Sylvester ist im Urlaub, der stellvertretende c’t-Chefredakteur Jan Mahn springt ein und bringt ein Thema mit in den „Passwort“-Podcast: Bulletproof Hoster, kurz BPH. Die nutzen allerlei Tricks, um ihre oft böswilligen Kunden vor Behördenanfragen, Abschaltung und anderen Störungen ihrer Machenschaten zu schützen. Gemeinsam mit Christopher hat Jan in dieser Szene recherchiert und einen besonders krassen Fall von Identitätsdiebstahl aufgedeckt – die Spur führt in die Türkei.

Aber natürlich gibt es auch wieder reichlich PKI: Zertifikate für recht originelle Domains, erste Details zu einem neuen ACME-Mechanismus und eine deutliche Warnung vor IP-Zertifikaten sind die Themen, die die Szene in den letzten Wochen bewegten. Und auch Security-Appliances dürfen nicht fehlen, diesmal jedoch aus einem eher wirtschaftlichen Blickwinkel. Christopher erzählt, wie ein bekannter Hersteller von Security-Appliances durch Investoren erst gegründet und dann systematisch kaputtgespart wurde. Das schreibt der Branchendienst Bloomberg in einer langen Analyse. Christopher kann die nachvollziehen, zumal die Ergebnisse für sich sprechen: Schwere Sicherheitsversäumnisse ermöglichten massive Angriffskampagnen von Cyberkriminellen und ausländischen Mächten.

Die aktuelle Folge von „Passwort“ steht seit Mittwoch, dem 4. März auf allen Plattformen bereit.

(imp)

Heute stimmt der Landtag in Sachsen-Anhalt über ein neues Polizeigesetz ab. Darin soll erstmals eine Softwarelösung erlaubt werden, die ganz unterschiedliche Datentöpfe der Polizeibehörden zusammenbringen und damit Datenanalysen ermöglichen soll. Solche Software bezieht nicht nur Verdächtige von Straftaten ein, sondern massenhaft Unbeteiligte, Zeugen oder Kontaktpersonen, die auch in einem solchen Analysesystem landen würden.

Nach harscher Kritik hat die Landesregierung nun eine abgeänderte Version des Gesetzes vorgelegt, die einige Aspekte der Kritik aufnimmt und die Hürden zur Durchführung der Datenanalysen erhöht. Die Änderungen werden von Kritikern positiv bewertet. Indes sind sich Sachverständige einig: Ausreichend sind die Neuerungen nicht, um die gesetzlichen Regelungen zur Datenrasterung als verfassungskonform zu bewerten.

Auch ist weiterhin nicht ausgeschlossen, dass eine Software des US-Konzerns Palantir zum Einsatz kommen könnte. Die Nutzung einer Big-Data-Analysesoftware des Überwachungskonzerns war als Zwischenlösung im Gespräch.

Wesentliche Kritikpunkte bleiben

Der Streit um das Gesetz köchelt seit etwa einem Jahr. Sachverständige hatten bei einer Anhörung wenig Lob für den Gesetzentwurf der schwarz-rot-gelben Landesregierung zur Änderung des Polizeigesetzes. Sie kritisierten besonders, dass der Entwurf sehr weitgehende und kaum begrenzte Analysen riesiger Datenmengen erlaube, beispielsweise aus den hoheitlichen Datenschätzen der verschiedenen polizeilichen Informationssysteme sowie Vorgangs- und Falldatensammlungen.

Von der Polizei dürfte diese automatisierte Datenrasterung unter deutlich zu geringen Voraussetzungen vorgenommen werden, so die Sachverständigen. Deswegen verstoße die geplante landesrechtliche Regelung gegen das Grundrecht auf informationelle Selbstbestimmung und missachte die klaren Maßstäbe des Bundesverfassungsgerichts in seinem Datenanalyse-Urteil. Das hohe Gericht hatte bestimmt, dass Wesentliches bei einer Datenanalyse gesetzlich zu regeln sei. Die Praxis und damit die Eingriffe in Grundrechte von Bürgern allein der Polizei und gar deren Dienstleistern zu überlassen oder in eine Verordnung auszulagern, ist seither eigentlich nicht mehr möglich.

Klar ist: Solche automatisierten Datenanalysen bleiben nicht folgenlos, das betonte das Bundesverfassungsgericht in seiner Entscheidung aus dem Jahr 2023. Denn die Ergebnisse dieser Analysen ziehen ja polizeiliche Maßnahmen nach sich, können also diejenigen Menschen schwer belasten, die ins Raster geraten sind. Weitere polizeiliche Eingriffsbefugnisse können und sollen schließlich auf die Datenanalyse folgen.

Der Wilde Westen beim Data-Mining der Polizei ist vorbei

Auf die Kritik hat die Landesregierung reagiert: Mehrere Änderungen gab es nun in dem Paragraphen, der das polizeiliche Data Mining ermöglicht (§ 30a). Das wird in Sachsen-Anhalt einerseits strategische Datenanalyse und andererseits operative Datenanalyse genannt.

Der schon als Sachverständiger mit dem Entwurf befasste Jurist am Deutschen Forschungsinstitut für öffentliche Verwaltung Speyer, Jonas Botta, begrüßt gegenüber netzpolitik.org die Überarbeitung: Die Anforderungen an die Durchführung solcher Analysen seien verschärft worden. Das nun enthaltene „ausdrückliche Verbot lernender KI-Systeme“ schätzt er als positiv ein.

Allerdings sieht er eine „Diskrepanz zwischen Norm und Begründung“ bei dem entsprechenden Paragraphen im Gesetz zur Datenanalyse. Denn der erlaube „eine Datenzusammenführung ausschließlich zum Zweck einer konkreten Analyse“. Der Gesetzestext sagt, dass eine Analyse „im Einzelfall“ polizeiliche Ermittlungen unterstützen oder zur Gefahrenabwehr beitragen soll.

Die Gesetzesbegründung zeige hingegen, so Botta, dass „eine dauerhafte Zusammenführung angestrebt wird“. Auch vergleichbare Normen in Polizeigesetzen anderer Bundesländer ließen dies erkennen. Für diese dauerhafte Zusammenführung der Datensammlungen fehle jedoch in Sachsen-Anhalt eine „eigenständige gesetzliche Grundlage“.

Botta stellt zudem insgesamt gegenüber netzpolitik.org fest: „Wesentliche Kritikpunkte aus dem parlamentarischen Verfahren“ blieben bestehen. Der Jurist sagt: „Der Umfang der zusammenzuführenden Datensätze ist nach wie vor erheblich und erfasst auch Daten von Unbeteiligten, Zeugen und Geschädigten.“

Es fehle ebenso ein „belastbares Kontrollkonzept“. So wären „verpflichtende Stichproben durch die unabhängige Datenschutzaufsicht“ notwendig. Der Grund ist ein „strukturelles Rechtsschutzdefizit“, das auszugleichen ist. Es besteht darin, dass „die Betroffenen von der Verarbeitung ihrer Daten in aller Regel nichts erfahren“.

Auch die Juristin Franziska Görlitz von der Gesellschaft für Freiheitsrechte (GFF) hatte den Entwurf bereits als Sachverständige analysiert und kritisiert. Sie weist nun gegenüber netzpolitik.org darauf hin, was der Kern der Kritik war und bleibt: „Mit der Änderung des Polizeigesetzes werden der Polizei in Sachsen-Anhalt nun komplexe intransparente Datenanalysen erlaubt. In diese Analysen geraten in riesigen Mengen auch Daten von bisher unbeteiligten Personen.“

Denn schon wer beispielsweise einmal einen Verkehrsunfall hat, eine Straftat beobachtet oder eine Anzeige erstattet, landet in Polizeisystemen und „dessen Daten fließen in die Analysen ein“, so Görlitz. „Im schlimmsten Falle können Menschen so fälschlicherweise ins Visier der Polizeibehörden geraten.“

Die Datenanalysen seien weiterhin unter zu geringen Voraussetzungen zulässig. Auch „ausreichende Vorkehrungen gegen Fehler und Diskriminierung bei der Analyse“ fehlten noch immer. Wie Botta sieht Görlitz die Kontrolle als mangelhaft: Die Analysepraxis werde durch das Gesetz nicht ausreichend kontrolliert.

Sie senkt selbst nach den Änderungen deutlich den Daumen: „Das Gesetz genügt den Anforderungen des Bundesverfassungsgerichts für Datenanalysen nicht. Der Schutz der Grundrechte ist nicht ausreichend sichergestellt.“

Bleibt ein Einsatz der Software von Palantir möglich?

Was die Frage nach einen möglichen Einsatz von Software von Palantir angeht, sagt Görlitz gegenüber netzpolitik.org: Das Gesetz stelle „nicht sicher, dass für die Analysen nur Softwaretools genutzt werden dürfen, deren Funktionsweise transparent ist“. Es könnten nach dem Gesetzestext also Abhängigkeiten von Konzernen wie Palantir drohen.

Die Nutzung einer Software des US-Konzerns Palantir bleibt damit rechtlich weiter möglich, aber politisch in der derzeitigen Landesregierung wohl unwahrscheinlich.

Unverbindlicher Antrag

Darauf deutet auch ein Papier, das zusammen mit dem neuen Gesetz kommt. Denn zugleich soll der Landtag einen Entschließungsantrag zur digitalen Souveränität abstimmen, der als Ziel ein „bundesweit betriebenes, europäisch beherrschtes System“ für die polizeiliche Datenanalyse formuliert. Die bislang nicht existierende Software soll so konzipiert sein, dass sie „die digitale Souveränität Deutschlands und Europas stärkt, die vollständige rechtliche und technische Kontrolle durch staatliche Stellen gewährleistet und Abhängigkeiten von außereuropäischen Anbietern vermeidet“.

Der Antrag betont, „dass der Einsatz automatisierter Datenanalyseverfahren einen besonders intensiven Eingriff in die Grundrechte der betroffenen Personen darstellt“. Er sei wegen dieser Eingriffstiefe und Streubreite „nur unter strikter Beachtung der verfassungsrechtlichen Vorgaben zulässig“.

Doch genau das bezweifeln die Experten mit guten Argumenten. Görlitz betont gegenüber netzpolitik.org zu dem Papier: „Der geplante Entschließungsantrag ist unverbindlich und kann die digitale Souveränität nicht sicherstellen.“ Mehr als Symbolpolitik ist ein solcher Antrag also nicht.

Das weiß auch Jurist Botta. Er entfalte keine „Bindungswirkung gegenüber der Landesregierung“, sagt er gegenüber netzpolitik.org. Ohnehin werde Palantirs „Gotham“-Software in dem Entschließungsantrag gar nicht benannt. Botta betont, der Einsatz von Palantir-Software möge politisch derzeit unwahrscheinlich sein, „die nächste Landesregierung könnte das jedoch schon ganz anders sehen“.

Und das könnte nach dem 6. September im Falle eines Wahlsiegs auch eine Regierung mit der AfD sein. Die Partei ist vom Inlandsgeheimdienst dort als gesichert rechtsextrem eingestuft, erreicht in Umfragen aber Werte um die vierzig Prozent.

Die Fraktionsvorsitzende der oppositionellen Linken im sachsen-anhaltinischen Landtag, Eva von Angern, fordert daher, die Grundrechte der Bürgerinnen und Bürger anzuerkennen und besser gleich grundrechtskonforme Regeln zu schaffen. Denn „Rechtssicherheit hilft am Ende auch den Polizeibehörden deutlich mehr, als wenn Teile des Gesetzes einer Prüfung vor Gericht nicht standhielten“. Die Linke brachte einen Änderungsantrag ein, der einen Parlamentsvorbehalt und bessere Kontrollvorgaben beinhaltet und die Datenanalyse auf Verdächtige, Beschuldigte und Festgenommene beschränkt.

Nach dem Anschlag auf den Magdeburger Weihnachtsmarkt im Dezember 2024, der oft als Begründung für die neuen Befugnisse herangezogen wurde, und dem nachfolgenden Untersuchungsausschuss fordert von Angern die Innenministerin Tamara Zieschang (CDU) auf, statt der neuen Befugnis die „Defizite in ihrer Polizeibehörde“ aufzuarbeiten. Denn beim „Attentäter von Magdeburg gab es ein eindeutiges Behördenversagen“, so von Angern. Sie wendet sich dagegen, nun durch das Polizeigesetz ein ganz neues Instrument zu etablieren, „das am Ende womöglich als rechtswidrig eingestuft wird und Bürgerinnen und Bürger einem Generalverdacht unterzieht“.

Die Befürchtung, dass die Datenanalyse-Regeln bei einer Prüfung in Karlsruhe nicht Bestand hätten, teilt der Jurist Botta. Er sagt gegenüber netzpolitik.org mit Blick auf den Datenanalyse-Paragraphen und die fehlende gesetzliche Grundlage für die offenbar dauerhaft geplante Polizeidatenzusammenführung: „Sollte Verfassungsbeschwerde erhoben werden, dürfte das Bundesverfassungsgericht die Norm aus den genannten Gründen zumindest teilweise für verfassungswidrig erklären.“

Die GFF-Juristin Görlitz zeigt sich gegenüber netzpolitik.org ebenfalls skeptisch. Sie sagt: „Die GFF hat bereits im Gesetzgebungsverfahren starke Bedenken an der Verfassungsgemäßheit der Regelung geäußert. Bei Inkrafttreten des Gesetzes prüfen wir mögliche Klagen.“

Es wäre nicht das erste Mal, dass die GFF verfassungswidrige Gesetze erfolgreich in Karlsruhe zu Fall bringt. Denn das Datenanalyse-Urteil aus dem Jahr 2023 ging schon auf die Kappe der Grundrechtsaktivisten, da sie eine Verfassungsbeschwerde eingereicht hatten. Auch gegen die Regelungen in den Bundesländern Nordrhein-Westfalen, Hessen und Bayern, die Software von Palantir nutzen, ging die GFF bereits aktiv rechtlich vor. Das sollte den Abgeordneten, die über das Gesetz abstimmen, vielleicht zu denken geben.

Von vielen unbemerkt hat Google für den Webbrowser Chrome in der Nacht zum Mittwoch ein Update veröffentlicht. Zunächst war die Versionsankündigung leer. In der Nacht zum Donnerstag haben die Entwickler jedoch nachgelegt – es handelt sich um ein wichtiges Sicherheitsupdate.

In der Releaseankündigung schreibt Google inzwischen, dass die Aktualisierung gleich zehn Sicherheitslücken abdichtet. Davon erreichen drei sogar den Schweregrad „kritisch“. Das schlägt sich auch in der gezahlten Belohnung für die Melder nieder: einmal fließen 33.000 US-Dollar, das andere Mal 32.000 US-Dollar; im dritten Fall knobelt das Unternehmen den Betrag noch aus.

Die schwerwiegendsten Lücken betreffen etwa das WebGL-Backend ANGLE. Angreifer aus dem Netz können mit manipulierten Webseiten einen Ganzzahl-Überlauf darin missbrauchen und dadurch auf Speicherbereiche außerhalb der vorgesehenen Grenzen zugreifen (CVE-2026-3536, noch kein CVSS-Wert, Risiko „kritisch“). In PowerVR von Chrome unter Android gibt es nicht näher erläuterte Probleme mit dem Lebenszyklus von Objekten, was in einem missbrauchbaren Speicherfehler auf dem Heap mündet (CVE-2026-3537, noch kein CVSS-Wert, Risiko „kritisch“). Außerdem findet sich in der für nahezu alle Grafikoperationen genutzten Komponente Skia ein Ganzzahlüberlauf mit den bekannten Folgen (CVE-2026-3538, kein CVSS-Wert, Risiko „kritisch“).

Google Chrome: Codeschmuggel-Lücken

Derartige Lücken erlauben oftmals das Ausführen von eingeschleustem Schadcode, was auch die Risikoeinschätzung widerspiegelt. Um die Lücken zu attackieren, muss etwa eine sorgsam präparierte Webseite mit dem Webbrowser angezeigt werden. Immerhin schreibt Google nichts davon, dass die Lücken bereits in freier Wildbahn attackiert würden – das nötigte das Unternehmen etwa Mitte Februar dazu, ein Notfall-Update außer der Reihe zu veröffentlichen.

Sieben weitere Sicherheitslücken haben vergleichbare Folgen, sind aber offenbar schwieriger zu missbrauchen. Deshalb haben die Chromium-Entwickler ihnen als Risikobewertung lediglich das Risiko „hoch“ attestiert. Dennoch sollten Nutzer von Chrome und anderen Chromium-basierten Webbrowsern sicherstellen, dass sie die jüngsten, fehlerkorrigierten Fassungen der Webbrowser einsetzen. Das sind Chrome 145.0.7632.159 für Android und Linux, Version 146.0.7680.38 für iOS sowie Chrome 145.0.7632.159/160 für macOS und Windows. Die Extended-Stable-Fassung ist derzeit in Fassung 144.0.7559.236 für macOS und Windows auf aktuellem Stand.

Updates lassen sich etwa durch den Klick auf das Symbol mit den drei gestapelten Punkten rechts von der Adressleiste und dem weiteren Pfad über „Hilfe“ – „Über Google Chrome“ finden und gegebenenfalls anwenden. Unter Linux ist dazu in der Regel der Aufruf der Softwareverwaltung der eingesetzten Distribution für die Update-Verteilung aufzurufen. Unter Android und iOS kommen die Aktualisierungen über die jeweiligen App-Stores – steht es dort noch nicht bereit, hilft nur abwarten. Erzwingen lässt sich die Aktualisierung dort nicht. In Kürze dürften auch Aktualisierungen für andere Chromium-basierte Webbrowser wie Microsofts Edge erscheinen, die Nutzer und Nutzerinnen zeitnah installieren sollten.

(dmk)