Der Messengerdienst „NIMes“ der niedersächsischen Polizei – eine über die Datenschutzbedenken der LfD Niedersachsen hinausgehende Kritik: Hohes Missbrauchspotential durch rechte Gruppen und Strömungen in der Polizei durch Unkontrollierbarkeit privater Verbreitung und der Nutzung der Polizei-App

12.9.2020, Hannover: Ein Polizist aus Göttingen filmt mit einem Smartphone (rechtswidrigerweise) eine friedliche Demonstration.

Ein paar Schlagzeilen aus jüngerer Zeit (eine fast beliebige Auswahl von noch viel mehr!):

19.9.2020: Mecklenburg-Vorpommern – Polizisten wegen rechtsextremer Chats suspendiert

29.10.2020: Hessen – 77 Verfahren nach rechtsradikalen Verdachtsfällen bei der Polizei

2.12.2020: Rechte in Polizei und Sicherheitsbehörden – Die dunkle Macht der Chats

14.12.2020: Nun mehr als 200 Verdachtsfälle – NRW-Skandal um rechtsextreme Polizisten-Chats weitet sich aus

29.12.2020: Rechtsextreme Chats? Erneut Durchsuchungen bei Polizisten [Osnabrück, Niedersachsen]

2.1.2021: Verdacht auf rechtsextreme Aussagen – Fast 50 Disziplinarverfahren bei Berliner Polizei

5.1.2021: Polizei mahnt Kollegen: Vorsicht bei privaten Chats

Aber unverständlicher- und verstörenderweise auch:

9.2.2021: Rechtsextreme Chats bei Polizei? Straf-Ermittlungen gestoppt [Osnabrück, Niedersachsen]

„Einzelfälle“?

Nach monate- bis jahrelanger Auseinandersetzung titelte die Niedersächsische Landesdatenschutzbeauftragte (LfD) in einer Pressemitteilung gestern nun (Hervorhebungen durch uns):

LfD Niedersachsen beanstandet Polizei-Messenger NIMes wegen Einsatz auf privaten Geräten

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat gegenüber dem Niedersächsischen Innenministerium eine Beanstandung des polizeilichen Messengers NIMes ausgesprochen. Die LfD bemängelt vor allem, dass der Messenger auf privaten mobilen Endgeräten der Polizistinnen und Polizisten betrieben wird. Dieser Ansatz des „Bring your own device“ (BYOD) bringt Risiken und Gefährdungen mit sich, denen die Polizei bislang nur mit unzureichenden Sicherungsmaßnahmen begegnet. (…) „Durch den BYOD-Ansatz ist im laufenden Betrieb eine unüberschaubare Kombination von verschiedenen Geräten, Betriebssystemen, sonstiger Software und Konfigurationen im Einsatz“, kritisiert Barbara Thiel. „Gleichzeitig ist der jeweilige Anwender dafür verantwortlich, sein privates Endgerät vor Schadprogrammen zu schützen. Das wird dem Schutzbedarf der bedrohten Daten in keiner Weise gerecht.“ Die Übertragung von Text-, Bild-, Ton- und Standortdaten kann theoretisch jederzeit durch Schadsoftware angegriffen werden, ohne dass Dienstherr oder Anwender es bemerken. Ein privates Endgerät mit NIMes ist so vom Grundsatz nicht wesentlich besser geschützt als jedes herkömmliche Smartphone mit halbwegs aktuellem Betriebssystem. Zwar führt die Polizei bei NIMes-Anwendern anlasslose Kontrollen durch, doch auch diese helfen durch das BYOD-Prinzip nicht weiter, da private Geräte explizit davon ausgenommen sind. (…) Verbieten kann die LfD Niedersachsen der Polizei den Einsatz von NIMes auf privaten mobilen Endgeräten nicht, da ihr dafür die nötigen Befugnisse fehlen. Zur nun ausgesprochenen Beanstandung ist das Innenministerium gemäß der gesetzlichen Vorgabe zur Stellungnahme aufgefordert worden.

Das ist eine inhaltlich sehr beschränkte und aus unserer Sicht eingeengte Kritik. Dem haben wir noch einiges an brisanten Bedenken hinzuzufügen, hatten dazu Ende 2020 recherchiert und nachgefragt.

Aufgrund der Aktualität hier nun die zusätzliche Kritik am NIMes-Projekt stichpunkthaft und in aller Kürze:

  • „NIMes“ ist ein Messenger-Dienst, der von dem Unternehmen „stashcat GmbH“ programmiert und vertrieben wird. Diese gehört zur „heinekingmedia GmbH“ und die wiederrum zum Madsack-Konzern, der organisatorisch und personell vielfach mit der Landeshauptstadt Hannover und dem Land Niedersachsen und seiner Landespolitik verquickt und verstrickt ist. Jenseits des „BILD“-Blättchens betreibt Madsack u.a. ein Zeitungsmonopol für Hannover (Hannoversche Allgemeine Zeitung und Neue Presse) und beweist sich in diesem Zusammenhang des öfteren als unkritischer Polizeiticker-Wiederkäuer.
  • „Stashcat“ hat ein „hübsches“ Werbevideo für seine Polizei-Anwendung produziert. Tatkräftig unterstützt von der Polizei Niedersachsen. So erfolgten die Dreharbeiten am 23.1.2019 auf dem Gelände der Zentralen Polizeidirektion an der Tannenbergallee in Hannover, auch wirkten einige Polizist*innen in dem Film als Darsteller mit. Hochrangige Polizisten und der CDU-Innenpolitiker und Landtagsabgeordnete Adasch stellten sich als wohlwollend äußernde „Experten“ zur Verfügung. Und das alles für lau: „Die Firma stashcat GmbH stellte für alle Beteiligten Snacks und Getränke bereit. Darüber hinaus wurden der Zentralen Polizeidirektion Niedersachsen Nutzungsrechte an dem Video (zur internen Verwendung) eingeräumt.“ Oh, wie nett! Das könnte man auch als Subvention durch die Hintertür bewerten.
  • Es gibt eine Reihe an Sicherheitsmeldungen zu stashcat/NIMes. Stashcat bewertet dies durchweg als „unkritisch“. Andere IT-Kundige sehen das ganz anders. Darauf angesprochen reagiert das Nds. Innenministerium ausweichend bzw. will keine eigene Stellungnahme abgeben. Das ist selbstkommentierend.
  • Auf NIMes sind wir übrigens überhaupt erst aufmerksam geworden, als wir einen Polizeibeamten aus Göttingen am 12.9.2020 dabei erwischt haben, wie dieser rechtswidrigerweise während seiner Arbeit mit einem Smartphone Aufzeichnungen von einer friedlich verlaufenden Demonstration angefertigt hat (Video). Bald tauchte die Frage auf, ob es sich dabei tatsächlich um sein eigenes oder um ein Polizei-Smartphone handelte und ob er möglicherweise in diesem Kontext die NIMes-App verwendet hat. Die Antworten auf diese Vorgänge sind bis dato übrigens alle noch offen.
  • Die Polizei Niedersachsen betreibt derzeit ca. 470 Tablets und 1.630 Smartphones (Typ: Sony Xperia X Smartphones (Suzu) und Sony Z 3 Compact Tablets). Insgesamt sollen es mal 5.000 Devices werden. Die Polizei-Geräte lassen sich von außen nicht ohne weiteres als Polizeieigentum erkennen, es kann also von außen nicht unterschieden werden, ob ein*e Polizist*in ein eigenes oder ein Behörden-Smartphone in den Händen hält und nutzt.
  • Mit Stand September 2020 sind zehn Polizei-Smartphones und vier Polizei-Tablets abhanden gekommen. Erst nach Bekanntwerden und Meldung des Verlusts können die Geräte gegen den rechtswidrigen Zugriff auf Polizeidaten via NIMes gesperrt werden. Ein Detail, das noch viel mehr Aufmerksamkeit verdiente, worum es hier aber nicht gehen soll.
  • Aber: NIMes kann und darf (so jedenfalls die Meinung des Innenministeriums) auch auf den privaten Smartphones und Tablets der Polizisten und Polizistinnen per App betrieben und genutzt werden! Die NIMes-App ist nach Angaben des Innenministeriums auf rund 20.800 (!) privaten Geräten installiert – Stand 15.9.2020. Das ist eine gegenüber der ca. 2.100 Polizeigeräten enorm viel und darf als exessive Nutzung interpretiert werden.
  • Wer die Erlaubnis zur Einrichtung von NIMes auf seinem eigenen Smartphone erhalten hat kann auf bis zu zwei weiteren Geräten (hoffentlich eigenen!) diese App ebenfalls installieren!

So weit, so bedenklich. Doch es kommt noch schlimmer:

  • Mit NIMes kann man Textnachrichten, Fotos und Videos teilen.
  • Es können „Channels“ eingerichtet werden – und das von jede*m, die/der die NIMes-App auf seinem Gerät installiert hat!
  • Derzeit gibt es ca. 5.000 (!) Channels innerhalb von NIMes.
  • Die Channels sind unmoderiert, sie werden auch nicht von polizeiinternen Instanzen kontrolliert, ja es gibt noch nicht einmal die technische Möglichkeit dazu!
  • Auf die Frage, wie dann gesichert werden kann, dass die Channels nur zu dienstlichen Zwecken genutzt werden heißt es ziemlich lapidar und wirkarm: „Dies wird organisatorisch im Rahmen der Akzeptanz der Benutzervereinbarung durch die Nutzenden sichergestellt.“ Freiwillige Selbstkontrolle also.
  • Über den Inhalt, geschweige denn dem Wortlaut der dazugehörigen Dienstvereinbarung hüllt man sich trotz Nachhakens in Schweigen. Als Begründung für die Geheimhaltung schiebt man das „Personalvertretungsgesetz“ vor.
  • Auch die Datenschutzfolgeabschätzung will man noch nicht einmal teilgeschwärzt öffentlich werden lassen.
  • Neben „Channels“ erlaubt NIMes auch die Einrichtung eigener (dienstlicher, technisch möglich aber auch privater!) Chats. Auch die Einrichtung eines solchen geschlossenen Chats ist durch jede*n Nutzer*in möglich. Und auch hier: „Chats als auch Channel können nur durch die jeweiligen Teilnehmer eingesehen werden.“ Und schlimmer noch: „Die Anzahl der bestehenden Chats ist nicht auswertbar.“

Unser Fazit:

Mit NIMes hat die Polizei Niedersachsen ein digitales Kommunikationsmittel bereitgestellt (und bezahlt dafür schätzungsweise rund 80.000 Euro pro Monat alleine nur an laufender Software-Nutzungsgebühr!), über dessen Nutzung (oder Missbrauch) es die Kontrolle verloren hat, ja niemals Kontrolle hatte.

Die Sorge, dass dieses von staatlicher Seite alimentierte und geschützte und in Zusammenarbeit mit verstrickter Privatwirtschaft betriebene Kommunikationswesen für beispielsweise rechte Gruppen (hoffentlich: Splittergruppen) innerhalb der Polizeibehörden für eigene Zwecke missbraucht wird, ist groß.

Das wirft jenseits der berechtigten datenschutz-juristisch begründeten Kritik der LfD Niedersachsen viele Fragen auf, die eine weitere Nutzung von NIMes nicht nur unzulässig, sondern unerträglich werden lässt.

Wer wie das Innenministerium auf fachliche Fragen rund um IT-Sicherheitsfragen naiv und blauäugig meint antworten zu können und zudem die Risiken des Missbrauchs dieser digitalen Werkzeuge ganz auszublenden vermag, dem sollte man dieses Instrument besser aus der Hand nehmen!

Dieser Beitrag wurde unter Bericht veröffentlicht. Setze ein Lesezeichen auf den Permalink.