Die niedersächsische Landesregierung will mit ihrem Entwurf zur Novelle des Polizei- und Ordnungsbehördengesetzes (NPOG) den Strafverfolgern des Landes umfassende neue Befugnisse im digitalen Raum und bei der präventiven Gefahrenabwehr verschaffen. Die Reform soll es den Ordnungshütern ermöglichen, auf neue Bedrohungsformen – insbesondere im Bereich Cyberkriminalität und Terrorismus – effektiver reagieren zu können.

Doch es hagelt Kritik: In deren Zentrum stehen die Herabsetzung der Eingriffsschwelle und die geplanten technologischen Überwachungsinstrumente, die erhebliche Grundrechtseingriffe zur Folge haben könnten.

Die wohl einschneidendste Neuerung ist die Einführung des Konzepts der „Vorfeldstraftat“ in Paragraf 2, das die Eingriffsschwelle polizeilicher Maßnahmen senkt und an die Precrime-Dystopie aus dem Film „Minority Report“ erinnert. Mit dem vom Bundesverfassungsgericht im Urteil zum BKA-Gesetz behandelten Ansatz sollen Überwachungsbefugnisse schon in einem sehr frühen Stadium zur Anwendung kommen, sofern eine strafbewehrte Vorbereitungshandlung von erheblicher Bedeutung vorliegt.

Zu den zentralen Überwachungsmaßnahmen, die bereits im Vorfeld zulässig sein sollen, gehört der nachträgliche biometrische Abgleich mit öffentlich zugänglichen Daten aus dem Internet (Paragraf 32 c). Dies würde es Ermittlern erlauben, biometrische Merkmale, etwa aus Fotos oder aus der Videoüberwachung von Personen, die mit einer einschlägigen Vorfeldstraftat in Verbindung stehen, mit öffentlich zugänglichen Informationen abzugleichen. So könnten sie etwa mit automatisierter Gesichtserkennung die Identität feststellen.

Gegner werten dies als rechtliche Grundlage für ein weitreichendes, anlassloses Internet-Crawling durch die Polizei. Ebenfalls ist der Einsatz der automatisierten Datenanalyse (Paragraf 45 a) zur Abwehr von Gefahren im Zusammenhang mit einer Vorfeldstraftat von erheblicher Bedeutung vorgesehen.

Live-Gesichtserkennung nicht ausgeschlossen

Die Novelle sieht generell eine Reihe neuer Befugnisnormen zur Nutzung moderner Technologien vor, die tief in die informationelle Selbstbestimmung der Bürger eingreifen. Der Entwurf regelt etwa den Einsatz sogenannter intelligenter Videoüberwachung. Dabei unterscheidet die rot-grüne Landesregierung zwischen zwei den Hauptformen Verhaltenserkennung und biometrischer Echtzeit-Fernidentifizierung.

Bei ersterer werden automatisierte Systeme zur Erkennung und Auswertung von Mustern bezogen auf Personen eingesetzt. Die Anwendung soll auf die Feststellung von Verhaltensmustern beschränkt werden, die auf eine geplante Straftat oder einen Unglücksfall hindeuten. Eine pauschale Zulassung zur biometrischen Erkennung wird zwar ausgeschlossen, eine automatisierte Vorhersage potenzieller Gefahrenlagen aber nicht.

Auch eine Kompetenz zur besonders umkämpften Live-Gesichtserkennung im öffentlichen Raum soll neu geschaffen werden. Sie ist dem Plan nach nur zulässig, um eine gegenwärtige Gefahr für Leib oder Leben abzuwehren oder zur Verhinderung einer terroristischen Straftat, und unterliegt einem strengen Richtervorbehalt mit hohen Eingriffshürden. Die KI-Verordnung der EU setzt hier enge Grenzen, deren Einhaltung voraussichtlich gerichtlich überprüft werden dürfte.

Big-Data-Analysen im Palantir-Stil

Mit der Einführung der automatisierten Datenanalyse soll die Polizei KI-gestützte Anwendungen nutzen dürfen, um große Mengen von rechtmäßig erhobenen, internen Fall-, Personen- und Sachdaten zu verknüpfen und auszuwerten. Ziel ist es, durch die Erkennung von verborgenen Mustern und Beziehungen in komplexen Datensätzen Gefahren frühzeitig zu erkennen und abzuwehren.

Obwohl die Regierung betont, keine Software der umstrittenen US-Firma Palantir einsetzen zu wollen, sollen damit potenziell ähnlich weitreichende Big-Data-Analysen zulässig werden. Die Kontrolle will sie durch den vagen Grundsatz „Human-in-the-Loop“ gewährleistet wissen, bei dem die finale Entscheidung über polizeiliche Schritte beim Beamten verbleiben würde.

Auch weitere Bereiche sollen eine deutliche rechtliche Ausweitung erfahren: Der Entwurf schafft Rechtsgrundlagen für den Einsatz unbemannter Fahrzeugsysteme (Drohnen). Dieser soll grundsätzlich offen erfolgen. Zudem geht es um die Detektion und Abwehr solcher Flugobjekte, die eine unberechtigte Gefahr darstellen.

Ferner soll die Nutzung von mobilen Bild- und Tonaufzeichnungsgeräten räumlich und technisch erweitert werden. Künftig könnten Bodycams unter strengen Voraussetzungen – zur Abwehr einer dringenden Gefahr für Leib oder Leben – auch in Wohnungen genutzt werden. Technisch ermöglicht wird zudem die automatisierte Auslösung der Aufzeichnung, beispielsweise über eine Holster-Signalvorrichtung beim Ziehen der Dienstwaffe, um das Deeskalationspotenzial und die Beweissicherung in Stresssituationen zu erhöhen.

Datenweitergabe und Befürchtungen

Im Rahmen der Anpassung an europäische Vorgaben sollen zudem die Regeln zur Datenübermittlung an öffentliche und private Stellen auch in Drittstaaten überarbeitet werden. Das nährt Sorgen für die Privatsphäre bei Weitergaben in Länder mit potenziell geringerem Datenschutzniveau.

Bürgerrechtler vom Freiheitsfoo monieren, dass das Vorhaben einen Paradigmenwechsel in der niedersächsischen Sicherheitspolitik einleite. Der Staat verlagere damit seinen Fokus von der konkreten Gefahrenabwehr hin zur Vorhersage. Die Bevölkerung werde unter Generalverdacht gestellt. Punkte wie Transparenz insbesondere zur Funktionsweise der KI-Systeme und die Gefahr der Diskriminierung durch algorithmische Voreingenommenheit blieben unterbelichtet.

Die 1. Lesung im Landtag ist für Mittwoch geplant. Auch Länder wie Berlin oder Baden-Württemberg stricken aktuell an Novellen ihrer Polizeigesetze, wobei ebenfalls KI-Analysen im Vordergrund stehen. Bei der Bundesregierung ist ein ähnliches „Sicherheitspaket“ in der Mache.

(wpl)

Das Bundesverwaltungsgericht hat grünes Licht für den ersten Teil des Lückenschlusses der Autobahn 1 in der Eifel gegeben. Das oberste deutsche Verwaltungsgericht in Leipzig wies die Klage des rheinland-pfälzischen Umweltschutzverbandes BUND gegen die Planungen des Landesbetriebs Mobilität ab. (Az.: BVerwG 9 A 17.25). Der Ausbau der A1 sei ein wichtiges europäisches Infrastrukturvorhaben und als solches bedeutsam für die öffentliche Sicherheit.

Es geht um 25 Kilometer

Die A1 ist eine der längsten Autobahnen Deutschlands. Sie führt über 730 Kilometer von der Ostseeküste in Schleswig-Holstein über Hamburg, Bremen und Köln durch die Eifel bis nach Saarbrücken – allerdings mit Unterbrechung. Derzeit endet sie im Norden nahe Blankenheim in Nordrhein-Westfalen und im Süden bei Kelberg und hinterlässt eine etwa 25 Kilometer lange Lücke. In dem Verfahren ging es um den Abschnitt Adenau-Kelberg.

Die Umweltschützer hatten eine Vielzahl von Verstößen gegen den Arten- und Habitatschutz gerügt. Die geplante, rund zehn Kilometer lange Strecke führt durch das Vogelschutzgebiet „Ahrgebirge“.

Öffentliche Sicherheit vor Naturschutz

Die Bundesrichter betonten die Bedeutung der Autobahn als Teil des europäischen Verkehrsnetzes. Dies habe durch die Corona-Pandemie und den russischen Angriffskrieg auf die Ukraine eine stärkere Bedeutung erlangt. Lückenschlüsse wie jener der A1 seien auch unter militärischen Gesichtspunkten wichtig. Daher seien bestimmte Ausnahmen beim Vogelschutz zulässig.

Der Lückenschluss soll nach jüngsten Angaben vom Bund rund 730 Millionen Euro kosten. Geplant sind drei Abschnitte zwischen Kelberg und Blankenheim in NRW. Die anderen beiden Teilstücke befinden sich noch im Planungsstadium.

(fpi)

Das gesamte Mitgliederverzeichnis von WhatsApp stand online ungeschützt zum Abruf bereit. Österreichische Forscher konnten sich deshalb alle Telefonnummern und weitere Profildaten – darunter öffentliche Schlüssel – herunterladen, ohne auf ein Hindernis zu stoßen. Sie fanden mehr als 3,5 Milliarden Konten. Gemessen an der Zahl Betroffener ist es der wohl größte Datenabfluss aller Zeiten. Ein Teil der Forschungsgruppe hat sich bereits mehrfach mit WhatsApp befasst und beispielsweise eruiert, was WhatsApp trotz Verschlüsselung verrät, und herausgefunden, wie ein Angreifer die Whatsapp-Verschlüsselung herabstufen kann. Dennoch stellte sich Whatsapp-Betreiber Meta Platforms hinsichtlich der neuen Forschungsergebnisse ein Jahr lang taub.

Wiederholte Warnhinweise, die die Gruppe der Universität Wien und der österreichischen SBA Research ab September 2024 bei Whatsapp eingereicht haben, wurden zwar mit Empfangsbestätigungen bedacht, bald aber zu den Akten gelegt. Erst als die Forscher zweimal einen Entwurf ihres Papers einreichten und dessen unkoordinierte Veröffentlichung bevorstand, wachte Meta auf: Aus den Daten lässt sich nämlich erstaunlich viel ablesen, und für manche User kann das lebensbedrohlich sein.

Da sind einmal Informationen, die für Meta Platforms selbst sensibel sind, aus wettbewerblichen und regulatorischen Gründen: Wie viele Whatsapp-User gibt es in welchem Land, wie verteilen sie sich auf Android und iOS, wie viele sind Geschäftskonten, wie groß ist der Churn (Kundenabwanderung), und wo gibt es offensichtliche Betrugszentren großen Maßstabs. Und dann sind da mehrere Klassen von Daten, die für Anwender ungemütlich bis lebensgefährlich sein können – obwohl die Forscher keine Datenpakete an oder von Endgeräten übertragen haben (sondern nur zu Whatsapp-Servern) und auch keine Inhalte oder Metadaten von Whatsapp-Kommunikation abgefangen haben.

WhatsApp-Verbot unwirksam

So war WhatsApp Stand Dezember 2024 in der Volksrepublik China, im Iran, in Myanmar sowie in Nordkorea verboten. Dennoch fanden die Forscher damals 2,3 Millionen aktive WhatsApp-Konten in China, 60 Millionen im Iran, 1,6 Millionen in Myanmar und fünf (5) in Nordkorea. Diese Handvoll könnte vom Staatsapparat selbst eingerichtet worden sein, aber für Einwohner Chinas und Myanmars ist es höchst riskant, wenn Behörden von der illegalen WhatsApp-Nutzung Wind bekommen. Und das passiert leicht, wenn sich der gesamte Nummernraum flott abfragen lässt.

Die 60 Millionen WhatsApp-Konten mit iranischer Telefonnummer entsprachen statistisch immerhin zwei Drittel der Einwohner. Das Verbot wirkte dort also offensichtlich nicht und wurde am Heiligen Abend 2024 auch aufgehoben. Drei Monate später gab es dann schon 67 Millionen iranische Konten. Deutlich stärker hat die Zahl jener zugenommen, die dasselbe WhatsApp-Konto auf mehr als einem Gerät nutzen. Während der Verbotsphase war das offenbar zu riskant, aber wenn WhatsApp nicht illegal ist, will man es vielleicht auch am Arbeitsrechner verwenden.

Profilbilder und Info-Feld

Annähernd 30 Prozent der User haben etwas in das „Info“-Feld ihres Profils eingetragen, und dabei geben manche viel preis: politische Einstellungen, sexuelle oder religiöse Orientierung, Bekenntnisse zu Drogenmissbrauch gibt es dort genauso wie Drogendealer, die genau in diesem Feld ihr Warensortiment anpreisen. Auch darüber hinaus fanden die Wiener Forscher Angaben zum Arbeitsplatz des Users bis zu Hyperlinks auf Profile in sozialen Netzwerken, bei Tinder oder OnlyFans. E-Mail-Adressen durften natürlich nicht fehlen, darunter von Domains wie bund.de, state.gov und diverse aus der .mil-Zone. Das ist ein gefundenes Fressen für Doxxer und andere Angreifer, aber auch Spammer und einfache Betrüger.

Zudem verriet WhatsApp den Zeitpunkt der jüngsten Änderung – nicht nur des Info-Feldes, sondern auch der Profilfotos, die immerhin 57 Prozent aller WhatsApp-User weltweit hochgeladen und als für jedermann einsehbar definiert haben, darunter US-Regierungsmitglieder. Für den Nordamerika-Vorwahlbereich +1 haben die Forscher alle 77 Millionen für jedermann einsehbaren Profilbilder heruntergeladen – stolze 3,8 Terabyte in Summe. In einer daraus gezogenen zufälligen Stichprobe von einer halben Million Bildern fand eine Gesichtserkennungsroutine in zwei Dritteln der Fälle ein menschliches Gesicht. Die leichte Zugänglichkeit der Fotos hätte also erlaubt, eine Datenbank zusammenzustellen, die durch Gesichtserkennung in vielen Fällen zur Telefonnummer führt und umgekehrt. Selbst Profilbilder ohne Gesicht können geschwätzig sein: bisweilen sind Autokennzeichen, Straßenschilder oder Wahrzeichen abgebildet.

Weitere Informationen liefert die Anzeige, wie viele Geräte unter einem WhatsApp-Konto registriert sind (bis zu fünf). Aus den fortlaufend vergebenen IDs lässt sich schließen, ob diese zusätzlich genutzten Geräte häufig geändert werden oder stabil bleiben.