Die Grünen wollten es genauer wissen: Nachdem die polizeiliche automatisierte Datenauswertung mit Software von Palantir kürzlich Thema im Bundesrat war, erfragten sie beim neuen Bundesinnenminister Alexander Dobrindt (CSU) den Pegelstand. Plant er, dem Palantir-Mogul Peter Thiel die Tür auch zu polizeilichen Bundesbehörden zu öffnen oder den Kurs seiner SPD-Vorgängerin Nancy Faeser fortzusetzen und den US-Konzern zu meiden?
Der von Peter Thiel mitbegründete Konzern Palantir bietet Polizeien eine Analysesoftware an, die deren Daten zusammenführt. Millionen Informationshäppchen von Menschen können damit aus verschiedenen polizeilichen Datenbanken zusammengelegt und durchforstet werden. In Deutschland ist die Palantir-Software Gotham schon seit 2017 im Bundesland Hessen unter dem Namen „Hessendata“ sowie in Nordrhein-Westfalen und Bayern im Einsatz und seither heftig umkämpft. Im Jahr 2023 legte ein Urteil des Bundesverfassungsgerichts neue Grenzen solcher polizeilicher Analysen fest. Das bremste die Expansion von Palantir in die digitalen Amtsstuben der Polizeien der Bundesländer.
Die denkbar knappe Antwort des Innenministeriums auf die schriftliche Frage des stellvertretenden Fraktionsvorsitzenden von Bündnis 90/Die Grünen, Konstantin von Notz, vom Mai 2025 zeigt nun: Dobrindt schließt den Einsatz von Palantir bei den Behörden in seiner Zuständigkeit nicht aus. Anders als Faeser spricht er sich nicht explizit gegen die Nutzung dieser Massendatenverarbeitungssoftware in Bundesbehörden aus, sondern teilt lediglich mit, dass „bisher noch nicht entschieden“ sei.
Palantir
Wir berichten mehr über Palantir als uns lieb wäre. Unterstütze unsere Arbeit!
Seit 2022 hat sich das Bayerische Landeskriminalamt vertraglich an die Software des US-Konzerns gebunden, der in Deutschland durch die Palantir Technologies GmbH vertreten wird. Da ein Rahmenvertrag des Freistaats besteht, in den auch die Bundesbehörden einsteigen könnten, hatte von Notz diese Möglichkeit explizit angesprochen. Über eine „etwaige Neubewertung“ steht die Entscheidung noch aus, man würde aber das „Ziel der digitalen Souveränität“ berücksichtigen wollen.
Diese vage Aussage in der Antwort des Ministeriums bezieht sich offenbar auf den Teil der Frage, der Risiken wegen der „Unternehmensleitung, insbesondere von Peter Thiel“, und dem Umfeld von US-Präsident Donald Trump anspricht. Denn von Notz verweist auf den Koalitionsvertrag, der verspricht, dass die automatisierte Datenrecherche und -analyse dann vorgenommen werden kann, wenn „verfassungsrechtliche Vorgaben und digitale Souveränität“ berücksichtigt werden.
Bayern testet rechtswidrig Palantir-Software
„Volle Kontrolle“, fordert von Notz
Der Begriff „digitale Souveränität“ wird aktuell gern betont, aber ist keineswegs einheitlich definiert. Gegenüber netzpolitik.org verweist von Notz auf die „tiefgreifende geopolitische Zeitenwende, in denen Deutschland und Europa zunehmend selbst Verantwortung für ihre Sicherheit übernehmen“ müsse. „Unsere digitale Souveränität ist hier zweifellos ein ganz entscheidender Baustein“, sagt der Politiker, der auch Mitglied im Innenausschuss des Bundestags und Vorsitzender des Parlamentarischen Kontrollgremiums ist. Er hält fest: „Die Zeitenwende im Digitalen findet bisher aber nicht ansatzweise statt.“
Er beschreibt, wie er „digitale Souveränität“ versteht:
Für mich ist klar: Wo Hard- und Softwarelösungen ein integraler Bestandteil unserer (Sicherheits-)Architektur sind, müssen wir selbst die volle Kontrolle über sie haben. Sofern die Bundesregierung sich hierzu auch weiterhin kurzfristig nicht im Stande sieht, sollte sie, als Interimslösung, zumindest auf deutsche oder europäische Anbieter zurückgreifen. Diese bieten schon heute ähnliche Funktionalitäten. Ich frage mich aber, warum wir nicht längst einen Teil der Milliarden Euro, die wir regelmäßig an Lizenzkosten an gleich mehrere US-Anbieter überweisen, in staatliche Eigenentwicklungen stecken.
Das wäre die „mit Abstand beste und einfachste Lösung“, so von Notz. Er wünscht sich für Palantir-Alternativen, bei „der Entwicklung und Prüfung der tatsächlichen Rechtskonformität des Einsatzes“ auch die zuständigen Aufsichtsbehörden „ganz anders als bisher“ zu beteiligen. Sonst müsse man wohl zuschauen, „wie der rechtlich alles andere als triviale Einsatz von privaten Firmen wie Palantir & Co. auch weiterhin regelmäßig von höchsten Gerichten untersagt wird“.
Stattdessen ein „KI-Reallabor“
Konstantin von Notz (Grüne). – Alle Rechte vorbehalten Stephan Pramme
Konstantin von Notz sagte der taz, für ihn sei statt einer vertraglichen Bindung an den US-amerikanischen Tech-Konzern eine „Ideallösung“ ein „KI-Reallabor für Sicherheitsbehörden“, um dort „eine technologisch souveräne, rechtskonforme und an die Bedürfnisse der Behörden maßgenau angepasste Lösung“ zu erarbeiten. Wem der Begriff „Reallabor“ nichts sagt: Gemeint ist damit in der Forschung eine interdisziplinäre Einrichtung, die Experimente durchführt oder Software-Protoptypen entwirft und dann ihre Praxistauglichkeit und Problemlösungsfähigkeit bewertet.
Ob und welche Form von „KI“ („Künstliche Intelligenz“) allerdings in Palantir steckt, bleibt dahingestellt. Denn die Innereien des Produkts sind nur soweit öffentlich bekannt, wie der Konzern es zulässt. Palantir wurde vor 22 Jahren gegründet und erwirtschaftet den Großteil seines Umsatzes mit Dienstleistungen für US-amerikanische Militärs, Geheimdienste und Polizeibehörden. Erst seit wenigen Jahren werden sie dem Trend folgend auch als „KI“ vermarktet.
„In höchstem Maße unglaubwürdig“
Gegenüber netzpolitik.org bewertet von Notz die Antwort des Innenministeriums so: „Wer sich wie Alexander Dobrindt einerseits das Ziel, Deutschland und Europa auf den Pfad einer möglichst großen digitalen Souveränität zu führen, auf die Fahnen schreibt, hierzu wohlklingende Sätze in einem Koalitionsvertrag unterbringt, dann aber zugleich nicht ausschließt, auf die Software von Peter Thiel zurückzugreifen, agiert in höchstem Maße unglaubwürdig.“ Und er legt noch eine Aufforderung an den Innenminister nach, die sich aus der Diskussion um das „Sicherheitspaket“ der Ampel-Regierung ergibt:
Ich erinnere den Bundesinnenminister an dieser Stelle noch einmal mit Nachdruck daran, dass die Beschlusslage des Deutschen Bundestags derzeit hier eindeutig ist: Im Rahmen eines Entschließungsantrags, der im Zuge der Erarbeitung des sog. „Sicherheitspakets“ der Ampel verabschiedet wurde, wurde der Rückgriff auf ein Unternehmen mit Hauptsitz in Amerika eindeutig ausgeschlossen. Dies geschah explizit mit Blick auf die Debatte um Palantir. Das wissen auch alle Beteiligten. Die Passage wurde lange verhandelt. Das alles ist auch den Verantwortlichen im Bundesinnenministerium bekannt. Ich fordere Alexander Dobrindt auf, sich an diese Beschlusslage des Parlaments zu halten – oder durch die Fraktionen von CDU, CSU und SPD eine neue herbeizuführen.
Er verweist zugleich darauf, dass „die SPD dies kaum mittragen dürfte“. Zu groß seien die Probleme und „offenkundigen Widersprüchlichkeiten zu allen Sonntagsreden“, die mit einem Rückgriff auf die Software des Unternehmens von Peter Thiel verbunden seien. Das gelte umso mehr, wenn es darum gehe, „relevante Teile polizeilicher Datenverarbeitung an einen privaten Anbieter outzusourcen“. Denn das sei „ein verfassungsrechtlich extrem heikles Feld“, so von Notz.
Antwort des Bundesministeriums des Innern und für Heimat
Zur Schriftlichen Frage des Abgeordneten Dr. Konstantin von Notz vom 26. Mai 2025
3. Juni 2025
Schriftliche Frage Monat Mai 2025
Arbeitsnummer 5/268
Sehr geehrter Herr Abgeordneter,
auf die mir zur Beantwortung zugewiesene schriftliche Frage übersende ich Ihnen die beigefügte Antwort.
Mit freundlichen Grüßen in Vertretung Christoph de Vries
Frage
Beabsichtigt die Bundesregierung zur Umsetzung des Koalitionsvertrags zwischen CDU, CSU und SPD („sollen unsere Sicherheitsbehörden unter Berücksichtigung verfassungsrechtlicher Vorgaben und digitaler Souveränität, die automatisierte Datenrecherche und -analyse […] vornehmen können“) auf Produkte des Herstellers Palantir Technologies zurückzugreifen, etwa über den bestehenden Rahmenvertrag des Freistaats Bayern, und wie bewertet die Bundesregierung die Risiken für die digitale Souveränität der Bundesrepublik Deutschland vor dem Hintergrund der Vorgaben des Koalitionsvertrags sowie der Verbindungen der Unternehmensleitung, insbesondere von Peter Thiel, zur US-amerikanischen Regierung und dem Umfeld des Präsidenten Donald Trump?
Antwort
Über eine etwaige Neubewertung eines Abrufs der Software des Unternehmens Palantir Technologie GmbH seitens des Bundes aus dem Vertrag des Freistaats Bayern für die automatisierte Datenrecherche und -analyse ist bisher noch nicht entschieden. Das Ziel der digitalen Souveränität wäre bei einer Entscheidung zu berücksichtigen.
Die Woche, in der sich die Überwachungspläne bei uns stapelten
Fraktal, generiert mit MandelBrowser von Tomasz Śmigielski
Liebe Leser*innen,
in Berlin ist zwar die Ferienzeit angebrochen. Sommerliche Ruhe will aber nicht so recht einkehren. Denn auf unseren Schreibtischen stapeln sich die neuen Gesetzesentwürfe der Bundesregierung. Und die haben’s in sich.
Beispiele gefällig?
Staatstrojaner: Künftig soll die Bundespolizei zur „Gefahrenabwehr“ Personen präventiv hacken und überwachen dürfen, auch wenn „noch kein Tatverdacht begründet ist“.
Biometrische Überwachung: Bundeskriminalamt, Bundespolizei und das Bundesamt für Migration und Flüchtlinge sollen Personen anhand biometrischer Daten im Internet suchen dürfen. Auch Gesichter-Suchmaschinen wie Clearview AI oder PimEyes können sie dann nutzen.
Palantir: Bundeskriminalamt und Bundespolizei sollen Datenbestände zusammenführen und automatisiert analysieren dürfen. Das riecht gewaltig nach Palantir – was das Innenministerium in dieser Woche bestätigt hat.
Auch in vielen Bundesländern wird über Palantir diskutiert. In Baden-Württemberg sind die Grünen soeben umgekippt. Keine gewagte Prognose: Andere werden ihre Vorsätze auch noch über Bord werfen.
Die gute Nachricht: In allen drei Bundesländern, die Palantir einsetzen – Bayern, Hessen und Nordrhein-Westfalen -, sind jeweils Verfassungsbeschwerden gegen die Polizeigesetze anhängig. Und auch die Überwachungspläne der Bundesregierung verstoßen ziemlich sicher gegen Grundgesetz und EU-Recht. Wir bleiben dran.
Martin, Sebastian und Chris im Studio. – CC-BY-NC-SA 4.0 netzpolitik.org
Diese Recherche hat für enorm viel Aufsehen gesorgt: Über Monate hinweg hat sich Martin damit beschäftigt, wie Polizeibehörden, Banken und Unternehmen unser Bargeld verfolgen und was sie über die Geldströme wissen. Die Ergebnisse überraschten auch uns, denn sie räumen mit gängigen Vorstellungen über das vermeintlich anonyme Zahlungsmittel auf. Die Aufregung um diese Recherche rührt vielleicht auch daher, dass Behörden nicht gerne darüber sprechen, wie sie Bargeld tracken. Martin selbst spricht von einer der zähsten Recherchen seines Arbeitslebens.
Außerdem erfahrt ihr, wie wir solche Beiträge auf Sendung-mit-der-Maus-Niveau bringen und warum man aus technischen Gründen besser Münzen als Scheine rauben sollte. Wir sprechen darüber, wie wir trotz schlechter Nachrichten zuversichtlich bleiben und warum wir weitere Wände im Büro einziehen. Viel Spaß beim Zuhören!
Und falls wir es in dieser Podcast-Folge noch nicht oft genug erwähnt haben sollten: Wir freuen uns über Feedback, zum Beispiel per Mail an podcast@netzpolitik.org oder in den Ergänzungen auf unserer Website.
In dieser Folge: Martin Schwarzbeck, Sebastian Meineck und Chris Köver. Produktion: Serafin Dinges. Titelmusik: Trummerschlunk.
Hier ist die MP3 zum Download. Wie gewohnt gibt es den Podcast auch im offenen ogg-Format. Ein maschinell erstelltes Transkript gibt es im txt-Format.
Unseren Podcast könnt ihr auf vielen Wegen hören. Der einfachste: in dem Player hier auf der Seite auf Play drücken. Ihr findet uns aber ebenso bei Apple Podcasts, Spotify und Deezer oder mit dem Podcatcher eures Vertrauens, die URL lautet dann netzpolitik.org/podcast.
Wir freuen uns auch über Kritik, Lob, Ideen und Fragen entweder hier in den Kommentaren oder per E-Mail an podcast@netzpolitik.org.
Sicherheitsupdates: IBM Db2 über verschiedene Wege angreifbar
close notice
This article is also available in
English.
It was translated with technical assistance and editorially reviewed before publication.
.
Aufgrund von mehreren Softwareschwachstellen können Angreifer IBM Db2 attackieren und Instanzen im schlimmsten Fall vollständig kompromittieren. Um dem vorzubeugen, sollten Admins die abgesicherten Versionen installieren.
Schadcode-Schlupfloch
Am gefährlichsten gilt eine Sicherheitslücke (CVE-2025-33092 „hoch„), durch die Schadcode schlüpfen kann. Die Basis für solche Attacken ist ein von Angreifern ausgelöster Speicherfehler. Wie ein solcher Angriff konkret ablaufen könnten, ist bislang unklar. Davon sind einer Warnmeldung zufolge die Client- und Server-Editionen von Db2 bedroht. Das betrifft die Db2-Versionen 11.5.0 bis einschließlich 11.5.9 und 12.1.0 bis einschließlich 12.1.2.
Eine weitere Schwachstelle (CVE-2025-24970) ist mit dem Bedrohungsgrad „hoch“ eingestuft. Sie betrifft das Application Framework Netty. An dieser Stelle können Angreifer Abstürze provozieren. Auch hier soll ein Special Build Abhilfe schaffen.
Weitere Gefahren
Die verbleibenden Schwachstellen sind mit dem Bedrohungsgrad „mittel“ versehen. An diesen Stellen können Angreifer meist ohne Authentifizierung DoS-Zustände erzeugen, was Abstürze nach sich zieht. Die dagegen gerüsteten Versionen finden Admins in den verlinkten Warnmeldungen (nach Bedrohungsgrad absteigend sortiert):
