Etwa zwei Drittel der Deutschen lehnen den Einsatz der Big-Data-Software von Palantir ab, Hunderttausende haben eine Petition von Campact unterschrieben. Das Unbehagen ist bei Bürger:innen groß, einem Unternehmen mit engen Beziehungen zu US-Geheimdiensten, in dem zudem der Trump-Getreue Peter Thiel eine tragende Rolle spielt, weitgehenden Zugriff auf polizeiliche Datenbanken zu geben.

Jetzt soll sich dieses Unbehagen erstmals als Protest auf der Straße manifestieren. Ein „Bündnis für Grundrechtsschutz durch vertrauenswürdige und eigenständige Polizei-IT“ hat angekündigt, am Samstag, den 4. Oktober, in Stuttgart am Schlossplatz gegen den Einsatz von Thiels Software in Baden-Württemberg zu demonstrieren. Das Bündnis mobilisiert auch für eine Petition gegen den Palantir-Einsatz im Südwesten.

„Gefahr für die Demokratie“

„Wir rufen die Menschen auf, gegen die Einführung der US-Sicherheitssoftware ‚Gotham‘ von Palantir zu protestieren“, sagt ein Sprecher des Bündnisses gegenüber netzpolitik.org. Die geplanten automatisierten Datenanalysen durch eine Software, die von den Betreibern selbst als Waffensystem bezeichnet würde, bedeuteten einen „unverhältnismäßigen Eingriff in Grundrechte und eine Gefahr für die Demokratie“.

Das Bündnis hat „erhebliche Bedenken hinsichtlich Datenschutz und digitaler Souveränität“ und verweist dabei darauf, dass Palantir von Peter Thiel mitbegründet wurde, einem langjährigen Unterstützer Donald Trumps und erklärten Gegner der liberalen Demokratie. „Wie kann eine Landesregierung im Jahr 2025 nach Edward Snowden tatsächlich noch so naiv sein, so ein System nach Deutschland zu holen?“, fragt der Sprecher gegenüber netzpolitik.org. „Das geht nicht!“

Zusage ohne Rechtsgrundlage

In Baden-Württemberg ist die grün-schwarze Landesregierung gerade erst dabei, eine gesetzliche Grundlage für eine automatisierte Datenanalyse durch die Polizei zu schaffen, bisherige Gesetze reichen für den Einsatz von Palantir nicht aus.

Die Polizei im Ländle hatte dennoch einen Vertrag mit Palantir bereits im März 2025 geschlossen, bevor eine Rechtsgrundlage für den Einsatz überhaupt bestand. 25 Millionen Euro soll der Einsatz der umstrittenen Software das Land kosten, den Vertrag soll das Innenministerium ohne Wissen des Koalitionspartners abgeschlossen haben. Die Argumentation ist dabei, dass es keine Alternative zur Software von Thiel gäbe – ein Argument, dass die Konkurrenz von Palantir von sich weist.

Auch in den Bundesländern Nordrhein-Westfalen, Hessen und Bayern wird die Software von Palantir aktuell eingesetzt. Datenschützer:innen sehen in allen vier Bundesländern, dass die Vorgaben vom Bundesverfassungsgericht aus dem Jahr 2023 nicht ausreichend umgesetzt sind.

Im Jahr 2017 begann das Bundesamt für Migration und Flüchtlinge (BAMF), die Smartphones von Asylsuchenden auszulesen. Immer dann, wenn diese keinen Pass oder andere anerkannte Identitätsdokumente vorlegen konnten, durften ihre Geräte analysiert werden. Das Ziel: Hinweise auf Identität und Herkunftsland gewinnen – selbst wenn an den Angaben der Antragstellenden noch gar keine Zweifel bestanden.

2018 kam die Behörde mit der neuen Praxis auf über 11.000 ausgelesene Datenträger, 2023 waren es rund 12.500. Damit ist jetzt offenbar Schluss. Laut der Antwort der Bundesregierung auf eine Kleine Anfrage der Linken-Abgeordneten Clara Bünger erfolge das Auslesen von Handydaten „nur noch einzelfallbezogen auf Entscheidung der Entscheiderin oder des Entscheiders“.

Zuvor las das BAMF schon sehr früh im Asylverfahren die Daten aus, in der Regel weit vor der Asylanhörung. Die „damit verbundene ressourcenintensive Auswertung“ sei ab dem Jahr 2024 „ausgesetzt“ worden. Das führt zu deutlich rückgängigen Zahlen: Im ersten Halbjahr 2025, so die Bundesregierung, sind lediglich noch 338 Datenträger ausgelesen worden.

Die Auswertungen sind nutzlos und aufwändig

Der Nutzen der Auswertungen stand schon seit Beginn der Maßnahmen in Frage. Zu Beginn scheiterte in rund einem Viertel der Fälle das Auslesen bereits auf einer technischen Ebene.

Bei den erfolgreichen Auslese- und Auswertevorgängen waren wiederum die meisten Ergebnisse bis zuletzt völlig unbrauchbar. So lieferten die Auswertungen im Jahr 2023 in 73,4 Prozent der Fälle „keine verwertbaren Erkenntnisse“. Nur in 1,7 Prozent der Fälle stützten die Ergebnisberichte die Angaben der Antragstellenden nicht – das heißt, es gab Hinweise darauf, dass ihre Angaben eventuell nicht korrekt sein könnten.

Das ist zum einen viel Aufwand und zum anderen ein tiefer Eingriff in Grundrechte und Privatsphäre für eine Maßnahme mit mehr als fragwürdigem Nutzen. Fragestellerin Clara Bünger kommentiert dazu gegenüber netzpolitik.org: „Die aktuelle Antwort der Bundesregierung zeigt, dass diese negative Bilanz inzwischen offenbar auch im BAMF so gesehen wird.“

Der Wandel geht laut Bundesregierung zurück auf ein „Maßnahmenpaket zur Bewältigung der Asyllage“, das BAMF und Bundesinnenministerium miteinander abgestimmt hätten. Im Gegensatz zur Praxis hat sich die gesetzliche Grundlage der Handydurchsuchungen jedoch verschärft. Durch das 2024 verabschiedete Gesetz zur Verbesserung der Rückführung könnten BAMF und Ausländerbehörden auch Cloud-Speicher von entsprechenden Personen auslesen.

Der Kurs steht weiter auf Verschärfung

Diese Verschärfung beschloss die Bundesregierung kurz nachdem das Bundesverwaltungsgericht im Februar 2023 im Fall einer afghanischen Klägerin Grenzen gesetzt hatte: Das BAMF darf laut dem Urteil erst dann Smartphones auswerten, wenn es keine milderen Mittel gibt, um Hinweise auf Identität und Herkunft der Betroffenen zu bekommen. Das könnten beispielsweise offizielle Papiere neben Ausweisdokumenten sein oder andere Wege, Aussagen der Geflüchteten zu überprüfen.

Bünger fordert, auch andere politische Entwicklungen zu überdenken, um bessere Asylverfahren zu ermöglichen: „Es muss endlich Schluss sein mit den ausgrenzenden Missbrauchsdebatten, den permanenten Asylrechtsverschärfungen und der andauernden Entrechtung von Schutzsuchenden.“

Die Realität jedoch sieht offenkundig anders aus. Mit dem aktuellen Entwurf zur deutschen Umsetzung des Gemeinsamen Europäischen Asylsystems etwa schießt die Bundesregierung noch über die repressiven EU-Vorgaben hinaus. Im Koalitionsvertrag von Union und SPD ist angekündigt, dass sich auch in verwaltungsrechtlichen Asylverfahren einiges zum potenziellen Nachteil von Geflüchteten ändern soll. Die Regierungspartner wollen, dass die Asylsuchenden vor Gericht selbst etwa politische und soziale Faktoren in ihrem Herkunftsland einbringen müssen, wenn die im Verfahren berücksichtigt werden sollen – selbst wenn diese bereits öffentlich oder bei Gericht bekannt sind. Bünger findet: „Das ist das genaue Gegenteil von dem, was jetzt wichtig wäre: pragmatische Vorschläge für zügige und zugleich faire Asylverfahren.

Server-Motherboards und Rechenzentrumshardware von Supermicro sind verwundbar. Nach erfolgreichen Attacken können Angreifer sich dauerhaft über eine Hintertür Zugriff verschaffen. Admins sollten ihre Instanzen zeitnah absichern.

Unvollständiger Patch

Wie aus einem Beitrag hervorgeht, sind Sicherheitsforscher von Binarly auf zwei Sicherheitslücken (CVE-2025-7937 „hoch„, CVE-2025-6198 „hoch„) gestoßen. In beiden Fällen können Angreifer Sicherheitsprüfungen des Baseboard Management Controllers (BMC) umgehen und mit Schadcode präparierte Firmwareimages installieren. Im Anschluss sind Systeme dauerhaft vollständig kompromittiert.

Supermicro listet die Schwachstellen, die betroffenen Motherboards und die Sicherheitsupdates in einer Warnmeldung auf. In dem Beitrag versichern sie, dass sie bislang keine Hinweise auf laufende Attacken entdeckt haben.

Die erste Lücke geht auf eine Schwachstelle (CVE-2025-10237 „hoch„) von Anfang dieses Jahres zurück. Wie die Sicherheitsforscher eigenen Angaben zufolge herausfanden, war der Sicherheitspatch unvollständig und sie konnten den Schutz umgehen. Die zweite Schwachstelle haben sie neu entdeckt.

Hintergründe

Aufgrund von Fehlern bei der Überprüfung von Firmwareimages ist es nach wie vor möglich, Images mit Schadcode zu versehen, ohne dass Sicherheitschecks anschlagen. Den Sicherheitsforschern zufolge stuft der BMC manipulierte Images als korrekt signiert und gültig ein und installiert sie.

Durch das erfolgreiche Ausnutzen der neuen Lücke können Angreifer zusätzlich die BMC-Sicherheitsfunktion Root of Trust (RoT) umgehen. Die prüft beim Booten, ob die Firmware legitim ist. Wie das im Detail abläuft, führen die Sicherheitsforscher in einem Beitrag aus.

(des)