staatsexamen diese Daten sichten muss, um sicherzustellen, dass keine Informationen aus dem privaten „Kernbereich“ in den Akten landen, etwa Nacktaufnahmen. Allerdings lässt sich kaum vermeiden, dass diese Person zunächst alles zu sehen bekommt.
Geheime Preispolitik
Seine Lizenzvereinbarungen und Preise hält Cellebrite geheim. Auch Kund:innen verpflichtet das Unternehmen im Rahmen von Verträgen, die Kosten für die Lizenzen geheim zu halten. Das geht etwa aus Ablehnungsbescheiden hervor, die netzpolitik.org von verschiedenen Behörden und Ministerien erhalten hat. Sie führen teils die Vertragsbedingungen als Grund dafür an, warum sie keine Auskunft zu den Kosten erteilen könnten.
So schreibt uns etwa das Regierungspräsidium Karlsruhe, das in Baden-Würtemberg für die Geräte-Durchsuchungen zuständig ist, die Preise von Cellebrite seien Geschäftsgeheimnisse. Sie würden „nach Anfrage durch den Kunden in Abhängigkeit der Ausgestaltung des jeweiligen Vertragsverhältnisses individuell festgelegt“ und seien ansonsten geheim.
Behörden müssen Unternehmen beteiligen, wenn sie von Informationsfreiheitsanfragen betroffen sind. Geht es bei den erbetenen Informationen um Betriebs- und Geschäftsgeheimnisse, braucht die Behörde vor der Herausgabe in der Regel die Einwilligung des Unternehmens. Die gab es von Cellebrite offenkundig nicht: „Die Fa. Cellebrite hat nach Anhörung vom 24.06.2024 mit E-Mail vom 24.06.2024 ausdrücklich erklärt, in den Zugang zu den die Geschäftsgeheimnisse enthaltenden Informationen nicht einzuwilligen“, schreibt die baden-württembergische Behörde.
Wir haben Cellebrite um eine Bestätigung der Vertragsauflagen für Kunden gebeten und auch nach Details zu der Preisgestaltung gefragt, jedoch keine Antwort bekommen.
„Gefahr für die öffentliche Sicherheit“
Deutsche Bundesländer zahlen jährlich mehrere Hunderttausend Euro, um Handys von Ausreisepflichtigen auf der Suche nach Spuren zu durchleuchten. Allein aus Bayern fließen vom Landesamt für Asyl und Rückführungen jedes Jahr 200.000 Euro Lizenzgebühren an Cellebrite, wie Recherchen von netzpolitik.org zeigen.
In der Vergangenheit hatten Ausländerbehörden die Geräte teils noch von Hand durchsucht. In einigen Ländern bekommen sie Amtshilfe von Polizeibehörden oder vom Zoll, die eigene Forensik-Abteilungen haben.
Mittlerweile haben mindestens fünf Bundesländer eigene zentrale Stellen eingerichtet, die die Ausländerbehörden bei ihren Aufgaben unterstützen sollen – auch bei der „Identitätsfeststellung“ mit Hilfe von IT-Forensik. Bayern, Baden-Württemberg, Rheinland-Pfalz, Nordrhein-Westfalen und Niedersachsen haben dafür auch in Forensik-Werkzeuge investiert.
Von dem Geschäft profitiert vor allem Cellebrite: Neben Niedersachsen kauften auch Bayern und Baden-Würtemberg nach eigener Auskunft bei Cellebrite ein. Rheinland-Pfalz und Nordrhein-Westfahlen halten den Namen des Anbieters dagegen geheim.
Die Begründung: Die Kenntnis des Herstellers und dadurch der eingesetzten Software würde Ausreisepflichtigen einen Vorteil verschaffen und die Arbeit der Behörden bei der Identitätsfeststellung behindern, teilt etwa das zuständige Familien- und Integrationsministerium Nordrhein-Westfalen mit. Das sei eine Gefahr für die öffentliche Ordnung und Sicherheit.
Durchsuchung als „reine Schikane“
Fachleute bezweifeln, dass die Handydurchsuchungen überhaupt Vorteile für das erklärte Ziel der Identitätsfeststellung bringen. Anrufhistorie, Browserdaten oder auch Geodaten auf den Geräten seien wenig aufschlussreich, um auf die Identität oder Staatsbürgerschaft einer Person zu schließen, kritisiert die Anwältin Sarah Lincoln, die bei der Organisation Gesellschaft für Freiheitsrechte zum Thema arbeitet.
Die Ampelregierung hält trotzdem an der Maßnahme fest. In der jüngsten Verschärfung des Asyl- und Aufenthaltsrechts hat sie nicht nur klargestellt, dass die Durchsuchungen weiter stattfinden sollen, sondern die Befugnisse noch erweitert: Behörden dürfen nun auch in die Privaträume von Menschen eindringen, die abgeschoben werden sollen, um darin nach Dokumenten oder Geräten zu suchen.
„Cellebrite vertreibt Geräte und Software, mit denen man Computer oder Smartphones knacken und durchsuchen kann. Das Unternehmen mit Sitz in Israel sammelt zu diesem Zweck Schwachstellen in Betriebssystemen oder Programmen, über die es auf die Geräte zugreifen kann.“
Dann braucht die Bundesregierung ja gar kein „Schwachstellenmanagement“ mehr und der Staatstrojaner ist überflüssig, das wird dann an Unternehmen outgesourced.
Das ist falsch. Für die Anwendung von IT-Forensik muss man im Besitz des Geräts sein, bei Trojanern ist das gerade nicht der Fall.
Dankeschön. Ein Staatstrojaner ermöglicht die verdachtsunabhängige und unbemerkte Überwachung von jedem Bürger, welches nachgewiesen die Meinungs- und Protestfreiheit einschränkt. Zum entsperren eines digitalen Endgerätes hingegen, muss dieses erstmal sichergestellt werden, was auch eine richterliche Bestätigung erfordert. Gewaltenteilung :)
> Ein Staatstrojaner ermöglicht die verdachtsunabhängige und unbemerkte Überwachung von jedem Bürger, welches nachgewiesen die Meinungs- und Protestfreiheit einschränkt.
Auch das ist falsch. Sog. Staatstrojaner werden gerade nicht „verdachtsunabhängig“ eingesetzt, nur bei besonders schweren Straftaten. Zudem ist das kein Instrument zur Überwachung von „jedem Bürger“.
Falsch ist auch, dass Staatstrojaner „die Meinungs- und Protestfreiheit einschränken“. Wenn eine Person keine Kenntnis von einer Maßnahme hat, dann beeinflusst dies auch nicht deren Verhalten.
Zur Häufigkeit der Anwendung siehe https://netzpolitik.org/2023/justizstatistik-2021-polizei-hackt-alle-elf-tage-mit-staatstrojanern/
Personen mit einem Tin-foil-hat-Syndrom könnten im Verhalten beeinträchtigt werden. Dieser zahlenmäßig größere Personenkreis hat aber regelmäßig nichts mit den wenigen Zielpersonen zu tun, bei denen eine Online-Durchsuchung tatsächlich stattfindet.
tin foil hat Syndrom?
Es ist erwiesen, dass es zu Verhaltensänderungen kommt, wenn man sich beobachtet fühlt.
https://digitalcourage.de/staat-und-geheimdienste/staatstrojaner-chronologie
Schöne Chronologie.
Ist ja nicht so das nicht auch verfassungswidrig gehandelt wird etc.
>tin foil hat Syndrom?
Es ist erwiesen, dass es zu Verhaltensänderungen kommt, wenn man sich beobachtet fühlt.
Das ist richtig. Die Problematik dabei ist das „sich beobachtet fühlen“, auch wenn tatsächlich niemand einen beobachtet. Das kann krankhafte Züge annehmen, wenn Realität und Einbildung länger als 6 Monate divergieren.
Der Unterschied zwischen Gefühltem und der Realität wird wieder zu einer Plage unserer Zeit. Immer mehr Menschen lassen sich durch Narrative/Desinformation beeinflussen, und geraten dadurch auf eine mentale Schiefebene.
Wenn man Menschen lange genug einredet, sie lebten in einem Panoptikum, obwohl sie ein ruhiges Leben in einer Wohnsiedlung führen, dann glauben manche das allzu gerne.
„Wenn man Menschen lange genug einredet, sie lebten in einem Panoptikum, obwohl sie ein ruhiges Leben in einer Wohnsiedlung führen,“
Die Konstruktion als vermeintlicher Widerspruch ist schlicht Desinformation. Könnte man sogar aus der jüngeren deutschen Geschichte wissen.
>> Die Konstruktion als vermeintlicher Widerspruch ist schlicht Desinformation.
Den Widerspruch ohne Erläuterung als „vermeintlich“ hinzustellen, und der Versuch mittels behaupteter „Desinformation“ zu diskreditieren, ist ungenügend weil es nur zur Selbstbefriedigung taugt.
Das ruhige Leben in einer Wohnsiedlung kann schlicht das Leben in einem Panoptikum sein.
War zB nicht so aufregend in der DDR. Ist auch nicht so aufregend im vollüberwachten suburbian smarthome.
Die Quellen-TKÜ, also der „Staatstrojaner“, unterliegt ebenfalls eines Richtervorbehaltes. Auch hier wird der Gewaltenteilung und Kontrolle Rechnung getragen.
Mit Sitz in Israel? Wie die NSO Group (Pegasus), Cytrox (Predator), Quadream, und sicherlich noch viele weitere, von denen man bisher noch nichts gehört hat. Das Land spielt bei Spyware-Affären schon seit einiger Zeit international die größte Rolle. Von den westlichen Rechtsstaaten zu den arabischen Ölmonarchien, Russland, autokratische Regime in Asien und Lateinamerika sind alle Kunden von israelischen Malwarefirmen.
Interessant wäre es die Tlelefone unserer Spitzenpolitiker, Bundesregierung und der EU Komission zu durchsuchen. Dabei kämem mit Sicherheit einige Details ans Licht, welche die Bevölkerung verunsichern würden.
…und vielleicht sogar ernsthafte strafrechtliche Konsequenzen nach sich ziehen würden.
als ob :‘)
An meinem Endgerät haben die Behörden sich die Zähne ausgebissen. Kein Erfolg trotzt Cellbrite und co. Mit den richtigen Endgeräten und Software ist Cellbrite auch machtlos.
Du hilfst niemandem, wenn du nicht sagst, was du benutzt.
Öhm und wie. Woher wissen?
Auch die hessische Landesregierung geriet vor einigen Jahren wegen der Anschaffung der polizeilichen Analyse-Software Hessendata (Palantir-Software auf „Gotham“-Basis) in die Kritik. Bis heute unterliegt der hessische Deal mit der CIA-nahen US-Software-Schmiede der Geheimhaltung.
„(…) Dennoch gibt es Ärger. Landesinnenminister Peter Beuth (CDU) hat den Auftrag an Palantir vergeben, ohne Angebote von Bewerbern einzuholen. Kaufpreis laut Lieferauftrag: „0,01 Euro“. Der wahre Preis bleibt geheim, „aufgrund der Sicherheitsinteressen“ Hessens. Seit Juli tagt ein Untersuchungsausschuss im Landtag in Wiesbaden. Er soll herausfinden, warum der Minister sich so früh auf Palantir festgelegt hat. Beuth argumentiert, nach den Anschlägen von 2016 sei die Lage so brisant gewesen, da habe man schnell digital aufrüsten müssen. Nur Palantir habe passende Software angeboten. (…)“ (Süddeutsche Zeitung, 18.10.18)
https://www.sueddeutsche.de/wirtschaft/palantir-in-deutschland-wo-die-polizei-alles-sieht-1.4173809
vergl.:
https://www.fr.de/rhein-main/ausschuss-soll-erwerb-us-software-klaeren-10991062.html
https://police-it.net/tag/palantir-untersuchungsausschuss-hessen
Ich verweise mal auf §48 und §48a AufenthG, die auch vor kurzem geändert bzw. hinzugefügt wurden.
§48 (3a) schließt nun auch Datenträger und Cloud-Dienste ein und verpflichtet „den Ausländer“, die notwendigen Zugangsdaten zur Verfügung zu stellen.
In 48a werden die Telekommunikationsdienstleister verpflichtet, das zu tun, wenn „der Ausländer“ die Zugangsdaten nicht zur Verfügung stellt.
Also eigentlich braucht man gar keine Software für den Zugang mehr.
Die Verpflichtung, die notwendigen Zugangsdaten zur Verfügung zu stellen und die Verpflichtung der Telekommunikationsdienstleister standen bereits länger im Gesetz. Neu dazu gekommen ist lediglich die explizite Erlaubnis, auch Clouddienste zu durchsuchen.
1.000 € pro Person auszugeben, um die Identität zu klären und dann ggf. zurückführen zu können sind m. E. o.k., wenn ansonsten um ein vielfach höhere Folgekosten entstehen, wenn die Identität nicht geklärt werden kann und die Person dadurch länger bleibt (obwohl ausreisepflichtig)…
„Interessant“, dass (nicht militärische – bei denen ist sowieso vieles geheim) Organe unseres demokratischen Rechtsstaats Verträge abschließen (dürfen), welche die Haushaltstransparenz ad absurdum führen.
Ich glaube nicht, dass die das dürfen. Aber Ölkonzerne dürfen auch immer noch Desinformation verbreiten und Wissenschaft diskreditieren… ganz normal!
Iwie Milchmädchenrechnung. In den 2 Jahren Softwarenutzung hätte auch 8000 Überprüfungen stattfinden können, wäre dann es ein Preis von 11 € pro Fall. Dann könnte man kaum meckern.