Über den US-Konzern Palantir und seine Polizeianalysesoftware wird gerade heftig gestritten. Anlass ist die Verfassungsbeschwerde gegen die bayerische Regelung zur automatisierten Datenanalyse in der letzten Woche sowie aktuelle Pläne von Bundesinnenminister Alexander Dobrindt (CSU) zur bundesweiten Nutzung von Palantir. In Sachsen kocht nun die Diskussion ebenfalls hoch.

Seit die Sächsische Zeitung berichtete, dass der dortige CDU-Innenminister Armin Schuster ebenfalls gern Palantir nutzen wolle, regt sich Widerstand. Der Ressortchef hatte sich für eine „Sicherheitsoffensive“ ausgesprochen, um die Möglichkeiten automatisierter Datenanalyse für die Polizei nutzen zu können.

Dabei gelten wegen eines Urteils aus Karlsruhe verfassungsrechtliche Anforderungen, die der polizeilichen Datenanalyse eigentlich quantitative und qualitative Grenzen setzen sollten. In den drei Bundesländern, die aktuell Palantir einsetzen, sind jeweils Verfassungsbeschwerden gegen die Polizeigesetze noch anhängig.

Die politischen Diskussionen und Beschlüsse in den restlichen Ländern sind durchwachsen: In Baden-Württemberg und Sachsen-Anhalt soll die Polizei die Palantir-Analysesoftware einsetzen dürfen, falls die dort aktuell diskutierten Polizeigesetze durch die Parlamente kommen. Dagegen hat Hamburg Palantir gestern der Überwachungssoftware eine deutliche Absage erteilt.

Die politische Situation in Sachsen ist durch die Minderheitsregierung aus CDU und SPD geprägt, die bei Gesetzesänderungen mit anderen Parteien zusammenarbeiten muss. Ohne Zweifel wäre eine Nutzung von Palantir mit einer Änderung des Sächsischen Polizeivollzugsdienstgesetzes verbunden, da in hohem Maße in Grundrechte eingegriffen wird. Das Polizeigesetz ist seit einem Urteil des Sächsischen Verfassungsgerichtshofes (pdf) in Teilen verfassungswidrig und muss ohnehin bis Mitte 2026 überarbeitet werden.

Aber wird mit dieser Novellierung auch eine Regelung zur automatisierten Datenanalyse kommen? Auch wenn Sachsen über einen bestehenden Rahmenvertrag die in „VeRA“ umgetaufte Palantir-Software nutzen wollte, müsste eine Rechtsgrundlage im Sächsischen Polizeivollzugsdienstgesetz geschaffen werden. Wir haben daher nachgefragt, wie die Chancen für den nach Europa expandierenden US-Konzern in Sachsen stehen.

Klare Absage an Schuster

Der Sprecher für Polizeifragen bei der SPD und Vizepräsident des Sächsischen Landtags, Albrecht Pallas, erteilt Ressortchef Schuster eine klare Absage, wenn es um Verträge mit dem milliardenschweren US-Konzern geht, der seit 2020 an der New Yorker Börse gehandelt wird.

Die sächsische Regierung habe die Nutzung von „VeRA“ nicht geplant, es gäbe auch keine Absichtserklärung. Die Äußerungen des sächsischen Innenministers seien lediglich „als CDU-Debattenbeitrag einzuordnen“, so Pallas. Die SPD im Bund und den Ländern habe sich „bereits mehrfach gegen die Nutzung von Palantir ausgesprochen“.

Sachsen hatte im Bundesrat für den Einsatz einer technologieoffenen polizeilichen Analysemöglichkeit gestimmt. Als Zielrichtung hatte das sächsische Innenministerium im April gegenüber netzpolitik.org angegeben, „auf Bundesebene bis 2030 ein gemeinsames Datenhaus zu implementieren“. Auf die Frage, ob sich der sächsische Innenminister für die Nutzung von Palantir oder „VeRA“ für die Polizei in Sachsen einsetze, gibt ein Sprecher aus Schusters Haus nur eine ausweichende Antwort. Der Freistaat plane „gegenwärtig keine eigenständige Beschaffung“. Man sehe aber „den Bedarf einer bundeseinheitlichen Lösung, bei der es sich herstellerunabhängig nicht um Palantir handeln muss“.

Auf die Frage danach, ob bis 2030 auf eine Palantir-„Zwischenlösung“ gesetzt werden sollte, antwortet Pallas knapp, aber deutlich: „Das wäre nicht sinnvoll.“

Das sieht das sächsische Innenministerium etwas anders. Eine Palantir-„Zwischenlösung“ schließt ein Sprecher nicht aus, allerdings würden „die internen Prüf- und Abstimmungsprozesse“ noch laufen.

Töten auf Basis von Metadaten

Keine Daten an „fragwürdige US-Tech-Oligarchen“

Valentin Lippmann, der innenpolitische Sprecher der oppositionellen grünen Fraktion im Landtag, hatte gegenüber der Sächsischen Zeitung von einem „Irrweg“ gesprochen, den der Innenminister einschlage. Gegenüber netzpolitik.org nannte der Innenpolitiker besonders zwei Gründe, die gegen den Einsatz derartiger Analysewerkzeuge sprechen würden. Zum einen handele es sich „um massenhaftes Data-Mining“ durch die Polizei, bei dem „auch die Daten von Bürgerinnen und Bürgern nach unklaren Kriterien verarbeitet werden, die sich vollkommen unverdächtig verhalten“. Das leiste „der Massenüberwachung Vorschub“. Lippmann hält dies „für verfassungsrechtlich unzulässig“.

Zum anderen sieht der Grüne darin eine „gefährliche Aufgabe der digitalen Souveränität“, wenn die Daten der Bürgerinnen und Bürger „in die Hände fragwürdiger US-Tech-Oligarchen“ gelangen würden, „ohne klar zu wissen, was mit diesen Daten geschieht“.

Der Fraktionsvorsitzende und innen- und rechtspolitische Sprecher der Linken in Sachsen, Rico Gebhardt, lehnt Schusters Ansinnen zur Nutzung von Palantir ebenfalls ab. Er betont gegenüber netzpolitik.org: „Hochsensible Daten müssen besonders geschützt werden.“ Auch „unabhängig vom konkreten Anbieter“ gebe es weitere Fragen, etwa was genau solche Software leistet. Gebhardt gibt bei Software zur automatisierten Datenanalyse zu bedenken: „Gibt es über Marketing-Behauptungen hinaus einen Nachweis, dass sie bei der Kriminalitätsbekämpfung und der Strafverfolgung wirkt?“

Er erklärt, dass er zwar noch keinen Entwurf für das zu überarbeitende Sächsische Polizeivollzugsdienstgesetz kenne. „Aber es kann gut sein, dass der Innenminister mit neuen Befugnissen liebäugelt und die Gelegenheit nutzt, hier die KI-Nutzung einzubeziehen.“ Der Palantir-Konzern wirbt damit, in seiner Software auch Künstliche Intelligenz (KI) einzusetzen.

Auch Lippmann befürchtet, dass die notwendige Anpassung des Polizeivollzugsdienstgesetzes von der schwarz-roten Minderheitskoalition genutzt werden wird, um „auch die Rechtsgrundlage für Palantir zu schaffen“.

Dafür bräuchte Schuster allerdings Stimmen der Opposition. Die könne er seitens seiner Fraktion „aktuell nicht in Aussicht stellen“, sagt der Linke Gebhardt. Aber der Innenminister hätte bisher auch noch nicht darum geworben.

Milliardäre „mit zweifelhafter politischer Agenda“

SPD-Mann Pallas weiß über das neue Sächsische Polizeivollzugsdienstgesetz: „Aktuell wird ein Gesetzentwurf durch die Sächsische Staatsregierung erarbeitet.“ Danach gefragt, ob er die Nutzung von Palantir für die Polizei in Sachsen für sinnvoll hält, wird der SPD-Innenexperte deutlich: „Wenn es um die Sicherheit unseres Landes und den Schutz der Bevölkerung geht, lehnen wir den Einsatz kommerzieller Software grundsätzlich ab, auch weil der Staat keine effektive Kontrolle ausüben kann.“

Ein Vertragspartner wie der US-Konzern, der zweifellos kommerzielle Software anbietet, kommt also für Pallas nicht in Frage. Mit Bezug auf die zwei Milliardäre, nämlich Peter Thiel als Palantir-Mitgründer und Alexander Karp als Palantir-CEO, erklärt der SPD-Mann unzweideutig: „In diesen sensiblen Bereichen dürfen wir uns nicht von Milliardären mit zweifelhafter politischer Agenda abhängig machen.“

Innenminister Schuster muss wohl nicht nur um die Stimmen die Opposition buhlen, sondern auch um die des eigenen Koalitionspartners. Sein Ministerium erklärt gegenüber netzpolitik.org: „Eine Änderung der Rechtsgrundlage für eine Befugnis zur anlassbezogenen automatisierten Datenanalyse ist in Vorbereitung.“

SPD-Man Pallas hingegen betont gegenüber netzpolitik.org, dass für die Gesetzesnovellierung eine neue Rechtsgrundlage für eine solche Analysesoftware in der Minderheitskoalition aus CDU und SPD „nicht vereinbart“ sei.

Das Bundeskabinett hat sich auf einen Entwurf für die Umsetzung der überarbeiteten EU-Netzwerk- und Informationssicherheitsrichtlinie (NIS2) geeinigt. Damit verschiebt die Bundesregierung die meisten ungelösten Probleme der seit bald einem Jahr überfälligen deutschen Umsetzung zur weiteren Debatte in den Bundestag.

„Höheres Sicherheitsniveau“

„Mit dem neuen Gesetz schaffen wir ein deutlich höheres Sicherheitsniveau für unsere Wirtschaft und Verwaltung“, meint Bundesinnenminister Alexander Dobrindt (CSU). Diese würden durch die neuen Vorschriften widerstandsfähiger gegen Cyberangriffe. Damit sollen künftig fast 30.000 statt bisher 4500 Stellen verschärften Cybersicherheitsvorgaben unterliegen.

Während der gescheiterte Versuch der Ampel noch über die europäischen Vorgaben hinausgehen sollte, hat sich Schwarz-Rot auf die Fahne geschrieben, die EU-Richtlinie möglichst ohne jede Übererfüllung umsetzen zu wollen. „Wir setzen dabei auf klare Regeln ohne unnötige Bürokratie“, betont Dobrindt.

Allerdings sind viele der nun in dem Kabinettsentwurf enthaltenen Formulierungen keineswegs klar und unumstritten. So bemängelt etwa der Internetwirtschaftsverband Eco, dass „zentrale Fragen“ offen bleiben, etwa bei geplanten Ausnahmen für Unternehmen, deren kritische Rolle „vernachlässigbar“ ist. „Was politisch pragmatisch klingt, ist europarechtlich heikel“, kritisiert Ulrich Plate für den Eco-Verband.

China-Klausel viel breiter?

Weitere Kritik an der NIS2-Umsetzung übt etwa der Bundesverband Breitbandkommunikation (Breko): Die Regelungen zu sogenannten „kritischen Komponenten“, die die Bundesregierung nun neu formuliert, können deutlich über das hinausgehen, was bislang unter dem „Huawei“-Paragrafen 9b des BSI-Gesetzes verstanden wurde. Breko-Chef Stephan Albers fürchtet, dass damit „nicht nur bei 5G-, sondern auch bei Glasfasernetzen eine Untersagungsmöglichkeit für den Einsatz von geplanten oder bereits in Betrieb befindlichen Bauteilen“ vorgesehen sei.

Sprich: Das Innenministerium könnte in Zukunft viel häufiger den Betrieb von Technologie aus dem nicht immer freundlich gesinnten Ausland untersagen – und Anbieter zum Austausch verpflichten. Allerdings sind die Kriterien für kritische Komponenten durchaus anspruchsvoll, dem Gesetzesentwurf zufolge müssen gleich mehrere erfüllt sein. Genauere Angaben zu der Frage, ob hier eine Ausweitung der Pflichten auf den letzten Millimetern vor dem Kabinettsbeschluss stattgefunden hat, konnte das Innenministerium am Mittag vorerst nicht machen.

Auch bei der Frage, welche öffentlichen Stellen am Ende tatsächlich unter die NIS2-Umsetzung fallen werden, dürften sich die Bundestagsabgeordneten in den kommenden Wochen noch einigen Auseinandersetzungen stellen müssen. Noch während der parlamentarischen Sommerpause sollen die zuständigen Abgeordneten vorarbeiten. Der Bundestag tagt offiziell erst ab dem 10. September wieder. Anschließend soll die deutsche NIS2-Umsetzung dann allerdings schnell durch das parlamentarische Verfahren gehen – ein Versprechen, das in der Vergangenheit bereits mehrfach an der Komplexität der Regelungsmaterie scheiterte.

Kritis-Dachgesetz soll bald folgen

Weiter auf diesen Zwischenschritt warten muss das Komplementärgesetz: Mit dem Kritis-Dachgesetz sollte die Richtlinie zum besseren physischen Schutz kritischer Einrichtungen (CER-Richtlinie) umgesetzt werden – also Vorschriften zu Zäunen, Videoüberwachung, Meldung von Vorfällen und anderen Sicherheitsmaßnahmen. An diesem Gesetz werde weiterhin unter Hochdruck gearbeitet, hieß es am Mittag von einem Sprecher des Bundesinnenministeriums.

(vbr)

Admins von industriellen Kontrollsystemen (ICS) sollten ihre Instanzen von Delta Electronics, National Instruments und Samsung zeitnah auf den aktuellen Stand bringen. In den jüngst veröffentlichten Versionen haben die Entwickler mehrere Sicherheitslücken geschlossen. Ohne die Patches können Angreifer im schlimmsten Fall Schadcode ausführen. Ob es bereits Attacken gibt, ist bislang nicht bekannt.

ICS steuern oft empfindliche Prozesse in kritischen Infrastrukturen. Attacken in diesem Bereich können schwerwiegende Folgen haben. Entsprechend sollten Admins zügig reagieren. Vor den Schwachstellen warnt die US-Sicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA) in mehreren Beiträgen.

Die Gefahren

Konkret bedroht ist etwa das grafische Programmiersystem LabVIEW von National Instruments. Wie aus dem Sicherheitsbereich der Website es Anbieters hervorgeht, können Angreifer an fünf Lücken (CVE-2025-2633 „hoch„, CVE-2025-2634 „hoch„, CVE-2025-7361 „hoch„, CVE-2025-7848 „hoch„, CVE-2025-7849 „hoch„) ansetzen, um Schadcode auf Systeme zu schieben und auszuführen. Eine solche Attacke führt in der Regel zur vollständigen Kompromittierung von Computern.

Damit das gelingt, müssen Angreifer auf einem nicht näher ausgeführten Weg Speicherfehler provozieren, um dann eigenen Code ausführen zu können. Die Entwickler versichern, LabVIEW 2025 Q3 gegen solche Angriffe gerüstet zu haben.

Von Delta Electronics ist DTN Soft verwundbar. Auch an dieser Stelle kann Schadcode auf Systeme gelangen (CVE-2025-53416 „hoch„). Die Ausgaben DTN Soft 2.1.0 und DTM Soft 1.6.0.0 enthalten Sicherheitspatches.

Samsungs Softwaremanagementplattform HVAC DMS ist über mehrere Wege angreifbar. An diesen Stellen können Angreifer unter anderem Dateien löschen (CVE-2025-53082 „hoch„) und eigenen Code ausführen (CVE-2025-53078 „hoch„). Für Sicherheitspatches müssen Admins den Samsung-Support kontaktieren.

(des)