Palantir-Dossier: IT der Sicherheitsbehörden – US-Anbieter auf dem Vormarsch – Teil 4

Das Portal Police-IT widmet sich ausführlich dem Themenkomplex Polizei und Informationssysteme, der für jede und jeden relevant ist, da es uns alle jederzeit und unmittelbar betreffen kann. Mit freundlicher Genehmigung der Herausgeberin und langjährigen Expertin für polizeiliche Informationssysteme, Annette Brückner, veröffentlicht RT Deutsch Teile des auf Police-IT erschienenen Dossiers zu Palantir.

Alle auf RT Deutsch erschienenen Teile des Palantir-Dossiers finden Sie hier.

Teil IV – Wie das Vergabeverfahren an Palantir abgelaufen ist – die endgültige Auftragsvergabe

Hinweise auf interne Widerstände gegen die Auftragsvergabe

Die Art und Weise, mit der dieses Beschaffungsvorhaben vom LPP durchgesetzt worden war, blieb nicht ohne Reaktion in den untergeordneten Behörden, sagte der stellvertretende Inspekteur der Polizei Hessen, der LKD Andreas Röhrig, bei seiner Anhörung am 18.09.2018 im Untersuchungsausschuss.

Das Präsidium für Technik, Logistik und Verwaltung (PTLV), eine Art technischer Dienstleister im Geschäftsbereich des Innenministeriums, habe ausdrücklich darauf hingewiesen, dass das Landeskriminalamt (LKA) die zuständige Zentralstelle für Analyse und Auswertung im polizeilichen Staatsschutz für das Land Hessen sei. Außerdem habe das PTLV "dringend davon abgeraten vom hessenweiten Beschaffungsprozess abzuweichen".

Und das LKA, so erwähnte Röhrig auch noch, habe "Bedenken geäußert, sich an Palantir zu binden".

Wie wurden der Test und die Evaluierung durchgeführt?

Das LKA steigt aus dem Test für "sein" Analysesystem aus

Die Bedenken des LKA, sich "an Palantir zu binden" [Was heißt das eigentlich GENAU?], mündeten darin, dass das LKA den Auftrag des Landespolizeipräsidiums (LPP) zur Unterstützung beim Test im April 2017 niederlegte. Personelle Kapazitätsprobleme wurden "offiziell" zur Begründung genannt.

Der Staatsschutz im Polizeipräsidium Frankfurt testet, ob Palantir für das LKA geeignet ist

Daraufhin kam das Polizeipräsidium Frankfurt ins Spiel. Ein großes Präsidium, das allein im Bereich der Kriminalpolizei rund 750 Mitarbeiter beschäftigt. Dazu gehört auch die Kriminalinspektion 40, deren vier Kommissariate mit Staatsschutz-Aufgaben betraut sind.

Projektleiter Koch wird abgeordnet an das Polizeipräsidium Frankfurt

Flugs wurde dann auch der Projektleiter Koch zeitlich befristet aus dem Landespolizeipräsidium abgeordnet an das Polizeipräsidium Frankfurt. Er sollte jetzt den Test und die Evaluierung des Analysesystems leiten und mit seinem Team bewerten, welches zuvor aufgrund seiner Fokussierung auf diesen Hersteller beschafft worden war – und zwar auf der Grundlage einer Leistungsbeschreibung, die von Koch wesentlich beeinflusst war. Mit Verlaub: Ein objektiver und fairer Test sieht nach meinem Verständnis anders aus!

Installation des Palantir-Systems in der Hessischen Zentrale für Datenverarbeitung (HZD)

Im Mai 2017, berichtete Thomas Kaspar, der Technische Direktor der Hessischen Zentrale für Datenverarbeitung (HZD), dem Ausschuss, sei er vom Innenministerium informiert worden, dass sein Haus die technische Infrastruktur für den Betrieb von mehreren Palantir-Servern bereitzustellen habe.

Die HZD sei vom Innenministerium allerdings nur mit dem „Housing“ beauftragt worden. Das bedeutet, dass der Auftraggeber, hier das Innenministerium, die technische Infrastruktur des HZD nutzt. Die HZD habe aber "keinen Einblick in die Daten oder die Software". Und weiter heißt es in dem Bericht über die Aussage dieses Zeugen in der Frankfurter Rundschau:

Sechs Mitarbeiter von Palantir hätten in der HZD die Server aufgebaut, auf denen die Analyse-Software laufe. Sie seien zuvor von der Polizei überprüft worden. In den Räumen der HZD seien sie ständig von Mitarbeitern der Datenzentrale begleitet gewesen, erkärte Kaspar, der dort für die IT-Sicherheit verantwortlich ist. Die Palantir-Mitarbeiter hätten somit keinen Zugang zu anderen Bereichen der HZD erhalten.

Bei der HZD werden auch andere Teile des hessischen Polizeinetzes betreut. Palantir könne aus diesen Datenbanken Informationen nutzen. Welche Daten und in welchem Umfang, bestimme allein das Innenministerium bzw. die Polizei. Die HZD habe dabei keinen Einblick. Allerdings sei durch technische Einrichtungen gewährleistet, dass keine Daten in das Polizeinetz eingeschleust oder unbefugt daraus kopiert werden könnten, versicherte Kaspar. Die HZD wisse aber nicht, wer Zugriff auf die Daten bekomme. Auch dafür seien Innenministerium bzw. Polizei zuständig.

Und dann fügte der Zeuge aus dem HZD, der zudem der verantwortliche Sicherheitsbeauftragte dieser Behörde ist, noch an, dass es bisher auch "kein Sicherheitskonzept" gebe, was nach seiner Erfahrung "ungewöhnlich" sei.

Zielvorgaben, Testkriterien, Testergebnisse?

Über Zielvorgaben für den Test ist nichts bekannt. Auch nichts über Testkriterien und etwaige Testergebnisse, weder im positiven noch im negativen Sinne. Anscheinend kam dies auch im Untersuchungsausschuss nicht zur Sprache.

Anmerkung zu Systemtests und -evaluierungen in der Polizei aus persönlichen Erfahrungen

Aus früheren Erfahrungen mit solchen "Evaluierungen" in der Polizei vor der Beschaffung einer neuen Software kann ich sagen, dass mir Zielvorgaben und präzise Fragen auch in anderen Polizeibehörden nicht begegnet sind. In den Fällen, mit denen ich zu tun hatte, wurde recht planlos "rumgewurschtelt", jeder der beteiligten Nutzer probierte für sich aus, was ihn gerade interessierte oder was aus seiner Sicht wichtig war. Weder wurde dokumentiert, was getestet werden soll, noch was und wie tatsächlich getestet wurde und was dabei herauskam.

Ich sage nicht, dass Tests generell nicht relevant sind, ganz im Gegenteil. Doch Tests, die wie beschrieben durchgeführt werden, sind eine Verschwendung von Zeit und Geld und ohne Wert für die Organisation, weil ihnen die notwendige Systematik und Transparenz fehlt und damit auch kein belastbares und objektives Ergebnis zustande kommt.

Mit welchen Daten wurde da eigentlich getestet?

Es ist auch nicht bekannt, mit welchen Daten eigentlich getestet wurde.

• Ist es überhaupt zulässig, mit "Echtdaten" zu testen?
• Gab es für das System eine Errichtungsanordnung?
• Aus welchen polizeilichen Datenbanken stammten welche Daten?
• Nur aus Hessen? Oder auch aus anderen Bundesländern oder vom BKA?
• Wie kommen "Standortdaten aus sozialen Netzen" in das System und wer hat die zur Verfügung gestellt?
• Woher stammen die Daten aus der verdeckten Telekommunikationsüberwachung, die in einem anderen Zeitungsartikel genannt sind?
• Hat das Palantir-System auch Zugriff auf Inhalte von TK-Überwachungsmaßnahmen? Und müssten diese nicht eigens gekennzeichnet sein?
• Wie kommt das Palantir-System an "Polizeifotos der Menschen aus dem Umfeld" einer überwachten Person?

Es steht hier ein ganzes Bündel von Fragen, das bisher weder aufgeschnürt noch thematisiert ist. Und wir bzw. die Ausschussmitglieder müssen im Ergebnis feststellen: Das alles wissen wir (noch) nicht.

Auch der Verweis auf den beteiligten Datenschutzbeauftragten hilft nicht weiter

Denn schon bei "normalen" polizeilichen Informationssystemen dürfen die Datenschutzbeauftragten nicht wirklich selbst ran ans System. Sie dürfen vielmehr nur Fragen stellen und müssen sich darauf verlassen, dass die Antworten zutreffend und ehrlich sind. Und dass sie auch den Dauerzustand beschreiben. Denn es soll schon vorgekommen sein, dass Systeme VOR dem Besuch des Datenschutzbeauftragten bereinigt wurden um Informationen, die ein wenig kritisch sind…

Im Falle des Palantir-Systems wäre zu prüfen, ob es sogenannte "Backdoors" gibt. Insbesondere weil es sich ja auch um von Palantir gelieferte, installierte und von Palantir-Mitarbeitern "administrierte" Server handeln soll. Wenn schon die technischen Mitarbeiter in der HZD außen vorgelassen wurden, wie deren Direktor beschreibt, welche Möglichkeiten auf Prüfung soll dann der Datenschutzbeauftragte gehabt haben? Der Hinweis in einem Zeitungsartikel, dass die Löschfristen eingehalten wurden, ist in dem Zusammenhang einfach nur noch putzig bzw. naiv.

Datenschutzverein "Digitalcourage" reicht Verfassungsklage gegen Staatstrojaner ein

Die Faszination FÜR Palantir nimmt weiter zu

Deutlich geworden ist in den Zeugenanhörungen vielmehr, dass die Begeisterung FÜR Palantir im Verlauf des Tests und der Evaluierung weiter gewachsen ist.

Innenminister Beuth traf Dr. Alex Karp, angeblich zum "Kennenlernen"

Im Juni 2017, noch bevor über den Beschaffungsauftrag für das "endgültige" System entschieden war, traf sich Innenminister Beuth mit Dr. Alex Karp in einem Wiesbadener Hotel auf einen Kaffee. Es habe sich, sagte der bei diesem Gespräch ebenfalls anwesende Büroleiter des Innenministers später im Untersuchungsausschuss, lediglich um ein "Kennenlerngespräch" gehandelt und es sei nur "Smalltalk" über die anstehende Bundestagswahl geredet worden.

Was doch ein bisschen erstaunt. Denn dann hätte der Innenminister bei seiner Reise ins Silicon Valley im Mai 2016 den CEO der Firma Palantir und Geschäftsführer der deutschen Tochter ja noch gar nicht getroffen. POLICE-IT hat zu dieser nicht ganz unwichtigen Frage im hessischen Ministerium angefragt, doch bisher trotz Nachfrage noch keine Antwort erhalten. Sollte das ein wunder Punkt sein in der Argumentation des Innenministeriums, um die ersichtlich starke und frühe direkte Beteiligung des Innenministers und Landespolizeipräsidenten nicht noch deutlicher werden zu lassen?

Keine Berücksichtigung alternativer Angebote

Wie schon 2016 gab es auch 2017 ausweislich der Dokumente, die dem Ausschuss vorliegen, KEINE Beschäftigung mit den Angeboten anderer Anbieter. Was aus deren Sicht auch völlig unnötig war: Denn die Befürworter von Palantir waren ja, wie mehrere von ihnen im Ausschuss auch erklärt haben, überzeugt davon, dass "nur Palantir in der Lage war, alle Anforderungen der hessischen Polizei zu erfüllen".

Gutachter sagt: IBM, SAP und SAS konnten die Leistungen vollständig abdecken

Doch das "trifft nicht zu", sagte in der Ausschuss-Sitzung am 15.10.2018 Sachar Paulus, ein Informatikprofessor, der als Gutachter geladen war. "IBM, SAP und SAS konnten die Leistungen vollständig abdecken, Rola zumindest teilweise. Bei Microsoft und Oracle 'scheine es' Lösungen zu geben."

Der parlamentarische Geschäftsführer der CDU-Fraktion und Obmann seiner Fraktion im Untersuchungsausschuss, Holger Bellino, bezeichnete daraufhin das Gutachten als "ohne Relevanz". Und auch er wusste, "nur Palantir war angesichts der akuten Terrorgefahr sofort in der Lage, alle Anforderungen der hessischen Polizei zu erfüllen".

Was bringt nur alle diese Leute dazu, die für polizeilichen Staatsschutz, Analyse und Auswertung nur begrenzte fachliche Kompetenz mitbringen, an diesem Hersteller und seinem Produkt so eisern festzuhalten? Mögliche Antwort? Siehe Teil II!

Letzte Schritte vor der Beschaffung des Systems für den Wirkbetrieb

Im Herbst 2017 war klar, dass das LPP in Hessen dieses Palantir-System unbedingt und dauerhaft haben wollte. Wie schon bei der Beschaffung des zeitlich befristeten Testsystems stellte sich das Problem mit der Auftragsvergabe.

Nicht dass man im hessischen Innenministerium schon zu Zeiten des früheren Innenministers Bouffier nicht auch schon kreative Lösungen gefunden hätte, um das Vergaberecht zu umgehen. Andererseits zieht so etwas negative Presse (in Zeiten des Wahlkampfs!) nach sich und – wie man sieht – sogar einen Untersuchungsausschuss.

Vergaberechtliche Beratung durch die Anwaltskanzlei Bird&Bird

Also schaltete man, wie auch schon zu früheren Zeiten, eine Anwaltskanzlei – Bird&Bird – ein, die die Rechtmäßigkeit des Vergabeverfahrens prüfen sollte.

Die Anwälte leisteten dann "Formulierungshilfe bei der Erstellung der Marktbeobachtung", sagte der Mitarbeiter des Projektteams, René Hoffmann, bei seiner Anhörung am 8.10.2018 im Ausschuss. Mit ihrer Unterstützung wurde dann eine "Marktanalyse" erstellt, deren letzte Fassung auf den 24.10.2017 datiert ist. Vorgängerversionen vermisst die Opposition bis heute in den Ausschussunterlagen. Am selben 24.10.2017 erstellten die Anwälte ein Gutachten, das die Rechtmäßigkeit des Vergabeverfahrens bestätigt. Was SPD-Obmann Schmitt so bewertet: "Bird&Bird war also in den laufenden Prozess eingebunden, um ihn am Ende für richtig zu befinden."

Die endgültige Auftragsvergabe

Kurz vor Weihnachten, am 14.12.2017, erteilte das Präsidium für Technik, Logistik und Verwaltung dann den zweiten Auftrag an die Palantir Technologies GmbH: Zur "Beschaffung und Betrieb [siehe Teil II] einer Analyseplattform für die Polizei Hessen zur effektiven Bekämpfung des islamistischen Terrorismus und der schweren und organisierten Kriminalität". Der Auftragswert blieb geheim. Die Vergabe "im Rahmen eines Verhandlungsverfahrens ohne Teilnahmewettbewerb" (im Klartext: "freihändig") erfolgte wegen "technischer Besonderheiten" [welche sollen das sein?] bzw. "aufgrund des Schutzes von Ausschließlichkeitsrechten" [wie zum Beispiel des Patent- oder Urheberrechts], weshalb der Auftrag nur von Palantir durchgeführt werden kann. Denn, so heißt es weiter, "nach einer Marktanalyse ist einzig diese am Markt verfügbare und sofort einsatzbereite Analyseplattform in der Lage, die fachlichen Anforderungen der hessischen Polizei vollständig zu erfüllen, insbesondere als integrierte Gesamtlösung".

Das ist feinsinnig, aber nichts Neues:

• Jahrelang haben Bundes- und Landesbehörden ihre freihändige Vergaben an Rola Security Solutions mit dem Schutz von Ausschließlichkeitsrechten begründet.
• Eine gewisse Chuzpe ist den hessischen Beschaffern nicht abzusprechen. Erst auf Steuerzahler’s Kosten (freihändig) ein zeitlich befristetes Testsystem beschaffen und zu ungenannt hohen Kosten installieren lassen. Und dann bei der Übernahme in die unbefristete Nutzung anzuführen, dass nur dieses System "sofort einsatzbereit" ist. Das ist dreist!

Neue Anschuldigungen gegen Facebook: Plattform sammelte Nutzerdaten, Bilder und Texte

Was seitdem geschah...

…weiß die Öffentlichkeit nicht so genau. Es sollen inzwischen 150 Mitarbeiter geschult worden sein, wurde in der Presse berichtet. Das allein soll 600.000 Euro gekostet haben. Für den Betrieb einer Palantir-Komponente namens "Beagle" sei zusätzliche Hardware nötig, nämlich sogenannte Bitboxes. Das ist Hermann Schaus, dem Obmann der LINKEN, aufgefallen und er wollte wissen, was das zusätzlich kostet. Bisher ohne Antwort… Und Europol, von den Palantir-Befürwortern in Hessen als DIE Referenz angegeben, soll sich inzwischen von Palantir getrennt haben. Darüber zeigte sich der FDP-Abgeordnete Dr. Hahn in einer Pressemitteilung vom 01.10.2018 überrascht.

Im Juni 2018 beschloss dann – auf Betreiben der SPD, FDP und LINKEN – der hessische Landtag den Untersuchungsausschuss.

Einen Tag vor der ersten Sitzung, am 02.07.2018, legte sich dann – erstmals in der ganzen Affäre – Innenminister Beuth bei einer Pressekonferenz mit Vorführung höchstpersönlich ins Zeug: "Beuth verteidigt Analysesoftware der Polizei" schrieb die Frankfurter Rundschau:

Die hessische Polizei ist überzeugt, dass sie mit Hilfe der neuen Analysesoftware des US-Unternehmens Palantir einen islamistischen Anschlag vereitelt hat. Ohne das Computersystem, das Informationen aus Polizeidateien und sozialen Netzwerken sekundenschnell zusammenführt, hätten die Ermittlungen gegen einen 17-jährigen Iraker aus Eschwege mehrere Wochen gedauert. Dann "wäre es zu spät gewesen", glaubt David Frank vom Polizeipräsidium Nordhessen. Der 17-jährige Mann war im Februar festgenommen worden.

Diesen Artikel finden Sie im Original auf POLICE-IT.

RT Deutsch bemüht sich um ein breites Meinungsspektrum. Gastbeiträge und Meinungsartikel müssen nicht die Sichtweise der Redaktion widerspiegeln.

Fortsetzung: Teil V – Palantir Gotham alias Hessendata: System und Funktionsweise

Mehr zum Thema - Big Data: Facebook erstellt auch von noch nie angemeldeten Personen Profile