Während die Stars der Fußball-EM vergangenes Jahr auf dem Platz standen, machten viele Menschen im Hintergrund das Turnier erst möglich: Sicherheitspersonal checkte Tickets und Gepäck, Journalist:innen berichteten über die Spiele, Freiwillige halfen den Besucher:innen in vielen deut­schen Städten. Sie alle werkelten oft hinter den Kulissen und bekamen darum Zutritt zu besonderen Bereichen.

Doch wer bei der Europameisterschaft arbeiten wollte und dabei auch Zugang zu Bereichen hatte, in die man als Fan nicht so leicht kam, brauchte in der Regel eine Akkreditierung. Um zu vermei­den, dass Menschen akkreditiert werden, die eine Sicherheitsgefahr darstellen könnten, überprüften Polizei und Verfassungsschutz wohl eine sechsstellige Anzahl an Menschen. Das war nicht überall legal, kritisieren Datenschützer:innen.

Wie eine Zuverlässigkeitsüberprüfung funktioniert

Der Fachbegriff für solche Background-Checks heißt „Zuverlässigkeitsüberprüfung“. Bei einer sol­chen Zuverlässigkeitsüberprüfung prüft die Polizei anhand eigener Daten, ob sie zu einer Person si­cherheitsrelevante Erkenntnisse gespeichert hat. Anschließend teilt sie dem Veranstalter mit, ob sie Bedenken hat, dass eine solche Person beispielsweise als Security auf einem Festival oder einem Fußballspiel arbeitet.

Auch wenn sich die Rechtslage bei Großveranstaltungen je nach Bundesland unterscheidet, grund­sätzlich müssen die Betroffenen vor der Überprüfung durch die Behörden informiert werden und einwilligen. Neben Großveranstaltungen gibt es solche Überprüfungen auch im Waffenrecht.

Wie beim Waffenrecht war bei der Fußball-EM der Verfassungsschutz in vielen Fällen mit von der Partie, einige Bundesländer fragten auch dort an. In einem sogenannten „Massendatenverfahren“ glich das Bundesamt für Verfassungsschutz (BfV) die Daten der zu akkreditierenden Personen au­tomatisiert mit den eigenen Dateisystemen ab. Das hat uns das Innenministerium in Baden-Würt­temberg auf Anfrage erklärt. Lediglich bei potenziellen Übereinstimmungen schaute das BfV genauer hin oder gab den Fall an das jeweilige Landesamt für Verfassungsschutz weiter. Am Ende übermit­telte der Bundesverfassungsschutz ein Gesamtvotum zu jeder Akkreditierung an die zustän­digen Genehmigungsbehörden.

Von Security bis Catering: Hunderttausende Anfragen

Die Überprüfung geschah bei einer großen Anzahl an Menschen. Ein Sprecher der Berliner Da­tenschutzbeauftragten schreibt auf unsere Anfrage, dass folgende Personengruppen „standardmä­ßig“ betroffen waren:

• UEFA-Volunteers
• private Sicherheits- und Ordnungsdienste
• Catering und Reinigungskräfte
• sonstige Mitarbeitende im Sicherheitsbereich (inklusive Mitarbeitende der Euro 2024 GmbH)
• Medienvertretende/Journalist:innen und Broadcaster (nur, wenn diese nicht bereits innerhalb der letzten zwölf Monate zuverlässigkeitsüberprüft wurden)
• Sponsorenvertretende mit Arbeitsauftrag
• Personal der Stadionbetreiberin
• Medizinische Dienstleister
• Hospitality-Mitarbeitende, auch in den Teamhotels

Wie viele Menschen genau überprüft wurden, lässt sich schwer sagen. Das Bundesamt für Verfas­sungsschutz spricht auf Anfrage lediglich von einer „großen Anzahl“. Unsere Presseanfragen in mehreren Bundesländern, in denen EM-Spiele stattfanden, deuten aber auf mehr als 100.000 überprüfte Menschen hin.

Die Berliner Polizei schreibt uns auf Anfrage, dass sie im Rahmen der EM allein für die Akkreditie­rungen für das Berliner Stadion, die Fanzone und Teamhotels über 75.000 Datensätze überprüft hat. Das Innenministerium in Nordrhein-Westfalen spricht von 90.000 An­fragen für Zuverlässigkeitsüberprüfungen. In Hamburg waren es bei den Spielen mehr als 53.000 Über­prüfungen. In all diesen Bundesländern wurde der Verfassungsschutz automatisch von der Polizei mit angefragt. Die zuständige Stelle in Baden-Württemberg konnte keine Zahlen nennen.

Bei der Interpretation der Zahlen ist Vorsicht geboten. So schreibt uns ein Sprecher der Polizei Ber­lin, dass es auch immer wieder zu Mehrfachüberprüfungen gekommen sei, etwa wenn eine Person für mehrere EM-Spiele in verschiedenen Ländern akkreditiert wurde. „Zudem ist eine hohe Anzahl von Personen aufgrund von abweichenden Personalien/Personendaten wiederholt geprüft worden“, schreibt uns der Sprecher.

Doch selbst wenn man solche Dopplungen großzügig einrechnet: Es erscheint plausibel, dass der Verfassungsschutz am Ende eine sechsstellige Anzahl von Menschen überprüfte. Die Zahl der durch Polizeien überprüften Menschen liegt noch höher, schließlich fragten nicht alle Bundesländer automatisch beim Verfassungsschutz an.

Fehlende Rechtsgrundlage in NRW

Die Praxis bei der EM stieß bei Datenschützer:innen auf harsche Kritik. In Nordrhein-Westfalen, wo vier der acht Spielorte lagen, kritisierte die Datenschutzbeauftragte Bettina Gayk, dass die Rechts­grundlage für solche Überprüfungen völlig fehle.

„Um das Gefahrenpotenzial gering zu halten, wurden die vielen Helfer:innen bei den Spielen, in den Stadien und drumherum von der Polizei NRW intensiv durchleuchtet. Im Rahmen der Akkredi­tierung kam es zu einer massenhaften Überprüfung bei den deutschen Sicherheitsbehörden. […] Solche Eingriffe durch den Staat und seine Behörden erfordern immer eine ausdrückliche gesetzli­che Grundlage“, schrieb Gayk in ihrem letzten Tätigkeitsbericht.

Innenministerium und Landeskriminalamt (LKA) verweisen wiederum auf § 9 des Polizeigesetzes NRW. Der Paragraf erwähnt weder Zuverlässigkeitsüberprüfungen noch Großveranstaltungen, er­laubt der Polizei aber Datenverarbeitungen unter bestimmten Voraussetzungen wie etwa einer Ein­willigung.

Nur eine Einwilligung reicht nicht

Laut der Landesdatenschutzbeauftragen von NRW ist das nicht ausreichend: Solche Einwilligungen seien nicht wirksam, „weil sie nicht freiwillig erteilt werden, denn diejenigen, die an der Spielorga­nisation beteiligt sein wollen oder in den Stadien arbeiten wollen, waren gezwungen einzuwilligen.“

Zwar ist die Einwilligung der Betroffenen auch Bestandteil von Gesetzen zu Zuverläs­sigkeitsüberprüfungen in anderen Bundesländern wie etwa in Berlin, allerdings habe diese dort eine andere Funktion. Dort habe „die Einwilligung nicht eine konstituierende Wirkung für das Verfahren, sondern soll denjenigen, die sich der gesetzlichen Überprüfungspflicht nicht unterwerfen wollen, die Möglichkeit zum Rückzug aus der gesetzlich vorgeschriebenen Überprüfung eröffnen“, schreibt uns ein Sprecher der NRW-Datenschutzbeauftragten. Einfacher formuliert: Die Überprüfung kann sich nicht nur auf die Einwilligung stützen, es brauche zusätzlich ein Gesetz, welches solche Über­prüfungen speziell regelt.

Datenschutzbeauftrage Gayk fordert die Regierung und das Parlament in NRW auf, endlich eine „tragfähige“ Rechtsgrundlage zu schaffen. „Über die Notwendigkeit einer solchen Regelung be­stand bisher auch Konsens mit dem Innenministerium, das seine Auffassung vor einiger Zeit überra­schend geändert hat“, teilt uns der Sprecher der Datenschutzbeauftragten mit. Die Datenschutzbe­auftragte habe das Ministerium auch darauf hingewiesen, dass man solche Datenübermittlungen künftig stoppen könnte. Eine solche Untersagung ermöglicht das Datenschutzrecht in NRW.

Das Innenministerium in NRW bleibt auf Anfrage bei seiner Posititon: „Die speziellen Rechts­grundlagen, die aufgrund dieser Kritik in anderen Ländern geschaffen wurden, halten weiterhin an dem Instrument der Einwilligung fest. Insoweit ist hier kein datenschutzrechtlicher ‘Mehrwert’ er­kennbar.“ Auch der „gewerbliche Charakter“ von Großveranstaltungen spreche gegen eine Vor­schrift im Polizeigesetz, führt der Sprecher des Innenministeriums weiter aus. „Diese Einschätzung ist auf keine Einwände bei den für die UEFA EURO 2024 zuständigen Bundesbehörden gestoßen, so dass der Datenaustausch auf der geltenden Rechtsgrundlage durchgeführt werden konnte.“

Berlin: Verfassungsschutz-Anfrage nicht von Gesetz gedeckt

NRW ist laut der dortigen Datenschutzbehörde mittlerweile eines der letzten Bundesländer ohne Rechtsgrundlage für Zuverlässigkeitsüberprüfungen bei Großveranstaltungen. In Berlin regelt das der Paragraf 45 des Berliner Allgemeinen Sicherheits- und Ordnungsgesetzes (ASOG). Doch dessen Grenzen hat die Polizei in der Hauptstadt überschritten, bemängelt Meike Kamp, die Berliner Beauftragte für Datenschutz. Denn vom Verfassungsschutz oder anderen Geheimdiensten ist in dem Paragrafen keine Rede.

Allerdings wurde eine mögliche Übermittlung an Verfassungsschutzämter in den Datenschutzinfor­mationen zu den Sicherheitsüberprüfungen erwähnt, die Betroffene unterschreiben mussten – ge­nauso wie der Zoll, der militärische Abschirmdienst oder der Bundesnachrichtendienst. Für die Ber­liner Datenschutzbeauftragte ist dieser Hinweis aber nicht ausreichend, weil der erste Satz des Info-Schreibens „Ihre personenbezogenen Daten können […] übermittelt werden“ im Allgemeinen nicht so verstanden werde, dass die Daten in jedem Fall übermittelt würden.

Kamp schreibt daher in ihrem Tätigkeitsbericht: „Nach der Rechtsprechung des Bundesverfas­sungsgerichts bedarf jeder Eingriff in das Recht auf informationelle Selbstbestimmung einer klaren und bestimmten gesetzlichen Grundlage.“

„Verschränkung“ zwischen Polizei und Geheimdienst

Dies gelte umso mehr bei einer Datenübermittlung zwischen Polizei und Geheimdiensten. Denn während die Polizei konkrete Gefahren abwehre und dabei an enge rechtliche Voraussetzungen ge­bunden sei, betreiben die Inlandsgeheimdienste eine weitreichende Vorfeldaufklärung mit nachrich­tendienstlichen Mitteln. „Eine routinemäßige Verschränkung dieser unterschiedlichen Aufgabenbe­reiche durch Datenaustausch und eine weitreichende Zweckänderung der erhobenen Daten unter­läuft die verfassungsrechtlich gebotene Trennung zwischen Polizei und Nachrichtendiensten“.

Laut Berliner Polizei gaben die Verfassungsschutzbehörden den Inhalt ihrer Erkenntnisse nicht wei­ter, „sondern lediglich eine Rückmeldung, ob dort sicherheitsrelevante Erkenntnisse vorliegen oder nicht“. Regelanfragen an den Verfassungsschutz seien nur im Akkreditierungsverfahren für die Eu­ropameisterschaft erfolgt und „kein regelmäßiger Bestandteil der Überprüfungen durch den Polizei­lichen Staatsschutz des Landeskriminalamts Berlin“, teilte ein Sprecher auf netzpolitik.org-Anfrage mit.

Man teile die Rechtsauffassung der Berliner Datenschutzbeauftragten nicht. „Eine Änderung der Praxis ist aus hiesiger Sicht nicht erforderlich oder geboten“, schreibt der Sprecher der Polizei Ber­lin.

Hamburg: Anfrage beim Verfassungsschutz vorgeschrieben

Während die Polizei in Berlin die Anfragen beim Verfassungsschutz eher aus Ausnahme darstellt, ist es in Hamburg die Regel.

Das Gesetz über die Datenverarbeitung der Polizei (PolDVG) schreibt vor, dass die Polizei die Daten auch mit den Dateien des Verfassungsschutzes abgleicht. Dement­sprechend geschah dies auch bei allen Zuverlässigkeitsüberprüfungen im Rahmen der EM.

Sachsen: Datenschutzbehörde überzeugte Polizei

Doch nicht überall hat die Polizei bei jeder Zuverlässigkeitsüberprüfung auch den Verfassungs­schutz angefragt. In Sachsen konnte die Landesdatenschutzbeauftrage die Polizei von dieser Idee abbringen. Auch dort gibt es laut Datenschutzbehörde keine Rechtsgrundlage für Datenübermittlun­gen an den Verfassungsschutz bei Zuverlässigkeitsüberprüfungen.

„Die Polizeiführung zeigte sich offen für unsere Argumentation und hat im Ergebnis auf Regelab­fragen bei Verfassungsschutzbehörden verzichtet; vorbehalten hat sie sich Anfragen an Verfassungs­schutzbehörden im Einzelfall bei konkreten Anhaltspunkten für Gewaltbereitschaft im Zusammen­hang mit verfassungsfeindlichen Aktivitäten“, schreibt die sächsische Landesdatenschutzbeauftrage auf Anfrage von netzpolitik.org.

Auch die Bayerische Polizei hat „keine Regelanfragen an das Bundesamt für Verfassungsschutz oder das Bayerische Landesamt für Verfassungsschutz gerichtet“, wie uns ein Sprecher schreibt. Laut dem Bayerischen Datenschutzbeauftragten schließt das Bayerische Polizeigesetz solche Über­mittlungen nicht aus. Die Polizei müsse aber begründen, warum dies erforderlich sei.

Nicht nur ein Fußball-Thema

Ob mit Verfassungsschutz oder ohne, ob mit Rechtsgrundlage oder nicht – die Praxis bei den Zuver­lässigkeitsüberprüfungen ist kompliziert und unterscheidet sich offenbar sehr nach den jeweiligen Bundesländern. Dabei stellen sich die durch die Europameisterschaft aufgeworfenen Fragen auch jenseits des Fußballs.

Die nordrhein-westfälische Datenschutzbeauftragte verweist auf große Musikfestivals in NRW. In Berlin hat die Landesbeauftragte für Datenschutz auch eine Zuverlässigkeitsüberprüfung im Rah­men des Christopher Street Day diskutiert: Dort überprüfte die Polizei auf Bitten der Veranstalter:innen die Fahrer:innen der Paradewagen.

Jack Dorsey, bekannt als Mitgründer Twitters, hat den gemeinfreien Sourcecode für eine neue Software namens Bitchat online gestellt. Sie ermöglicht digitale Chats über Bluetooth, ganz ohne Internetverbindung und zentrale Server, vorerst für iOS und MacOS. Bei Bitchat stehen Datenschutz und Ausfallsicherheit im Vordergrund.

Nutzer müssen sich nirgends anmelden oder ausweisen; es gibt keine zentralen Server oder andere Instanzen, die Metadaten ernten und über die das Projekt korrumpiert oder stillgelegt werden könnte. Die Übertragungen werden komprimiert und Ende-zu-Ende verschlüsselt. Zudem sollen Dummy-Nachrichten und zufällige Verzögerungen es erschweren, bestimmte Nachrichten oder Usernamen einzelnen Nutzern aufgrund deren Nutzungsverhaltens zuzuordnen.

Die Übertragung erfolgt zunächst ausschließlich über Bluetooth Low Energy. Dessen Reichweite ist auf einige Dutzend Meter beschränkt, weshalb Bitchat Mesh-Netze aufspannen möchte. Teilnehmer in Reichweite übernehmen die verschlüsselten Nachrichten und leiten sie an andere Teilnehmer weiter, bis die Nachricht den adressierten Empfänger erreicht. Bis zu sieben Übertragungen sind vorgesehen. Besonders häufig kontaktierte Geräte speichern Nachrichten theoretisch unbeschränkt zwischen, auf anderen Geräten werden sie gelöscht, wenn sie nach zwölf Stunden nicht zugestellt werden konnten.

Ähnlich Briar

Ein kommerzielles Geschäftsmodell drängt sich nicht auf, womit aber auch keine Spamfilter für die verschlüsselten Nachrichten absehbar sind. Ob Bitchat reüssieren wird, hängt an den Teilnehmern allein. Ein Whitepaper denkt bereits daran, zu Bluetooth Low Energie noch Übertragungen mittels direkten WLAN-Verbindungen sowie LoRa hinzuzunehmen.

Der Name mag unglücklich gewählt sein, verleitet er doch zur Aussprache als „bitch at“, zu Deutsch: anschnauzen. Dorseys Name sorgt jedenfalls für Aufmerksamkeit, auch wenn das Grundkonzept nicht neu ist. Für Android gibt es seit Jahren die App Briar, die verschlüsselte Nachrichten zwischen Teilnehmern über Bluetooth, direkte WLAN-Verbindungen oder das internetbasierte Tor-Netz leitet. Im Notfall kann Briar Mitteilungen sogar als Dateien auf Datenträgern auf die Reise schicken.

Für LoRa existiert das Projekt Meshtastic (samt französischem Ableger Gaulix), das allerdings zusätzlich zu gängigen Smartphones noch LoRAWAN-Gateways erfordert. Die von Briar und Bitchat verfolgte Idee liegt auch dem 2018 gegründeten Projekt Berty zugrunde, das das eigens entwickele „Wesh Network“ mit dem Übertragungsprotokoll IPFS (InternerPlanetary File System) einsetzen möchte. Doch ist es um Berty sehr still geworden.

LoRa und LoRaWAN

Mit LoRa werden kleine Datenpakete (bis zu 256 Byte) mit geringem Energieeinsatz über große Entfernungen transportiert. Der funktechnische Trick: LoRa als physische Schicht besteht aus einem schmalbandigen Träger, der in einem vergleichsweise breiten Kanal auf- oder abbewegt wird. Diese „Chirps“ genannten Übertragungen sind gut im allgemeinen Rauschen erkennbar und somit sehr robust gegenüber Störungen.

Das Verfahren ist auf Nutzlasten von wenigen Byte optimiert und kommt beispielsweise bei Amazon Sidewalk zum Einsatz. LoRa ist die physische Übertragungstechnik für das Netzwerkprotokoll LoRaWAN, das für Netzstruktur, Adressierung, Verschlüsselung und Kanalvorgaben zuständig ist.

(ds)

Ein Revierkampf zweier krimineller Ransomware-Gruppen könnte zu mehr Cyberangriffen und größeren Schäden für betroffene Unternehmen führen. Das berichtete am Montag die britische Tageszeitung Financial Times mit Verweis auf Cyber-Sicherheitsexperten, die die Auseinandersetzungen in dem wachsenden kriminellen Ransomware-Sektor verfolgen.

Demnach sind DragonForce, eine Gruppe überwiegend russischsprachiger Cyberkrimineller, und einer ihrer größten Konkurrenten, RansomHub, aneinandergeraten. Die Sicherheitsexperten warnen, dass der Konflikt „die Risiken für Unternehmen erhöhen könnte, einschließlich der Gefahr, zweimal erpresst zu werden“, schreibt die Financial Times.

Die DragonForce-Gruppe trat erstmals im August 2023 in Erscheinung. Nach Angaben des Cybersicherheitsunternehmens Group-IB verzeichnete sie in den darauffolgenden zwölf Monaten insgesamt 82 Opfer auf ihrer Dark-Web-Seite. RansomHub wurde ebenfalls 2023 bekannt. Diese Gruppe wird für einige spektakuläre Cyberattacken verantwortlich gemacht, wie jene auf den US-amerikanischen Gas- und Öl-Dienstleister Halliburton, einen der weltweit größten Öl-Dienstleister, auf das renommierte britische Auktionshaus Christie’s oder die Non-Profit-Organisation Planned Parenthood, die unter anderem medizinische Dienste zu Schwangerschaftsabbrüchen anbietet.

Rivalisierende Cybercrime-Gangs

Nun scheinen DragonForce und RansomHub untereinander in Konflikt geraten zu sein. „Die meisten Cyber-Kriminalitätsgruppen haben ein tief verwurzeltes Bedürfnis nach Ruhm und Überlegenheit, das sie dazu bringen könnte, zu versuchen, einander zu übertreffen, indem sie versuchen, dasselbe Ziel anzugreifen und zu erpressen“, zitiert Financial Times Toby Lewis, globaler Leiter der Bedrohungsanalyse bei der britischen Cybersicherheitsfirma Darktrace. Gruppen wie die beiden genannten verkaufen laut dem Blatt die Werkzeuge und die Infrastruktur, die erforderlich sind, um auf die internen Systeme von Unternehmen zuzugreifen und diese gegen Geld zu erpressen. Sie operieren vornehmlich im Dark Web. Ihre Kunden sind sogenannte „Affiliates“ wie Scattered Spider, also Gruppen, die Cyberangriffe begehen wollen.

Die Beziehung zwischen DragonForce und RansomHub habe sich verschlechtert, so Financial Times weiter, nachdem sich DragonForce im März in ein „Kartell“ umbenannt und sein Angebot an „Dienstleistungen“ und seine Reichweite erweitert hat, um mehr Affiliate-Partner zu gewinnen.

Experten bei Sophos, einem britischen Hersteller von Sicherheitssoftware, vermuten, dass DragonForce die Webseite von RansomHub „gehackt“ haben könnte. Als Vergeltung drang ein Mitglied von RansomHub in die Webseite von DragonForce ein und bezeichnete die Gruppe als „Verräter“. Ähnlich wie Lewis glaubt Rafe Pilling, Director of Threat Intelligence bei Sophos, dass der Konflikt zwischen den beiden Cybercrime-Gangs im schlimmsten Fall dazu führen könnte, dass beide im Kampf ums Geschäft dieselben Opfer angreifen. Cyber-Kriminelle seien eine skrupellose Bande, so Pilling. „Ein Verrat zwischen Partnern kann dazu führen, dass das Opfer zweimal erpresst wird.“

(akn)