Wenn sie nicht mit der AfD stimmen will, kann Thüringens Brombeerkoalition ihr Polizeigesetz nur mit Hilfe der Linken verabschieden. Denn das Bündnis aus CDU, BSW und SPD hat keine eigene Mehrheit im Landtag. Heute wurde im Innenausschuss der Fahrplan für die Anhörungen zum Gesetz verhandelt. Ronald Hande, der innenpolitische Sprecher der Landtagsfraktion, erklärt, unter welchen Bedingungen die Abgeordneten seiner Partei dem Entwurf zustimmen könnten.

netzpolitik.org: Es sieht so aus, als sei ohne Ihre Partei das neue Thüringer Polizeigesetz nicht durchzubringen. Was sagen Sie als innenpolitischer Sprecher der Landtagsfraktion zu den KI-gestützten Überwachungstools, die der Entwurf beinhaltet: Verhaltensscanner, Gesichtersuchmaschine, Datenanalyse nach Palantir-Art.

Ronald Hande: Das sind keine harmlosen Werkzeuge, sondern Bausteine einer neuen Überwachungsarchitektur. Solche Systeme können Bewegungen, Kontakte und Verhaltensmuster tausender unbeteiligter Menschen analysieren und damit das Prinzip der Unschuldsvermutung untergraben. Sicherheit darf nicht bedeuten, dass ganze Bevölkerungsgruppen präventiv durchleuchtet werden. Deshalb sehen wir diese Technologien und den vorgelegten Gesetzentwurf sehr kritisch.

netzpolitik.org: Sollte die Polizei überhaupt sogenannte Künstliche Intelligenz nutzen dürfen?

Ronald Hande: Aus unserer Sicht braucht die Polizei moderne Werkzeuge, aber sie müssen verhältnismäßig sein: geeignet, angemessen und vor allem erforderlich. KI kann für die Polizei durchaus nützlich sein, etwa wenn Beamt:innen in Strafverfahren zu Kinderpornografie beschlagnahmte Datenträger schneller auswerten müssen. Aber hier bewegen wir uns im Strafrecht. Dafür braucht es keine neuen gefahrenabwehrrechtlichen Befugnisse. Wir müssen also klar trennen: Wo sind legitime Einsatzmöglichkeiten und wo liegen auch die Grenzen.

„Social-Media-Daten können Gegenstand der Analyse werden“

netzpolitik.org: Die Palantir-artige Datenanalyse ist umso invasiver, je mehr Datenquellen eingebunden werden. Was wäre denn in Thüringen dem Gesetzentwurf nach alles möglich?

Ronald Hande: Die Regierung sagt zwar, sie wolle keine Audio-Dateien oder DNA-Identifizierungsmuster in solche Systeme einspeisen. Was sie aber nicht offen sagt: Anders als die Rohdaten können sehr wohl die Abschriften aufgezeichneter Abhöroperationen in solche Analysen einfließen, dazu Funkzellenabfragen, Observationsfotos, Berichte von V-Personen, Kennzeichenscanner-Daten. Hinzu kommen Daten aus Leitstellen, etwa wann Zeugen den Notruf gewählt haben, sowie Informationen über Menschen, die lediglich Geschädigte eines Unfalls waren oder Begleitpersonen bei einer Fahrzeugkontrolle.

Fraglich ist auch der Umgang mit Social-Media-Daten. Ausgeschlossen ist nur der unmittelbare automatisierte Abgleich direkt im Netz. Wenn solche Informationen bereits in Kriminalakten oder Fallbearbeitungssystemen stehen, könnten sie trotzdem Gegenstand der Analyse werden. Das ist eine hochgefährliche Machtverschiebung bei vergleichsweise niedrigen Eingriffsschwellen, etwa schon bei einfachen Gefahren für die Gesundheit oder für sogenannte Anlagen mit unmittelbarer Bedeutung für das Gemeinwesen.

netzpolitik.org: Das ist ein Haufen Daten. Und man muss nicht einmal verdächtig sein, um in dem System zu landen?

Ronald Hande: Diese Datenanalyse kehrt die Unschuldsvermutung praktisch um: Aus Bürgerinnen und Bürgern werden nicht nur gläserne Menschen, sondern Datenspuren in einer Maschine, die automatisiert neue Verdächtige berechnet und immer tiefer in das Leben auch gänzlich unbeteiligter Menschen eindringt.

„Einen AfD-Innenminister mitdenken“

netzpolitik.org: Immerhin will der SPD-Innenminister keine Software von Palantir nutzen.

Ronald Hande: Dass der das im Plenum sagt, ist ja keine Garantie. Zum einen, weil der Minister vor einem Jahr bei der Regierungsbefragung verneint hat, dass in seinem Gesetzentwurf Videoüberwachung und V-Leute Einsatz ohne Richtervorbehalt drin sind. Genau das steht aber nun tatsächlich drin. Zum anderen kann dieser Minister schon morgen oder übermorgen ein anderer sein. Und gemessen an den Umfragen wäre es naiv, nicht einen möglichen AfD-Innenminister einer künftigen autoritären Regierung vor dem Hintergrund jeder neuen Befugnis mitzudenken.

netzpolitik.org: Es gibt Polizist*innen, die sagen würden, sie bräuchten diese modernen Werkzeuge, um effektiv arbeiten zu können.

Ronald Hande: Wir unterstützen eine Arbeitsentlastung mittels Digitalisierung im Polizeibereich. Wir haben da selbst viel auf den Weg gebracht. Aber die vorgeschlagenen Instrumente sind nicht nur eine Gefahr für Bürgerinnen und Bürger, sondern auch für Polizeibeamtinnen und Polizeibeamte. Auch sie geben ihre Grundrechte nicht ab, wenn sie morgens die Uniform anziehen. Auch ihre Daten können künftig in KI-gestützten Analysesystemen landen. Auch sie selbst werden künftig Betroffene der KI-Verhaltensüberwachung im öffentlichen Raum sein. Und ihre privaten Facebook- und Instagram-Bilder könnten biometrisch gerastert werden.

netzpolitik.org: Das heißt, so lange die KI-Tools im Gesetz stehen, werden Sie dem nicht zustimmen?

Ronald Hande: Systeme, die Menschen automatisiert zu Verdächtigen erklären oder Bewegungsprofile ganzer Gruppen erstellen können, sind mit einem Rechtsstaat schwer vereinbar. Deshalb lehnt unsere Fraktion den Gesetzentwurf in seiner jetzigen Form ab. Entscheidend wird nun die Anhörung im Innenausschuss sein. Die Linke hat dafür über 100 Sachverständige benannt. Im Ausschuss werden wir die vorgesehenen Befugnisse und Technologien im Detail prüfen. Erst danach wird sich zeigen, wie es mit dem Gesetz weitergeht.

„Weitreichende Befugnisse“

netzpolitik.org: Nach 100-prozentiger Ablehnung klingt das nicht.

Ronald Hande: Im Entwurf sind viele weitere problematische und weitreichende Befugnisse versteckt. Das reicht von einer vagen elektronischen Fußfessel weit ab von Partnerschaftsgewalt bis zu nahezu uferlosen Meldeauflagen gegen Fußfallfans, Elektroschockwaffen und mehr. Da könnten wir gegenwärtig nur mit Nein stimmen. Für eine Modernisierung, die auf dem Boden der Verfassung steht, die Bürgerrechte stärkt und auch Befugnisse zurücknimmt, wären wir aber offen. Beim Polizeirecht braucht es klare Grenzen: keine massenhafte Analyse Unbeteiligter, volle Transparenz über eingesetzte Software, wirksame unabhängige Kontrolle und einen belegbaren Nutzen für die Gefahrenabwehr.

netzpolitik.org: Die automatisierte Verhaltensanalyse basiert auf Videoüberwachung. In Erfurt stehen bereits einige Kameras, die auch dafür geeignet sind. Sie haben sich als Abgeordneter damit beschäftigt. Was haben Sie herausgefunden?

Ronald Hande: Noch bevor der Landtag über die gesetzliche Grundlage beraten hat, wurde für rund 720.000 Euro für die nächsten fünf Jahre eine Überwachungsanlage auf dem Erfurter Anger installiert und damit wurden Fakten geschaffen. Aus unserer Sicht wurde dieses Projekt auch nicht ordentlich ausgeschrieben, weshalb wir den gesamten Beschaffungsvorgang beim Landesrechnungshof angezeigt haben. Für die gleichen Kosten hätten wir zwei Polizeikräfte und eine Sozialarbeiterin oder einen Sozialarbeiter fünf Jahre lang vor Ort einsetzen können, mit spürbarem präventiven Effekt statt dieser gefährlichen Sicherheitssimulation.

Richtig absurd ist, dass 23 Polizistinnen und Polizisten mit über 17.000 Arbeitsstunden die Überwachungstechnik mit vorbereitet haben. Insgesamt sind dadurch 1.416 Einsatzschichten à zwölf Stunden im Vollzugsdienst verloren gegangen. Mit diesen Kräften hätte man bürgernah bestreifen, Präsenz zeigen und kriminalpräventiv aufklären können.

In der Videokonferenzsoftware Zoom wurden mehrere Sicherheitslücken entdeckt. Sie gelten zum Teil als kritisch und erlauben unter anderem Angreifern aus dem Netz, ihre Rechte auszuweiten. Updates stehen bereit.

Eine Lücke betrifft die Mail-Funktion von Zoom Workplace für Windows, die aufgrund externer Kontrolle eines Dateinamens oder -pfads Angreifern aus dem Netz ohne vorherige Authentifizierung die Ausweitung ihrer Rechte ermöglicht (CVE-2026-30903, CVSS 9.6, Risiko „kritisch“). Unzureichendes Rechtemanagement in einigen Zoom-Clients für Windows ermöglicht angemeldeten Nutzern, ihre lokalen Zugriffsrechte auszuweiten (CVE-2026-30902, CVSS 7.8, Risiko „hoch“). Dasselbe kann aufgrund einer unzureichenden Prüfung auf eine Mindestversion in der Update-Funktion in Zoom-Clients für Windows passieren (CVE-2026-30900, CVSS 7.8, Risiko „hoch“).

Zoom: Vier Sicherheitslücken, hochriskant bis kritisch

Eine vierte Sicherheitslücke ermöglicht authentifizierten Angreifern mit lokalem Zugriff die Ausweitung der Rechte aufgrund unzureichender Überprüfung in Zoom Rooms für Windows im Kiosk-Modus (CVE-2026-30901, CVSS 7.0, Risiko „hoch“). Genauere Details zu den Schwachstellen nennt Zoom nicht.

Die sicherheitsrelevanten Fehler haben die Entwickler in den Versionen Zoom Workplace für Windows 6.6.11, Zoom Workplace VDI Client für Windows 6.4.17, 6.5.15 und 6.6.10, Zoom Meeting SDK for Windows 6.6.11 sowie Zoom Rooms für Windows 6.6.5 und neueren korrigiert. Die jüngsten Fassungen finden sich im Download-Portal auf der Zoom-Webseite. Aber auch der Aufruf von winget upgrade --all an der Eingabeaufforderung sollte die bereitstehenden Zoom-Updates (und weitere) in Windows finden, sie herunterladen und installieren.

Ende Januar mussten die Zoom-Entwickler Sicherheitslücken in den Zoom-Node-Servern schließen. Die hätten Angreifer als Ansatzpunkt für Schadcode-Angriffe missbrauchen können.

(dmk)

Seit August 2025 ist klar, dass ab Herbst 2026 in ersten Ländern nur noch Anwendungen auf zertifizierten Android-Geräten installiert werden dürfen, deren Herausgeber sich zuvor bei Google registriert und die jeweilige Anwendung signiert haben. Sameer Samat, Chef von Googles Android-Ökosystem, nennt in einem Gespräch Gründe für die anstehende Registrierungspflicht für alle App-Entwickler und wie wichtig Sideloading auf der anderen Seite für Android ist.

Samat sprach am Rande des Mobile World Congress (MWC) in Barcelona mit Adamya Sharma von Android Authority. Das Gesprächs dreht sich zunächst um Android 17 und den Einzug von agentischen Funktionen in das Betriebssystem, mit denen sich mehrstufige Aufgaben erledigen lassen sollen. Das hatte Google aber schon zuvor umfassend erklärt.

Samat sprach zudem über Googles in der Entwickler-Community umstrittene Entscheidung, sämtliche App-Entwickler zur Registrierung zu verpflichten. Auch das Thema Sideloading, also die Möglichkeit, Apps von Webseiten direkt auf Android-Geräten zu installieren, adressierte er.

Sideloading bleibt

Zum einen stellte Samat erneut klar, dass Google keine Pläne habe, Sideloading zu entfernen. Das sagt das Unternehmen allerdings schon seit Monaten, stellt aber klar, dass der Prozess in erster Linie für erfahrene Nutzer bestimmt sei. Zudem soll er zum Schutz von unerfahrenen Nutzern aufwendiger werden.

Der Android-Ökosystem-Chef merkte jedoch an, dass Regierungen weltweit Google zunehmend dazu drängen würden, das Problem bösartiger Apps anzugehen. Die anstehenden Änderungen hinsichtlich des Sideloadings sollen darauf abzielen, einer wachsenden Welle von Betrugsversuchen entgegenzuwirken, die sich gegen weniger erfahrene Nutzer richten.

„Sideloading ist wirklich wichtig. Es wird nicht verschwinden und war schon immer ein wichtiger Bestandteil von Android“, sagte Samat. „Ich denke, wenn man mit einer Regierung in Südostasien, Lateinamerika oder einer Reihe anderer Länder spricht, ist dies ein großes Thema für ihre Bürger“, ergänzte er.

Samat räumte indes ein, dass die in Android eingesetzten Warnsysteme nicht immer wirksam seien, wenn Betrüger schutzbedürftige Nutzer dazu drängen, bösartige Apps zu installieren. „Die derzeitigen Warnungen sind unzureichend“, sagte Samat.

Um Nutzer besser vor solchen Bedrohungen zu schützen, hat der Konzern den Vorschlag gemacht, die Identität von Entwicklern zu überprüfen, auch von jenen, die ihre Anwendungen außerhalb des Play Stores vertreiben. In ersten Ländern wie Brasilien, Indonesien, Singapur und Thailand will Google diese Registrierungspflicht im September 2026 einführen, in Europa erst 2027.

Google befinde sich in einer schwierigen Position, da das Unternehmen zwei Kernprinzipien – Offenheit und Sicherheit – von Android balancieren müsse, wie der Android-Chef erklärt: „Wenn die Plattform gefährdete Nutzer nicht schützt, wird sie keinen Erfolg haben“. „Und wenn sie nicht offen ist, wird sie ebenfalls keinen Erfolg haben“, ergänzt er.

Matthew Forsythe, Director of Product Management, Google Play Developer Experience & Chief Product Explainer, beschreibt Googles Ansatz auf LinkedIn als „verantwortungsvolle Offenheit“ (responsible openness). „Ein Nutzer sollte eine App sideloaden können und zumindest wissen, dass es sich bei dem Entwickler um eine reale Person handelt, die bestimmten Standards der Rechenschaftspflicht unterliegt.“

Unabhängige Entwickler nicht zufrieden

Mit Googles Ansatz der „verantwortungsvollen Offenheit“ und der damit einhergehenden Registrierungspflicht geben sich unabhängige Entwickler, allen voran die Betreiber des alternativen Android-App-Stores F-Droid, nicht zufrieden. Sie trommeln schon seit Monaten gegen Googles Vorschlag.

In einem offenen Brief werfen Gegner der neuen Strategie Google vor, sich mit der Entwicklerüberprüfung zum Torwächter fremder Distributionskanäle zu machen. Wer seine Apps über eigene Websites, alternative App-Stores von Drittanbietern, Unternehmensvertriebssysteme oder Ähnliches verbreite, müsse nämlich auch die Genehmigung von Google durch einen obligatorischen Verifizierungsprozess einholen. Das umfasse die Zustimmung zu den Geschäftsbedingungen, die Zahlung einer Gebühr und das Hochladen eines amtlichen Ausweises. Zu den über 50 Mitzeichnern des Briefes gehören unter anderem der Chaos Computer Club, die Free Software Foundation, der Mailanbieter Tuta, die Macher des Vivaldi-Browsers und Codeberg.

Weiter kritisieren die Autoren des Briefes, dass künstliche Zugangshürden geschaffen würden, und befürchten Datenschutzrisiken durch eine zentrale Datenbank von Android-Entwicklern in der Hand des Unternehmens. Ferner könne es zu Wettbewerbsverzerrungen kommen, wenn Google über eine solche Registrierung Daten sammelt, wer welche Apps anbietet.

(afl)