Die Haecksen sind eine Gruppe im Umfeld der deutschen Hacker*innenszene. Sie richtet sich an Techniker*innen, Hacker*innen, Maker*innen, Wissenschaftler*innen, Künstler*innen, Aktivist*innen und solche, die es werden wollen. Die Gruppe versteht sich als queer-inklusiv und setzt sich für Queerfeminismus ein – auch in MINT-Berufen und der Hacker*innenszene.

Wir haben mit zwei Haecksen gesprochen: melzai und micma. melzai ist promovierte Informatikerin mit dem Schwerpunkt auf IT-Systeme im pharmazeutischen Kontext. Sie ist seit über 10 Jahren bei den Haecksen und im Chaos aktiv und derzeit die Vorstandsvorsitzende des Haecksen e.V.

micma ist zufällig in das Kick-Off der Chaos Feminist Convention Orga geraten. Seitdem ist sie Teil der Haecksen und hat im Content- und Konzept-Team die erste Chaos Feminist Convention „Utopia Test Environment“ mitgestaltet. Beruflich: liebt sie Wissensvervielfältigung. Privat: verschlingt sie abwechselnd Bücher, vegane Süßigkeiten und News zu Kultur und Technik.

Eine große dezentrale Community

netzpolitik.org: Was war der Anlass für dieses neue Chaos-Event, das sich im Umfeld des Chaos Computer Clubs verortet?

melzai: Wir Haecksen hatten alles gemacht, was parallel zum Congress des CCC möglich ist. Die Haecksen hatten schon seit den 1990er-Jahren einen Raum auf dem Congress und seit einigen Jahren haben wir den wieder benutzt. Nach der Pandemie waren Workshops dort völlig überlaufen, die Haecksen sind zuletzt jedes Jahr um 100 Personen gewachsen und so habe ich beim letzten Camp gefragt, ob wir mal was eigenes machen.
So können wir selbst die Inhalte kuratieren und gleichzeitig lernen, solche Events zu tragen und diese Verantwortung auch in der Gruppe zu übernehmen. Es ist einfach etwas anderes, wenn wir selbst die volle Verantwortung für alles von der Werkzeugbeschaffung über Verträge bis zum Budget tragen.

netzpolitik.org: Aber ihr werdet auch weiter bei Chaos-Events präsent sein?

melzai: Wir trennen uns nicht, nein. Es ist kein Entweder-oder, sondern eher ein Jetzt-endlich.

netzpolitik.org: Welches Ziel habt ihr über diese tendenziell organisatorischen Fragen hinaus mit der Veranstaltung verfolgt?

micma: Die Haecksen sind eine sehr große dezentrale Community, die sich auf verschiedenen Events trifft, etwa bei lokale Haecksen-Frühstücken. Es kennen sich nicht alle untereinander und eine eigene Convention ist ein Raum für Begegnung, über Online-Räume oder lokale Treffen hinaus.

melzai: Bei unseren Workshops auf Chaos-Events müssen wir hoffen, dass die Themen, die wir relevant finden, auch von Leuten vorgetragen werden, die das inhaltlich gut machen.

Mit dem eigenen Event können wir Leute einladen und auf Notwendigkeiten wie Honorare oder Fahrtkostenerstattung eingehen. Und das konnten wir auf den Chaos-Events nicht. Für aktivistische Arbeit wie Antirassismus oder Queerfeminismus, die vielleicht auch schwierig zu verstehen sind, wollten wir Geld in der Hand haben, um Beiträge von qualifizierten Personen einladen zu können.

Rückblick auf die erste „Chaos Feminist Convention“

netzpolitik.org: Wie ist das gelaufen aus eurer Sicht?

micma: Ja, also die erste Chaos Feminist Convention hat stattgefunden, die Tickets waren schnell weg, ich habe viele glückliche Gesichter gesehen, auch viele aufgeregte Gesichter vor Workshops oder Talks. Es gab manche, die schon Expert*innen sind, und manche, die das noch gar nicht so oft gemacht haben. Es war unsere erste und sie hat stattgefunden!

netzpolitik.org: Worüber habt ihr euch gefreut, was ist gut gelaufen?

melzai: Die Stimmung war super, die Beiträge waren sehr mannigfaltig und auch das remote Angebot wurde sehr aktiv genutzt, weil wir in der Haecksen-Community auch Menschen haben, die nicht vor Ort dabei sein können. Deswegen gab es ein hybrides und remote Angebot und zum größten Teil hat es auch funktioniert.

netzpolitik.org: Wie viele Leute haben remote teilgenommen, waren also nicht vor Ort?

melzai: Etwa 130. Außerdem sind auch englischsprachige Besuchende in Hamburg vor Ort teilweise dorthin gewechselt, wenn es vor Ort nur deutschsprachige Angebote gab, remote aber etwas auf Englisch.

netzpolitik.org: Gab es Sachen, die nicht so gut geklappt haben?

melzai: Ich glaube, unsere Besuchenden wollten gern mehr helfen und das ging nicht, weil wir vorher alles schon so durchgeplant haben. Es ist ja auch ein Teil vom Geist des Events, dass man quasi helfend dort sitzt und dabei andere Leute kennenlernt. Und Rückzugsorte – ich denke, mehr Raum für so viele Leute wäre sicherlich auch nett gewesen.

Zurück zu den Wurzeln

netzpolitik.org: Was war der Grund dafür, dass ihr als Ort das Kulturhaus Eidelstedt ausgesucht habt?

melzai: Also, es ist zum einen natürlich geschichtsträchtig – es war, damals noch als „Bürgerhaus Eidelstedt“, der Gründungsort vom Chaos Communication Congress! Die Person, die das Haus leitet, ist mit dem Chaos eng befreundet. Außerdem bekommen wir dort als gemeinnütziger Verein Sonderkonditionen.

Wir haben wir in Hamburg außerdem eine große lokale Gruppe und einige Leute müssen doch mal vor Ort sein. Niemand sagt, dass die Convention so klein bleiben muss. Das ist ja die Entscheidung der Gemeinschaft, wie groß die Convention langfristig wird.

netzpolitik.org: Es gibt wegen der Brandschutzbestimmungen eine Begrenzung auf 200 Personen im Gebäude. Habt Ihr das in Kauf genommen, weil es dort nicht anders geht, oder war euch diese Begrenzung gerade recht?

melzai: Ich glaube, da sind zwei Sachen zusammengekommen. Wir hatten über 400 und 600 Personen in einer anderen Location nachgedacht, aber das wäre finanziell schwieriger gewesen. 200 war eine gute Größe, denn das hieß, dass wir alle Orga-Teams aufbauen mussten, aber gleichzeitig sind 200 Personen eine überschaubare Menge. Wenn irgendetwas fehlt, kann es im Supermarkt nachgekauft werden. Wahrscheinlich dachte der Chaos Computer Club vor fast 40 Jahren auch schon, dass es ein guter Ort ist, um etwas anzufangen!

netzpolitik.org: Das heißt auf der anderen Seite auch, dass eine ganze Menge Leute nicht kommen konnten, die vielleicht gerne gekommen wären. Gab es da spürbare Unzufriedenheit?

melzai: Nein. Es ist eher so, dass die Rückmeldungen extrem positiv waren, seit wir den Gedanken ausgesprochen hatten, dass wir so etwas vorhaben. Bei den Tickets hatten wir welche für die Sprechenden und für die Helfenden reserviert. Im freien Verkauf waren dann die Tickets innerhalb von 20 Sekunden weg. Als danach noch einige rausgingen, ging dann auch der Server in die Knie.

Aber das führte auf Mastodon, wo wir aktiv sind, nicht zu negativer Stimmung. Ich glaube, die ganze Gemeinschaft will, dass das stattfindet. Und hofft, dass es dann Stück für Stück größer wird.

Haecksen und Chaos

netzpolitik.org: Ist es aus eurer Sicht eher ein Chaos-Event oder eher ein feministisches/FLINTA-Event?

micma: Ich denke, es vor allem ein Haecksen-Event und es ist auch ein queerfeministisches Event. Haecksen gibt es fast so lange, wie es das Chaos gibt. Aber gleichzeitig ist es eine eigene Veranstaltung und wird von anderen Personen getragen. Es gibt auch viele Überschneidungen, aber ich sehe die Chaos Feminist Convention schon als etwas Eigenes.

melzai: Ich denke, sie nimmt Elemente aus dem Chaos auf, die wir gut finden. Das sind dieser sehr kreative Umgang mit Technik, die Möglichkeit als Person mit einem guten Thema die Bühne zu bekommen, die Möglichkeit, dass sich der Eventpreis möglichst an den Selbstkosten orientiert, die Verfügbarkeit der Aufzeichnungen hinterher. Dazu gehört auch das Thema Accessibility, sodass es zum Beispiel einige dafür reservierte Sitzplätze gibt. Und dass wir ein Awareness-Team haben, das auf die Besuchenden achtet. All diese Elemente findet man auch im Chaos.

Aber in sich ist es ein Haecksen-Event und das war halt anders, weil der Hintergrund der Leute ein anderer ist. Deswegen gab es zum Beispiel keine Chaos-Post. Die hätte es natürlich geben können, aber sie ist einfach nicht spontan entstanden.

Ein Raum für queerfeministische Werte

netzpolitik.org: Was hat sie zu einem queerfeministischen Event gemacht?

micma: Also einerseits der Verein selber. Die Haecksen verstehen sich als FLINTA und für die erste Chaos Feminist Convention hatten wir queerfeministische Utopien als Motto. Wir wollten einen Raum eröffnen, um darüber nachzudenken, was eine queerfeministische Utopie eigentlich bräuchte. Es ging darum, sich mit Personen dafür Zeit zu nehmen, die aus ganz unterschiedlichen Bereichen kommen und verschiedene Backgrounds haben. Queerfeministische Werte können auch für jede Person etwas komplett Unterschiedliches bedeuten.

melzai: Wir hatten fünf Tracks, zum Beispiel: „Science & Fiction – Wie könnte eine queerfeministische Utopie aussehen?“, „Tech & Engineering – Test Environment – Was wären technische Konzepte für die Zukunft?“, „Change & Feelings – Un_Sicherheit, Angst, Wut, Wellness und Empowerment“. Das gibt eine Richtung vor, die ich im Chaos ein bisschen im Hintergrund sehe.

Bei uns sind diese Komponenten extrem wichtig und stehen deutlich im Vordergrund. Das sind Sachen, die wir gerne durchdiskutieren würden. Was uns in den letzten Jahren gefehlt hat, war eine aktive Diskussion über Utopien, wo wir eigentlich hin wollen und wie es sich anfühlen könnte, wenn wir dort angekommen sind.

Wir verlieren uns im Klein-klein und in den Problemen der Welt, statt dass wir mal auf die positive Möglichkeit der Zukunft schauen. Aber vielleicht finden wir so einen Baustein, den wir in Angriff nehmen können.

Die Suche nach Utopien

netzpolitik.org: Wie wurde die Suche nach Utopien umgesetzt?

micma: Dass eine Gruppe, die sich teilweise nur per Nickname im Chat kennt, eine Convention für eine Community mit unterschiedlichen Bedürfnissen geschaffen hat, ist für mich schon etwas Bedeutsames. Es war ein erster Versuch und auch Kennenlernen in dieser Konstellation. Und das Motto war ja auch „Utopia Test Environment“. Für mich war auch die Chaos Feminist Convention selber wie eine großes Utopia-Testumgebung. Alle hatten Vorstellungen, aber niemand hätte sicher sagen können, wie das aussieht. Jetzt haben wir einen ersten Eindruck und die zweite kann auch wieder ganz anders sein.

melzai: Das erinnert mich so ein bisschen an unsere feministische Bibliothek, die wir bei jedem Event neu aufstellen, da tauchen immer andere Bücher auf. (Beide lachen)

Dadurch ist sie ja immer aktuell, weil die Leute die Bücher mitbringen, die sie für relevant halten. Spannend fand ich an der Convention, dass das Löten neben dem Workshop für hormonelle Selbstermächtigung steht, neben dem Workshop für Menstruations-Apps und neben dem Workshop für Gips-Abdrücke der Oberkörper. Es gab Techie-orientierte Vorträge, Soziologie-orientierte Vorträge und auch einen über Ernährung und ich glaube, da kann man vielleicht auch die queerfeministische Vision sehen.

Bei einem Beitrag ging es vor allem um Handarbeit, was wirklich ein wichtiges Thema für die Haecksen-Community ist. Es gibt eine Haeckse, die hat einen Fuhrpark für mehrere tausend Euro und veranstaltet Workshops schon seit Jahren dazu. Crafting neben Löten neben den anderen Thematiken, das passt alles zusammen.

Ein buntes Potpourri – mit Fokus auf Technik

netzpolitik.org: Ist das mit dem Programm gelungen, so wie es dann war? Oder gab es ein buntes Potpourri?

micma: Also es gab schon das bunte Potpourri. Es ist uns gelungen, Impulse zu setzen und gleichzeitig war uns wichtig, dass alle ihre Themen mitbringen können. Und das gibt ja wiederum Impulse, um vielleicht queerfeministische Utopien zu finden. Was kann zum Beispiel Fiction oder was hat kreatives Schreiben mit uns und unseren Utopien zu tun?

Aber es gab es natürlich auch Vorträge, die FLINTA-Personen als Betroffene von patriarchalen Strukturen wahrgenommen haben. Wir haben als Community, aber vor allem als FLINTA-Personen verschiedene Erfahrungen der Diskriminierung gemacht, auch intersektional gedacht, und was bräuchten wir, um queerfeministische Utopien sicher und angenehm für eine breite Masse an Individuen zu machen.

netzpolitik.org: Wer waren die Teilnehmer*innen?

melzai: Beim Alter reichte es von ungefähr 16 bis ungefähr 70. Bei der Gender-Diversität lag der Schwerpunkt stark auf dem FLINTA-Bereich, aber nicht nur. Es gab auch Cis-Männer, die sich in diverse Workshops gewagt haben, was ich sehr gut fand. Das war eigentlich die Idee. Wir hatten nicht nur Deutsch sprechende Beitragende und Besuchende, sondern auch Leute aus verschiedenen, nicht nur europäischen Ländern. Wir waren also jetzt schon international.

netzpolitik.org: Beim Congress gab es über Jahre immer wieder von einigen die Kritik, dass das Programm immer politischer sei und immer weniger Wert auf technische Themen gelegt würde. Wie wichtig ist euch Technik?

melzai: Mir ist Technik sehr wichtig. Deswegen denke ich, so eine gute Mischung ist der Trick.

micma: Ich sehe eine sehr starke IT- und Technik-Affinität bei sehr vielen Haecksen. Und gleichzeitig haben wir ganz unterschiedliche Interessen. Ich habe zum Beispiel noch nicht gestrickt. Es gibt aber Personen, die mir gezeigt haben, wie viel Technik dahinter steht, auch bei der Digitalisierung von Textilproduktion. Da gab es auch Lochkarten wie bei den ersten PCs. Und das haben mir Haecksen erklärt, die nicht beruflich in der IT arbeiten.

melzai: Dein Beispiel mit dem Stricken war super. Es gibt auch die programmierbaren Stick-Maschinen, mit denen man Einführungs-Workshops in Programmierung machen kann. Da können alle ein T-Shirt als Endprodukt mit nach Hause nehmen. Wir Haecksen sehen Technik auf vielen unterschiedlichen Niveaus, von Einführungen in verschiedene Bereiche bis hin zu Expert*innen-Workshops. Und das läuft bei uns alles unter Technik. Stricken nach Muster ist ja auch eine Form von Programmierung. Mir kann mir niemand erzählen, dass die Person nicht programmieren könnte, die so ein Strickmuster runterarbeitet.

Mitträumen, mitgestalten und mitdiskutieren

netzpolitik.org: Wobei gerade Stricken und Sticken natürlich wahnsinnig geschlechterstereotyp sind.

melzai: Unser Sauerteigbrot möglicherweise auch – wir hatten einen sehr aktiven Channel mit Backrezepten, schon vor der Pandemie. Aber in Wirklichkeit ist das eine komplizierte Kulturtechnik, nicht wahr?

netzpolitik.org: Keine Frage, ich stricke seit vielen Jahren, ich bin da total dabei, aber wie sahen technische Content-Teile aus, die sich auf anderes bezogen?

micma: Es gibt die Security-Haecksen, die sich mit IT-Sicherheit beschäftigen, teilweise auch beruflich. Dazu gab es Treffen und einen eigenen Track. Bei einigen Workshops ging es darum, Technik queer- oder FLINTA-friendly zu gestalten. Beim Thema Barrierefreiheit ging es darum, wie Software oder Hardware auf bestimmte Bedürfnisse zugeschnitten werden. Es gab eine Person, die eigene Keyboards designt hat. Da kann es um Barrierefreiheit gehen oder einfach darum, was du schön findest. Vielen Personen ist nicht bewusst, dass es eine furchtbare Erfahrung sein kann, mit einem speziellen Reader eine Webseite aufzurufen, wenn die nicht spezifisch nach Kriterien der Barrierefreiheit ausgerichtet ist. Das ist auch 2025 noch sehr relevant.

netzpolitik.org: Wie geht es weiter? Gibt es die Convention nächstes Jahr wieder?

melzai: Das können wir noch nicht beantworten. Übernächstes Jahr ist das Camp, deswegen bietet sich ein Zwei-Jahres-Rhythmus nicht an, aber wir sind auch nicht sicher, ob wir dann schon nächstes Jahr noch eine Convention machen. Aber was wir sicher wissen, es wird eine nächste geben.

micma: Ich würde gerne einfach mehr Menschen diese Freude mitgeben, die ich mitgenommen habe. Traut euch, Räume zu schaffen, in denen alle mitträumen, mitgestalten und vielleicht auch mitdiskutieren können, wenn sie es wollen.

Hinweis: Anne Roth, die das Interview für netzpolitik.org führte, hat bei der Veranstaltung einen Vortrag gehalten und einen Workshop gegeben. Sie ist außerdem an der Haecksen-Arbeitsgruppe zum Thema digitales Stalking beteiligt.

Seit vorletzter Woche ist bekannt, wie die Pläne von Bundesinnenminister Alexander Dobrindt (CSU) für die Polizeibehörden des Bundes aussehen: Wir haben den Referentenentwurf eines „Sicherheitspakets“ seines Hauses veröffentlicht.

Die polizeilichen Bundesbehörden hatten Palantir unter SPD-Vorgängerin Nancy Faeser meiden müssen. Nun plant Dobrindt, dem US-Konzern die Türen zu öffnen. Sowohl das Bundeskriminalamt als auch die Bundespolizei sollen Datenanalysesoftware wie die von Palantir nutzen dürfen, um „verschiedene Datenbestände technisch zusammenzuführen“ und dann automatisiert zu analysieren. Dobrindts Initiative stößt mitten in eine bereits laufende Debatte, ob und unter welchen Bedingungen personenbezogene Daten aus polizeilichen Systemen in einer Analysesoftware zusammengeführt und ausgewertet werden dürfen.

Zwei der Kabinettskollegen von Dobrindt haben sich zu den Palantir-Plänen bereits zu Wort gemeldet. Justizministerin Stefanie Hubig (SPD) hat Bedenken und mahnt die Einhaltung rechtsstaatlicher Grundsätze an.

Auf die Frage, ob es eine gute Idee sei, Software von Palantir für die Polizei zu nutzen, sagte hingegen Digitalminister Karsten Wildberger (CDU): Wenn ein Anbieter eine solche Technologie bereitstellt, sollten wir in sie investieren.

Laut den Plänen Dobrindts sollen das BKA und die Bundespolizei außerdem mit Hilfe von biometrischen Abgleichen im Internet nach Menschen fahnden dürfen. Das BKA dürfte dann das Netz etwa nach Gesichtern oder anderen biometrischen Merkmalen von Verdächtigen, aber auch nach Opfern oder Zeugen durchforsten.

Die automatisierte Analyse von Polizeidaten über eine Vielzahl von Menschen und das Abgrasen des Internet nach biometrischen Mustern völlig Unbeteiligter sind beides ohne Zweifel weitreichende und neuartige Befugnisse. Welche Kritikpunkte Experten an Dobrindts Überwachungsplänen vorbringen, haben wir zusammengetragen.

Regierung kennt keine Alternativen zu Palantir

Das Bundesinnenministerium hat eingeräumt, den Einsatz von Palantir-Software zu prüfen. Deswegen war der US-Konzern auch Thema in der Regierungspressekonferenz am Mittwoch. Ein Sprecher des Innenministers, Lars Harmsen, räumte ein, dass aktuell diese „Prüfung“ stattfinde, deren Ausgang er natürlich nicht vorwegnehmen könne. Er konnte auch keine Zwischenergebnisse mitteilen. Die Software des US-Konzerns Palantir werde dabei auch geprüft, jedoch behandele man das Thema insgesamt „produktneutral“.

Tilo Jung stellte in der Regierungspressekonferenz die Gretchen-Frage, ob der Regierung Alternativen zu Palantir denn überhaupt bekannt seien. Harmsen gab die mantraartige Auskunft, dass Palantir aufgrund des „europaweit durchgeführten“ Vergabeverfahrens in Bayern als das „einzige Unternehmen“ bekannt sei, das eine „marktverfügbare Software“ anbietet, die den hohen definierten Anforderungen entspräche. Aber man strebe grundsätzlich eine europäische oder deutsche Lösung an.

Mitbewerber von Palantir sehen diese wiederholten Aussagen zur Alternativlosigkeit selbstverständlich kritisch. So sagt etwa Robert Simmeth, der Deutschland-Geschäftsführer vom konkurrierenden Softwarekonzern SAS, gegenüber netzpolitik.org: „Palantir hat kein technisches Monopol. Es gibt leistungsfähige Alternativen“, sie seien auch „rechtsstaatlich kompatibel“.

„Gift für die Demokratie“

Das Vorhaben Dobrindts, eine Software zur Datenanalyse bei den Polizeien des Bundes einzusetzen, stößt bei Lena Rohrbach, Expertin für Menschenrechte im digitalen Zeitalter bei Amnesty International in Deutschland, auf wenig Gegenliebe. „Das Wort ‚Datenanalyse‘ klingt nach einem präzisen und nachvollziehbaren Vorgang, aber das Gegenteil ist der Fall. Zuvor nicht verknüpfte Daten werden zusammengeführt, um eine umfassendere Überwachung zu ermöglichen“, sagt Rohrbach gegenüber netzpolitik.org. Denn es handele sich um eine „auf einem geheimen Code basierende Software“, die Schlussfolgerungen ziehe, „die der Mensch vor dem Rechner oftmals nicht nachvollziehen kann“.

Carola Otte von der Humanistischen Union kritisiert auch die Art der personenbezogenen Daten aus den Systemen des BKA, der Bundespolizei und aller Polizeibehörden, die verknüpft werden sollen: Dort enthalten seien auch „Daten von Zeuginnen und Zeugen, Opfern, Beschuldigten und Unbeteiligten, die nicht durch die wenigen Einschränkungen im Gesetzentwurf ausgefiltert werden“. An die zu verwendende Software werden außerdem „keinerlei Anforderungen gestellt, zum Beispiel an Transparenz oder Erklärbarkeit der Ergebnisse“.

Das kritisiert auch Rohrbach: Die verwendete Software sei intransparent, der Quellcode im Falle von Palantir oder anderen privaten Unternehmen „nicht einsehbar“. Deswegen könnten sich Betroffene „nur schwer gegen falsche Verdächtigungen wehren“, sofern sie überhaupt von der Auswertung oder von polizeilichen Folgemaßnahmen erfahren würden.

Palantir bietet mit seiner Software vor allem die Analyse komplexer Datensätze und die Erkennung von Mustern in Daten an. Solche Auswertungsprozesse werden von dem Konzern zwar bereits seit vielen Jahren angeboten, heute aber als „Künstliche Intelligenz“ vermarktet. Rohrbach weist darauf hin, dass KI in dieser Form oft „marginalisierte Gruppen, etwa People of Colour, Alleinerziehende, arme Menschen oder Menschen mit Migrationsgeschichte“ diskriminiere.

Die Menschenrechtsexpertin verweist auch auf die Amnesty-Recherchen zum Einsatz solcher Software durch Behörden, beispielsweise in den Niederlanden, Serbien, Großbritannien oder den Vereinigten Staaten. Sie hätten solche Diskriminierungen immer wieder aufgezeigt. „Es ist auch hier zu erwarten“, sagt Rohrbach. „Menschen werden nicht wissen, welche Verhaltensweisen Datenspuren hinterlassen, die das System verdächtig findet. Das schüchtert ein und ist Gift für die Demokratie und eine starke Zivilgesellschaft.“

Dabei könnten Menschen ins Visier der Behörden geraten, „die einfach nur im falschen Stadtteil unterwegs waren, gemeinsame Bekannte mit einer verdächtigen Person teilen oder im Netz ein lustiges Video geteilt haben, das von einer polizeibekannten Person stammt“. Manche solcher Systeme würden prinzipiell auch „die Totalüberwachung der Bevölkerung und das Generieren von Listen regierungskritischer Personen“ ermöglichen. Deswegen seien sie „eine akute Gefahr für Menschenrechte und Demokratie“, so Rohrbach gegenüber netzpolitik.org. Das sei in Dobrindts Paket zwar nicht unmittelbar vorgesehen, müsse aber als Warnszenario gesehen werden, um das Potential solcher Software zu verstehen.

Das Problem in der Praxis

Teresa Morrkopf-Widlok, Vorsitzende des netzpolitischen Vereins LOAD, sieht zwar die Notwendigkeit, dass „BKA und Bundespolizei handlungsfähig und zeitgemäß ausgestattet“ sein müssen. „Aber wenn es allein darum geht, große Datenmengen auszuwerten, braucht es dafür kein ‚Wundertool‘ von Palantir.“ Das eigentliche Problem liege nämlich in der Praxis oft woanders: „Die Datenbestände sind vielfach veraltet oder schlecht gepflegt, genau dort müsste man zuerst ansetzen“, so Morrkopf-Widlok.

Sie warnt: Solange nicht gewährleistet sei, dass „falsche Einträge oder überholte Informationen systematisch erkannt und aussortiert werden und die Zweckbindung der Daten“ erhalten bliebe, solle man „gegenüber den Heilsversprechen solcher Softwarelösungen skeptisch“ sein.

Diese Heilsversprechen bestehen beispielsweise in der Behauptung von Palantir, dass die angebotene Software Strafverfolgungsbehörden effizienter machen würde. Nach eigenen Angaben analysiere die Software enorme Datenmengen und erkenne darin Muster, die andere Anbieter nicht oder nur schwer finden würden. Unabhängige Nachweise für diese Behauptungen gibt es nicht.

Rainer Rehak vom Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) warnt deshalb vor der Zusammenarbeit mit Palantir. Denn der Nutzen sei „nie transparent dargelegt“ worden. Somit seien „die demokratisch gebotenen Verhältnismäßigkeitsüberlegungen unmöglich“.

Anlasslose biometrische Massenüberwachung

Der Referentenentwurf von Dobrindt enthält auch sehr weitgehende Biometrie-Befugnisse. Das BKA und die Bundespolizei sollen über die Auswertung von biometrischen Daten in „öffentlich zugänglichen Daten aus dem Internet“ beispielsweise die Gesichter von Menschen abgleichen dürfen. Auch Bewegungs-, Verhaltens- oder Sprechererkennung dürften künftig von beiden Behörden genutzt werden. Praktisch könnten dann alle Bilder, Audiodateien und Videos, die Behörden im Internet finden können, automatisiert anhand von biometrischen Merkmalen abgeklopft werden. Der öffentliche Raum Internet, in dem Millionen Menschen Bilder und Filme teilen und permanent miteinander kommunizieren, würde quasi seinen Charakter ändern: Alles würde zum potentiellen biometrischen Fahndungsrohstoff.

Sabine Grützmacher, stellvertretende Vorsitzende des netzpolitischen Vereins LOAD, kritisiert diese neuen Biometrie-Befugnisse: „Der Entwurf setzt auf biometrische Erfassung und anlasslose Massenüberwachung trotz tiefgreifender Grundrechtseingriffe und bekannter Chilling-Effekte.“ Der Begriff Chilling-Effekt bezieht sich auf eine Einschüchterung von Menschen durch staatliche Überwachungsmaßnahmen, die zu einer ungewünschten Verhaltensänderung führen können.

Dass künftig zum Beispiel „private Social-Media-Beiträge“ überwacht werden sollen, sieht Grützmacher besonders kritisch. Das ginge „zulasten von Bürgerrechten“ und sei „sicherheitspolitisch wie demokratisch nicht nachvollziehbar“.

Der Verband der Internetwirtschaft eco sieht den Referentenentwurf ebenfalls kritisch und fordert die Regierung auf, das Gesetzespaket gar nicht erst ins parlamentarische Verfahren einzubringen. Der eco-Vorstandsvorsitzende Oliver Süme sagt, Ermittlungsarbeit brauche „rechtsstaatliche Grenzen, nicht anlasslose Massenüberwachung“. Eine „biometrische Vollerfassung im Netz ist grundrechtswidrig“.

Carola Otte von der Humanistischen Union betont, wie „schwerwiegend in die Rechte einer riesigen Anzahl von Personen auf der ganzen Welt“ eingegriffen werde. Es sei schwer vorstellbar, welche Straftatbestände einen solch großen Eingriff rechtfertigen könnten, sagt sie, „jedenfalls sicher nicht alle der genannten, die unter anderem bestimmte Formen des Sozialhilfebetrugs oder der Kleindealerei beinhalten“.

Rainer Rehak vom FIfF erklärt gegenüber netzpolitik.org, dass „kein denkbares gesellschaftliches Bedrohungsszenario“ diese Art der Biometrienutzung rechtfertigen würde. Sie würden „ungeahnte Massen-Idenfikationen und -Kontrolle ermöglichen, aber gleichzeitig prinzipiell sehr fehleranfällig“ sein.

„Eindeutig datenschutzwidrige Tools“

Auch Thilo Weichert von der Deutschen Vereinigung für Datenschutz kritisiert die Ausweitung der automatisierten Gesichtserkennung: Die geplanten Regelungen seien „in Bezug auf den Begriff des ‚biometrischen Abgleichs‘ zu unbestimmt. Sie legitimieren die polizeiliche Nutzung eindeutig datenschutzwidriger Tools und Internet-Dienstleistungen.“

Auch die Einschränkung, die der Referentenentwurf enthält, überzeugt Weichert nicht. Denn im Entwurf heißt es, dass die öffentlich zugänglichen Daten aus dem Internet „nicht in Echtzeit erhoben“ werden dürfen. Der erfahrene Jurist und langjährige Landesdatenschützer erklärt gegenüber netzpolitik.org: „Der Ausschluss des Abgleichs ‚in Echtzeit‘ ist ein ungeeigneter Versuch, sich in den Einklang mit der KI-Verordnung zu bringen.“

Carola Otte von der Humanistischen Union betont, dass nach dem Referentenentwurf kaum ein anderes Szenario vorstellbar sei, als dass die biometrischen Daten „heruntergeladen und in einer Datenbank gespeichert werden sollen, von wo aus sie dann automatisiert ausgewertet werden sollen“. Wenn das die Intention sein, dann läge ein Verstoß gegen die KI-Verordnung vor.

Schon als ein erstes „Sicherheitspaket“ der damaligen Ampel-Regierung vorgestellt wurde, war die Antwort auf eine Frage unbeantwortet geblieben, sagt Rohrbach von Amnesty, nämlich „wie der Abgleich mit dem Internet funktionieren soll, ohne die KI-Verordnung der EU zu verletzen“. Denn die KI-Verordnung verbiete den Aufbau von ungezielt ausgelesenen Gesichtsdatenbanken. Das aber sei „die technische Voraussetzung für die Pläne von Innenminister Dobrindt“. Das Problem sei „weiter ungelöst“, so Rohrbach.

Wenn zur biometrischen Datenverarbeitung „auf externe Anbieter wie PimEyes oder Clearview zugegriffen“ werden sollte, dann sieht Otte zusätzlich einen Verstoß gegen die Datenschutzgrundverordnung durch die kommerziellen Anbieter.

Auf die DSGVO verweist auch Weichert. Biometrische Identifizierungsdaten fielen nach den europarechtlichen Vorgaben der DSGVO und der JI-Datenschutzrichtlinie „als besonders geschützte Kategorie personenbezogener Daten unter einen besonderen rechtlichen Schutz“. Dieser Schutz gründe auf dem Grundrecht auf Datenschutz gemäß Artikel 8 der Grundrechte-Charta.

Er betont gegenüber netzpolitik.org: „Die Regelungsvorschläge Dobrindts missachten diese Vorgaben“ und auch den Verhältnismäßigkeitsgrundsatz. Weichert ist sich sicher: Diese Vorschläge „werden vor dem Europäischen Gerichtshof keine Gnade finden“.

Lena Rohrbach von Amnesty International in Deutschland bewertet Dobrindts Vorhaben ebenfalls als „weder mit der EU-Richtlinie über Datenschutz in der Strafverfolgung noch der DSGVO oder der KI-Verordnung vereinbar“. Sie sieht auch keine Verhältnismäßigkeit gegeben.

Sie erklärt gegenüber netzpolitik.org: „Wenn Gesichtserkennungstechnologie alle Gesichter im Netz erfassen darf, um einige wenige Menschen zu suchen, ist das unverhältnismäßig und verletzt daher Menschenrechte.“ Das könne außerdem zu „Chilling Effects“ führen. Sie befürchtet, es könne „Menschen zum Beispiel davon abhalten, eine Demonstration zu besuchen, da davon häufig Fotos im Internet veröffentlicht werden, die dann durchsucht werden dürfen“.

Carola Otte von der Humanistischen Union erklärt gegenüber netzpolitik.org zu den geplanten biometrischen Regelungen: „Wir sehen diese Maßnahmen als völlig unverhältnismäßig und als gefährlich für die gesamte Gesellschaft an.“

Rainer Rehak vom FIfF geht davon aus, dass Dobrindts „Sicherheitspaket“ vermutlich „EU-rechtlich scheitern wird“. Doch er gibt zu bedenken: „Wir warnen allerdings dringend vor einer vorschnellen Verrechtlichung der Diskussion“, denn das Vorhaben an sich drücke ein Gesellschafts- und Sicherheitsverständnis aus, „was im Kern bekämpft werden muss, weil es prinzipiell einer freiheitlichen Gesellschaft entgegensteht“.

Trump geleckt

Zusammenarbeit mit Anbietern wie Palantir

Dobrindts Vorhaben könnten sowohl bei der biometrischen Auswertung als auch bei der automatisierten polizeilichen Datenanalyse die Zusammenarbeit mit kommerziellen Anbietern aus dem Ausland bedeuten. Zwar ist im CDU-CSU-SPD-Koalitionsvertrag noch betont, dass „digitale Souveränität“ Berücksichtigung finden soll. Allerdings erlaubt der Referentenentwurf nun explizit „die Zusammenarbeit mit Dritten, auch außerhalb der Europäischen Union“.

Carola Otte von der Humanistischen Union bewertet diese Erlaubnis als „skandalös“. „Offensichtlich sollen durch diese Erlaubnis Kooperationen mit Anbietern wie Palantir, PimEyes oder Clearview vorbereitet werden.“ Otte erklärt gegenüber netzpolitik.org, dass PimEyes und Clearview ganz offenkundig gegen die DSGVO verstoßen würden.

Den Konzern Palantir, gegen den auch in den Vereinigten Staaten protestiert wird, und dessen Mitgründer Peter Thiel sieht Otte kritisch. Der Milliardär Thiel sei ein „erklärter Gegner der Demokratie, der mit der aktuellen Regierung in den USA gut vernetzt ist“. Man mache sich mit solchen Kooperationen „weiterhin abhängig von den Interessen internationaler Konzerne, die teilweise bewusst die europäischen Datenschutzregelungen ignorieren“.

Rohrbach von Amnesty weist darauf hin, dass Palantir wegen seiner US-Aktivitäten als Partner kritisch zu betrachten sei: „Die Menschenrechte stehen in den USA im Dauerfeuer, Palantir ist daran aktiv beteiligt. Nach den UN-Leitprinzipien für Wirtschaft und Menschenrechte sollten öffentliche Stellen mit gutem Beispiel vorangehen und nicht bei Unternehmen einkaufen, die an Menschenrechtsverletzungen beteiligt sind.“ Sie fordert, dass die deutschen Behörden eine „Beschaffungsrichtlinie erhalten, die die Menschenrechtsbilanz eines Unternehmens künftig zwingend berücksichtigt“.

Rainer Rehak sieht im konkreten Fall von Palantir „durch seine zentralen Figuren Alex Karp und Peter Thiel eine Sonderstellung“. Das sei durch deren politische Äußerungen deutlich geworden. Rehak sagt über Karp und Thiel gegenüber netzpolitik.org: „Beide helfen aktiv bei der Faschisierung der USA unter Donald Trump, sprechen öffentlich vom Töten der ‚Feinde der USA‘ und nutzen all ihre Mittel, um den Rest der Welt ‚auf Linie‘ zu bringen. Vor diesem Hintergrund ist gerade die Nutzung der Software von Palantir die kurzfristigste und schlechteste Wahl, weil sie nicht nur eine fatale Abhängigkeit festigt, sondern dieses ultrarechte Projekt auch noch mit deutschen Steuermillionen mitfinanziert.“

Rehak bewertet die von Dobrindt geplante explizite Erlaubnis zur Zusammenarbeit mit kommerziellen Anbietern aber auch generell mit großer Skepsis: „Wir sehen die Auslagerung von genuin staatlichen Aufgaben in kommerzielle Bereiche hoch kritisch.“ Denn die „profitorientierte Logik von Märkten“, die sich an Angebot und Nachfrage orientiere, stehe der „Sorgelogik von staatlichem Handeln“ oft entgegen.

Er gibt auch zu bedenken, dass die Nutzung von kommerziellen Anbietern aus dem Ausland bedeute, „dass keine adäquate Kontrolle der Firmen möglich ist und bei solch großen Projekten zudem eine dauerhafte Abhängigkeit entsteht“. Das sei „das Gegenteil von digitaler Souveränität“.

Thilo Weichert von der Deutschen Vereinigung für Datenschutz pocht ebenfalls auf den Grundsatz „digitaler Souveränität“, aber auch auf „die verfassungsmäßige Pflicht, hoheitliche Gewalt nur durch gesetzlich geregelte und demokratische kontrollierte Behörden auszuüben“. Das stehe aus seiner Sicht im Widerspruch zu dem Ansatz, „wesentliche hoheitliche Aufgaben an kommerzielle Anbieter in Nicht-EU-Staaten auszulagern“.

Lena Rohrbach von Amnesty ist es wichtig, zu betonen: „KI-Analysen persönlicher Daten durch Behörden gehen immer mit Menschenrechtsrisiken einher und können in vielen Fällen Menschenrechte verletzen. Der Einsatz eines ‚Palantir made in Germany‘ oder einer deutschen biometrischen Überwachungssoftware wäre noch immer eine Gefahr für Menschenrechte und Demokratie.“

Kurswechsel in der Sicherheitspolitik gefordert

Amnesty International hat schon länger ein beobachtendes Auge auf Gesichtserkennungstechnologien und KI-Analysewerkzeuge für menschenrechtsfeindliche Zwecke, in Ländern wie Russland oder China schon länger, in den Vereinigten Staaten ganz aktuell. Rohrbach von Amnesty bemängelt, dass Dobrindts politische Agenda in die falsche Richtung geht, und fordert wegen des „zunehmenden Einflusses menschenrechtsfeindlicher und antidemokratischer Kräfte“ stattdessen einen „Kurswechsel in der Sicherheitspolitik“.

Sonst drohe eine Unsicherheitspolitik: „Ein schlüsselfertiger Überwachungsstaat ist brandgefährlich, weil er zur Unterdrückung von Protest, zur Diskriminierung und Verfolgung genutzt werden kann, wenn menschenrechtsfeindliche Kräfte an die Macht gelangen.“

Angreifer können IBM Operational Decision Manager (ODM) über verschiedene Wege attackieren. In einem Fall können Systeme abstürzen. Angreifer können aber auch vertrauliche Informationen einsehen.

ODM erfasst Daten über Geschäftsentscheidungen und hilft in diesem Rahmen bei der Automatisierung und Steuerung.

Zwei Sicherheitslücken

Eine Schwachstelle (CVE-2023-7272 „hoch„) betrifft die Eclipse-Parsson-Komponente, die JSON-Dokumente verarbeitet. Hier können Angreifer mit einem präparierten Dokument ansetzen. Öffnet ein Opfer so eine Datei, kommt es zu einem Speicherfehler, was in Abstürzen resultiert.

An der zweiten Sicherheitslücke (CVE-2025-2824 „hoch„) können entfernte Angreifer für eine Phishing-Attacke ansetzen und mit hoher Wahrscheinlichkeit auf diesem Weg Zugangsdaten mitschneiden. Das gelingt über eine Open-Redirect-Attacke, bei der Angreifer Opfer auf eine von ihnen erstellte Website umleiten, die fälschlicherweise als vertrauenswürdig eingestuft wird.

Aus der Warnmeldung geht nicht hervor, ob es bereits Attacken gibt und woran Admins bereits attackierte Systeme erkennen können.

Systeme schützen

Die Entwickler geben an, dass davon die ODM-Ausgaben 8.11.0.1, 8.11.1.0, 8.12.0.1, 9.0.0.1 und 9.5.0 bedroht sind. Um Computer gegen die geschilderten Attacken abzusichern, müssen Admins die folgenden Versionen installieren, die in der Warnmeldung verlinkt sind:

• 8.11.0.1 Interim fix 046
• 8.11.1.0 Interim fix 044
• 8.12.0.1 Interim fix 028
• 9.0.0.1 Interim fix 011
• 9.5.0 Interim fix 002

Erst kürzlich haben die Entwickler von IBM mehrere Sicherheitslücken im Datenbankmanagementsystem Db2 geschlossen. Nach erfolgreichen Attacken kann Schadcode auf Systeme gelangen und Angreifer können die volle Kontrolle erlangen.

(des)