Die niedersächsische Landesregierung will mit ihrem Entwurf zur Novelle des Polizei- und Ordnungsbehördengesetzes (NPOG) den Strafverfolgern des Landes umfassende neue Befugnisse im digitalen Raum und bei der präventiven Gefahrenabwehr verschaffen. Die Reform soll es den Ordnungshütern ermöglichen, auf neue Bedrohungsformen – insbesondere im Bereich Cyberkriminalität und Terrorismus – effektiver reagieren zu können.

Doch es hagelt Kritik: In deren Zentrum stehen die Herabsetzung der Eingriffsschwelle und die geplanten technologischen Überwachungsinstrumente, die erhebliche Grundrechtseingriffe zur Folge haben könnten.

Die wohl einschneidendste Neuerung ist die Einführung des Konzepts der „Vorfeldstraftat“ in Paragraf 2, das die Eingriffsschwelle polizeilicher Maßnahmen senkt und an die Precrime-Dystopie aus dem Film „Minority Report“ erinnert. Mit dem vom Bundesverfassungsgericht im Urteil zum BKA-Gesetz behandelten Ansatz sollen Überwachungsbefugnisse schon in einem sehr frühen Stadium zur Anwendung kommen, sofern eine strafbewehrte Vorbereitungshandlung von erheblicher Bedeutung vorliegt.

Zu den zentralen Überwachungsmaßnahmen, die bereits im Vorfeld zulässig sein sollen, gehört der nachträgliche biometrische Abgleich mit öffentlich zugänglichen Daten aus dem Internet (Paragraf 32 c). Dies würde es Ermittlern erlauben, biometrische Merkmale, etwa aus Fotos oder aus der Videoüberwachung von Personen, die mit einer einschlägigen Vorfeldstraftat in Verbindung stehen, mit öffentlich zugänglichen Informationen abzugleichen. So könnten sie etwa mit automatisierter Gesichtserkennung die Identität feststellen.

Gegner werten dies als rechtliche Grundlage für ein weitreichendes, anlassloses Internet-Crawling durch die Polizei. Ebenfalls ist der Einsatz der automatisierten Datenanalyse (Paragraf 45 a) zur Abwehr von Gefahren im Zusammenhang mit einer Vorfeldstraftat von erheblicher Bedeutung vorgesehen.

Live-Gesichtserkennung nicht ausgeschlossen

Die Novelle sieht generell eine Reihe neuer Befugnisnormen zur Nutzung moderner Technologien vor, die tief in die informationelle Selbstbestimmung der Bürger eingreifen. Der Entwurf regelt etwa den Einsatz sogenannter intelligenter Videoüberwachung. Dabei unterscheidet die rot-grüne Landesregierung zwischen zwei den Hauptformen Verhaltenserkennung und biometrischer Echtzeit-Fernidentifizierung.

Bei ersterer werden automatisierte Systeme zur Erkennung und Auswertung von Mustern bezogen auf Personen eingesetzt. Die Anwendung soll auf die Feststellung von Verhaltensmustern beschränkt werden, die auf eine geplante Straftat oder einen Unglücksfall hindeuten. Eine pauschale Zulassung zur biometrischen Erkennung wird zwar ausgeschlossen, eine automatisierte Vorhersage potenzieller Gefahrenlagen aber nicht.

Auch eine Kompetenz zur besonders umkämpften Live-Gesichtserkennung im öffentlichen Raum soll neu geschaffen werden. Sie ist dem Plan nach nur zulässig, um eine gegenwärtige Gefahr für Leib oder Leben abzuwehren oder zur Verhinderung einer terroristischen Straftat, und unterliegt einem strengen Richtervorbehalt mit hohen Eingriffshürden. Die KI-Verordnung der EU setzt hier enge Grenzen, deren Einhaltung voraussichtlich gerichtlich überprüft werden dürfte.

Big-Data-Analysen im Palantir-Stil

Mit der Einführung der automatisierten Datenanalyse soll die Polizei KI-gestützte Anwendungen nutzen dürfen, um große Mengen von rechtmäßig erhobenen, internen Fall-, Personen- und Sachdaten zu verknüpfen und auszuwerten. Ziel ist es, durch die Erkennung von verborgenen Mustern und Beziehungen in komplexen Datensätzen Gefahren frühzeitig zu erkennen und abzuwehren.

Obwohl die Regierung betont, keine Software der umstrittenen US-Firma Palantir einsetzen zu wollen, sollen damit potenziell ähnlich weitreichende Big-Data-Analysen zulässig werden. Die Kontrolle will sie durch den vagen Grundsatz „Human-in-the-Loop“ gewährleistet wissen, bei dem die finale Entscheidung über polizeiliche Schritte beim Beamten verbleiben würde.

Auch weitere Bereiche sollen eine deutliche rechtliche Ausweitung erfahren: Der Entwurf schafft Rechtsgrundlagen für den Einsatz unbemannter Fahrzeugsysteme (Drohnen). Dieser soll grundsätzlich offen erfolgen. Zudem geht es um die Detektion und Abwehr solcher Flugobjekte, die eine unberechtigte Gefahr darstellen.

Ferner soll die Nutzung von mobilen Bild- und Tonaufzeichnungsgeräten räumlich und technisch erweitert werden. Künftig könnten Bodycams unter strengen Voraussetzungen – zur Abwehr einer dringenden Gefahr für Leib oder Leben – auch in Wohnungen genutzt werden. Technisch ermöglicht wird zudem die automatisierte Auslösung der Aufzeichnung, beispielsweise über eine Holster-Signalvorrichtung beim Ziehen der Dienstwaffe, um das Deeskalationspotenzial und die Beweissicherung in Stresssituationen zu erhöhen.

Datenweitergabe und Befürchtungen

Im Rahmen der Anpassung an europäische Vorgaben sollen zudem die Regeln zur Datenübermittlung an öffentliche und private Stellen auch in Drittstaaten überarbeitet werden. Das nährt Sorgen für die Privatsphäre bei Weitergaben in Länder mit potenziell geringerem Datenschutzniveau.

Bürgerrechtler vom Freiheitsfoo monieren, dass das Vorhaben einen Paradigmenwechsel in der niedersächsischen Sicherheitspolitik einleite. Der Staat verlagere damit seinen Fokus von der konkreten Gefahrenabwehr hin zur Vorhersage. Die Bevölkerung werde unter Generalverdacht gestellt. Punkte wie Transparenz insbesondere zur Funktionsweise der KI-Systeme und die Gefahr der Diskriminierung durch algorithmische Voreingenommenheit blieben unterbelichtet.

Die 1. Lesung im Landtag ist für Mittwoch geplant. Auch Länder wie Berlin oder Baden-Württemberg stricken aktuell an Novellen ihrer Polizeigesetze, wobei ebenfalls KI-Analysen im Vordergrund stehen. Bei der Bundesregierung ist ein ähnliches „Sicherheitspaket“ in der Mache.

(wpl)

Das gesamte Mitgliederverzeichnis von WhatsApp stand online ungeschützt zum Abruf bereit. Österreichische Forscher konnten sich deshalb alle Telefonnummern und weitere Profildaten – darunter öffentliche Schlüssel – herunterladen, ohne auf ein Hindernis zu stoßen. Sie fanden mehr als 3,5 Milliarden Konten. Gemessen an der Zahl Betroffener ist es der wohl größte Datenabfluss aller Zeiten. Ein Teil der Forschungsgruppe hat sich bereits mehrfach mit WhatsApp befasst und beispielsweise eruiert, was WhatsApp trotz Verschlüsselung verrät, und herausgefunden, wie ein Angreifer die Whatsapp-Verschlüsselung herabstufen kann. Dennoch stellte sich Whatsapp-Betreiber Meta Platforms hinsichtlich der neuen Forschungsergebnisse ein Jahr lang taub.

Wiederholte Warnhinweise, die die Gruppe der Universität Wien und der österreichischen SBA Research ab September 2024 bei Whatsapp eingereicht haben, wurden zwar mit Empfangsbestätigungen bedacht, bald aber zu den Akten gelegt. Erst als die Forscher zweimal einen Entwurf ihres Papers einreichten und dessen unkoordinierte Veröffentlichung bevorstand, wachte Meta auf: Aus den Daten lässt sich nämlich erstaunlich viel ablesen, und für manche User kann das lebensbedrohlich sein.

Da sind einmal Informationen, die für Meta Platforms selbst sensibel sind, aus wettbewerblichen und regulatorischen Gründen: Wie viele Whatsapp-User gibt es in welchem Land, wie verteilen sie sich auf Android und iOS, wie viele sind Geschäftskonten, wie groß ist der Churn (Kundenabwanderung), und wo gibt es offensichtliche Betrugszentren großen Maßstabs. Und dann sind da mehrere Klassen von Daten, die für Anwender ungemütlich bis lebensgefährlich sein können – obwohl die Forscher keine Datenpakete an oder von Endgeräten übertragen haben (sondern nur zu Whatsapp-Servern) und auch keine Inhalte oder Metadaten von Whatsapp-Kommunikation abgefangen haben.

WhatsApp-Verbot unwirksam

So war WhatsApp Stand Dezember 2024 in der Volksrepublik China, im Iran, in Myanmar sowie in Nordkorea verboten. Dennoch fanden die Forscher damals 2,3 Millionen aktive WhatsApp-Konten in China, 60 Millionen im Iran, 1,6 Millionen in Myanmar und fünf (5) in Nordkorea. Diese Handvoll könnte vom Staatsapparat selbst eingerichtet worden sein, aber für Einwohner Chinas und Myanmars ist es höchst riskant, wenn Behörden von der illegalen WhatsApp-Nutzung Wind bekommen. Und das passiert leicht, wenn sich der gesamte Nummernraum flott abfragen lässt.

Die 60 Millionen WhatsApp-Konten mit iranischer Telefonnummer entsprachen statistisch immerhin zwei Drittel der Einwohner. Das Verbot wirkte dort also offensichtlich nicht und wurde am Heiligen Abend 2024 auch aufgehoben. Drei Monate später gab es dann schon 67 Millionen iranische Konten. Deutlich stärker hat die Zahl jener zugenommen, die dasselbe WhatsApp-Konto auf mehr als einem Gerät nutzen. Während der Verbotsphase war das offenbar zu riskant, aber wenn WhatsApp nicht illegal ist, will man es vielleicht auch am Arbeitsrechner verwenden.

Profilbilder und Info-Feld

Annähernd 30 Prozent der User haben etwas in das „Info“-Feld ihres Profils eingetragen, und dabei geben manche viel preis: politische Einstellungen, sexuelle oder religiöse Orientierung, Bekenntnisse zu Drogenmissbrauch gibt es dort genauso wie Drogendealer, die genau in diesem Feld ihr Warensortiment anpreisen. Auch darüber hinaus fanden die Wiener Forscher Angaben zum Arbeitsplatz des Users bis zu Hyperlinks auf Profile in sozialen Netzwerken, bei Tinder oder OnlyFans. E-Mail-Adressen durften natürlich nicht fehlen, darunter von Domains wie bund.de, state.gov und diverse aus der .mil-Zone. Das ist ein gefundenes Fressen für Doxxer und andere Angreifer, aber auch Spammer und einfache Betrüger.

Zudem verriet WhatsApp den Zeitpunkt der jüngsten Änderung – nicht nur des Info-Feldes, sondern auch der Profilfotos, die immerhin 57 Prozent aller WhatsApp-User weltweit hochgeladen und als für jedermann einsehbar definiert haben, darunter US-Regierungsmitglieder. Für den Nordamerika-Vorwahlbereich +1 haben die Forscher alle 77 Millionen für jedermann einsehbaren Profilbilder heruntergeladen – stolze 3,8 Terabyte in Summe. In einer daraus gezogenen zufälligen Stichprobe von einer halben Million Bildern fand eine Gesichtserkennungsroutine in zwei Dritteln der Fälle ein menschliches Gesicht. Die leichte Zugänglichkeit der Fotos hätte also erlaubt, eine Datenbank zusammenzustellen, die durch Gesichtserkennung in vielen Fällen zur Telefonnummer führt und umgekehrt. Selbst Profilbilder ohne Gesicht können geschwätzig sein: bisweilen sind Autokennzeichen, Straßenschilder oder Wahrzeichen abgebildet.

Weitere Informationen liefert die Anzeige, wie viele Geräte unter einem WhatsApp-Konto registriert sind (bis zu fünf). Aus den fortlaufend vergebenen IDs lässt sich schließen, ob diese zusätzlich genutzten Geräte häufig geändert werden oder stabil bleiben.

Bereits im vergangenen Jahr war der VR-Haptik-Hersteller HaptX von seinem langjährigen Fertigungspartner 1HMX übernommen worden. Mit „Nexus NX1“ wollen beide Unternehmen nun aus der Nische der Spezialhandschuhe heraus und ein Komplettsystem für immersive Maschinensteuerung anbieten. Das modular aufgebaute Setup liefert haptisches Feedback, erfasst Bewegungen, ermöglicht flüssige Fortbewegung und richtet sich vor allem an Industrie, Forschung und Ausbildung.

Die Plattform ist eine Kombination aus drei bereits bekannten Technologien: Die haptischen Datenhandschuhe „HaptX Gloves G1“ sollen taktile Rückmeldungen liefern, während die motorisierten Schuhe „Freeaim“ in Verbindung mit dem 360-Grad-VR-Laufband „Omni One“ eine natürliche Fortbewegung im Raum ohne Motion Sickness ermöglichen sollen. Ergänzt wird das Ganze durch ein Tracking-System, das Kopf, Rumpf, Arme, Hände und Füße abdeckt.

Komplettpaket aus Handschuhen, Laufband und VR-Schuhen

Das „Omni One“ von Virtuix erfasst Laufbewegung mittels Sensoren und überträgt sie in die VR-Anwendung. Nutzer sind über mehrere Gurte an einen beweglichen Arm gebunden, der dafür sorgt, dass sie den runden Sockel mit dem omnidirektionalen Laufband nicht verlassen können. Um darauf vernünftig laufen zu können, sind spezielle Schuhe nötig. Die liefert das britische Start-up Freeaim. Die gleichnamigen VR-Schuhe laufen im Akkubetrieb und sind für Schuhgrößen zwischen 36 und 47 geeignet. An den Sohlen angebrachte Radmodule rotieren automatisch, wodurch das Gehen auf der Stelle theoretisch auch ohne VR-Laufband möglich wäre. In Kombination mit der Omni-One-Plattform dürfte das allerdings deutlich reibungsloser funktionieren. Zudem bleiben Nutzer sicher innerhalb einer beschränkten VR-Umgebung.

HaptX arbeitet schon seit mehr als zehn Jahren an Datenhandschuhen. Die aktuelle Version „Gloves G1“ wiegt rund 570 Gramm pro Stück und benötigt eine Luftdruckeinheit, die in einem Rucksack oder neben der Plattform platziert werden kann. In jedem Handschuh sind 135 Mikrokammern integriert, in die Flüssigkeit in hoher Geschwindigkeit gespritzt wird. Dadurch wird die Haut an den entsprechenden Stellen etwa anderthalb Millimeter nach innen gedrückt, wodurch das Gefühl von Berührung entstehen soll. Zudem simuliert vibrotaktiles Feedback die Oberflächenbeschaffenheit und künstliche Sehnen mit bis zu 3,6 Kilogramm Widerstand pro Finger die Form und Größe virtueller Objekte.

Neben der Bewegungsübertragung soll Nexus NX1 auch Kommunikation in beide Richtungen ermöglichen. Während der Führung eines Roboterarms soll etwa gespürt werden können, was dieser greift oder berührt. Laut Hersteller ist das System besonders für Aufgaben geeignet, bei denen Feinmotorik und Bewegungskoordination gefragt sind: vom Beladen von Maschinen über Montagearbeiten bis hin zur Fernwartung komplexer Anlagen.

Neben Bewegungsverläufen lassen sich unter anderem Druckverteilung auf den Handflächen, Fußkontakt zum Boden oder die Lage des Körperschwerpunkts erfassen. Diese Informationen sollen neben der Fernsteuerung auch KI-Training und umfassende Leistungsanalysen ermöglichen. Die Auslieferung von Nexus NX1 soll im zweiten Quartal 2026 beginnen. Vorbestellungen sind bereits möglich.

(joe)