Der hessische Innenminister Peter Beuth (CDU) hat auf massiven öffentlichen Druck hin am Freitag zusammen mit dem neuen Landespolizeipräsidenten Roland Ullmann einen Maßnahmenkatalog präsentiert, mit dem er auf rechtsextreme, meist mit "NSU 2.0" unterzeichnete Drohschreiben und vorausgegangene Abfragen sensibler persönlicher Daten der Betroffenen über Rechner von Ermittlern reagiert. Alle bisher geltenden individuellen Zugangsberechtigungen für die gesamte hessische Polizei werden demnach zurückgesetzt.

Passwortabfrage nun vorab, Datenschutz wird "Chefsache"

"Jeder Polizist wird neue Zugangsdaten erhalten" und zu deren "absoluten Geheimhaltung" verpflichtet, heißt es in dem Papier. Jeder Abfrageverstoß werde künftig "disziplinarisch und strafrechtlich verfolgt", wobei in besonders schweren Fällen bis zu zwei Jahre Haft drohten. Mit dem bereits eingeleiteten Verfahren soll Datenschutz zudem generell "in jeder Dienststelle Chefsache" werden. Datenschutzbeauftragte der Polizeipräsidien erhielten zusätzliche Ressourcen und – wo nötig – Personal.

Eine Crux bei Datenabfragen in Polizeisystemen über Dienststellencomputer ist in Hessen eine bislang nur stichprobenhaft nach rund 200 Vorgängen automatisiert erfolgende Kontrolle "zur Überprüfung der Plausibilität". Diese soll nun "engmaschiger geführt" werden, heißt es dazu vage in dem Aufgabenheft. Abfragemasken würden ferner schon "beim Aufschalten die Eingabe des Passworts des Benutzers" verlangen, wofür 15 Sekunden Zeit bleibt.

Häufigerer Gebrauch des Sperrbildschirms

"Drittabfragen werden umfangreich dokumentiert", verspricht das Innenressort. Dazu kämen "tägliche stichprobenartige Kontrolle erfolgter Abfragen durch Vorgesetzte". Mittel- bis langfristig soll eine Zwei-Faktor-Authentifizierung biometrisch per Fingerabdruck oder einem "Token-Code auf dem persönlichen Smartphone" eingeführt werden. Bis dahin werde die Sicherheit an den PC-Arbeitsplätzen generell erhöht: Der Sperrbildschirm aktiviere sich bereits nach drei Minuten, alle drei Wochen würden Passwörter zurückgesetzt. Ein derart häufiger Wechsel gilt aber nicht unbedingt als förderlich für die IT-Sicherheit.

Bislang ist es auf Revieren Usus, dass sich Nutzer an Arbeitsplatzrechnern nicht ausloggen, wenn sie mal auf die Toilette oder rasch zu einem Einsatz müssen. Kollegen können so eine Sitzung "kapern", ohne ihr eigenes Passwort zu verwenden. Selbst bei protokollierten verdächtigen Abfragen wird der mit einem Alibi versehene Kontoinhaber dann allenfalls als Zeuge gehört, kann aber meist keine Hinweise zu Zwischennutzern geben. Eine solche Übernahme wird mit dem neuen Ansatz erschwert.

Missbrauch von Datenbanken durch Reset-Anfragen

Ein Zugriff auf ein Konto fungiert – je nach damit verknüpften Rechten – als Sesam-öffne-dich für Recherchemöglichkeiten in sehr vielen unterschiedlichen Polizeisystemen des jeweiligen Landes, des Bundes und weit darüber hinaus etwa auf EU-Ebene oder bei Interpol. In Hessen zählen zu den wichtigen abrufbaren Datenbanken das Vorgangsbearbeitungssystem Comvor, das Informations- und Auskunftsverfahren Polas, Einsatzleitsysteme, der nationale Verbund Inpol und das Big-Data-Warehouse Hessendata der umstrittenen US-Firma Palantir. Eine Verbindung zu Melderegistern besteht ebenfalls.

Zur Berliner Polizei hatte es Berichte gegeben, dass sich die Passwortabfrage für das dortige Zugangssystem durch Reset-Anfragen recht einfach austricksen lässt. Nutzerkonten könnten so im Handumdrehen gehackt werden, lautete die Kritik auch aus Reihen der Ermittler. Der Innensenat von Berlin wies derlei Vorwürfe zurück. Missbrauch auch der Polizeidatenbanken in der Hauptstadt ist bereits vielfach dokumentiert. Es bleibt offen, ob der hessische Katalog solchen Ansätzen etwas entgegenzusetzen hat.

Vier-Augen-Prinzip und Audits geplant

Zudem wird in Hessen der Initiative zufolge fortan bei den polizeilichen Systemen eine Liste mit "Personen des öffentlichen Lebens" und solchen mit Sperrvermerken im Einwohnermeldesystem geführt. Abfragen zu diesen sollen unmittelbar vom direkten Vorgesetzten bestätigt werden müssen und "ohne zweite Kennung" per Vier-Augen-Prinzip sowie Dokumentation des Anlasses nicht möglich sein. Ferner werde das Polizeipräsidium für Technik gemeinsam mit Datenschutzbeauftragten ein Qualitätsmanagement mit regelmäßigen Audits einführen.

Der Hessische Rundfunk (hr) hatte am Donnerstag gemeldet, dass sich eine weitere Drohmail von Dienstagabend auch gegen zwei Journalistinnen richtete. Das NSU-2.0-Schreiben sei im Stil eines Zuschauerbriefs an die ZDF-Moderatorin Maybrit Illner gerichtet. Der anonyme Autor schlage vor, neben den linken Politikerinnen Janine Wissler, Martina Renner und Anne Helm sowie der Kabarettistin Idil Baydar auch die taz-Autorin Hengameh Yaghoobifarah in eine Talk-Show mit dem Thema "Wann wird Deutschland endlich abgeschafft?" einzuladen. Letztere hatte jüngst in einer ironisch gedachten Kolumne dafür plädiert, die Polizei auf dem Müll zu entsorgen.

Allen sechs Frauen droht der Verfasser laut dem Bericht erneut oder erstmals mit dem Tod. Er habe angedeutet, selbst Polizist zu sein, schon mehrere rechtsextreme Mails verschickt zu haben und die Serie fortsetzen zu wollen.

Neues "Leitbild" für mehr Vertrauen in Polizei

Derlei Vorfälle legten zusammen etwa mit rechtsextremen Chatverläufen für die Öffentlichkeit den Eindruck nahe, "dass in der hessischen Polizei ein rechtsextremes Netzwerk vorhanden sein könnte", räumt das hessische Innenministerium ein. Seit geraumer Zeit gelinge es der Staatsanwaltschaft und den Ordnungshütern nicht, die Hintergründe aufzuklären und Täter zu ermitteln. Dies habe das öffentliche Vertrauen in die Polizei schwer erschüttert.

Daher werde die Landesregierung eine unabhängige Experten-Kommission einsetzen. Diese soll ein neues Leitbild für die Staatsmacht entwickeln und helfen, Fehlverhalten frühzeitig zu erkennen und zu ahnden.

