Im zentralen Datenerfassungssystem Poliks der Berliner Polizei gibt es eine massive Sicherheitslücke. Davor warnen jetzt Ermittler. In den Computern der Behörde sind die teils hochsensiblen Daten von über drei Millionen Menschen erfasst, etwa Privatadressen, Ehestand, Ehepartner oder im Haushalt angemeldete dritte Personen. Die Abfrage dieser Daten unterliegt strengen Vorschriften. Doch diese Vorschriften können leicht umgangen werden. Deshalb hat sich Berlins Datenschutzbeauftragte eingeschaltet.

Im Poliks (Polizeiliches Landessystem zur Information, Kommunikation und Sachbearbeitung) werden Straftäter und Tatverdächtige erfasst, ebenso die Daten von Opfern und Zeugen. Wie lange diese Daten gespeichert werden, ist abhängig vom Fall, sie sind mindestens ein Jahr, maximal zehn Jahre im Computer abrufbar.

Zudem ist im Poliks ersichtlich, wann jemand in welcher Eigenschaft mit Polizei, Staatsanwaltschaft oder den Ordnungsbehörden zu tun hatte. Auf das System haben rund 16.000 bei der Polizei Beschäftigte Zugriff. Allerdings kann aufgrund einer Sicherheitslücke nicht immer nachvollzogen werden, welcher Behördenmitarbeiter wann und weshalb auf diese Daten zugreift.

Personalnummer und Kennwort

Zur Anmeldung bei Poliks an einem Polizeicomputer benötigt man eine Personalnummer und ein persönliches Kennwort. Die Personalnummer wird polizeiintern offen verwendet, sie steht auf jedem Vorgang, den der jeweilige Beamte bearbeitet. Der Kennwortschutz kann leicht umgangen werden.

„Wenn man unter der Personalnummer dreimal ein falsches Kennwort eingibt, wird der Benutzeraccount gesperrt“, sagte ein hochrangiger Beamter dieser Zeitung. „Dann muss jemand nur bei der System-Hotline anrufen und bekommt einfach so ein neues Passwort.“

Eine elektronische Sicherheitsabfrage zum Entsperren (wie etwa der Geburtsname der Mutter oder der Name des Haustieres) gibt es laut Aussage des Beamten in der Praxis nicht. Die Hotline-Mitarbeiter würden sich auf den jeweiligen Dienststellen nicht rückversichern, ob es sich tatsächlich um den befugten Mitarbeiter handelt. Zudem werde so ein Vorgang nirgends dokumentiert, sagt der Beamte. Die Folge: Polizisten könnten somit unter falschem Namen leicht sensible Daten abfragen.

Verletzung von Dienstgeheimnissen

So flog im Frühjahr dieses Jahres nach monatelangen, auch internen Ermittlungen ein Polizeioberkommissar auf, der einen Drogenhändlerring seit 2016 mit Polizeiinterna aus dem Poliks versorgt und vor bevorstehenden Razzien gewarnt haben soll. Wegen des Verdachts der gewerbsmäßigen Bestechlichkeit, der Verletzung von Dienstgeheimnissen in mindestens acht Fällen und der Beteiligung am Betäubungsmittelhandel sitzt der 39-Jährige derzeit in Untersuchungshaft.

In Zehlendorf wiederum spionierte eine Polizeikommissarin ihre Nachbarschaft monatelang aus, durch einen anonymen Hinweis kam der Fall ans Licht. Die Frau wurde unlängst zur einer Geldstrafe verurteilt.

In einem weiteren Fall informierten sich Polizisten illegal über eine Kollegin und deren Privatleben: Sie wollten herausfinden, ob die Frau geschieden sei.

Datenschutzbeauftragte prüft

Nach mehreren Hinweisen auf das Sicherheitsproblem gab es bereits eine sogenannte „Vor-Ort-Prüfung“ durch die Berliner Datenschutz-Beauftragte Maja Smoltczyk in der Polizeibehörde. Ein Ergebnis dieser Überprüfung ist noch nicht bekannt, weil die Auswertung nach Informationen dieser Zeitung noch nicht abgeschlossen ist.

Polizeiintern seien die Datenschutzverstöße seit Jahren bekannt, wie Jörn Badendick auf Anfrage bestätigte. Der Mann ist Ermittler und zugleich Sprecher der polizeilichen Personalvertretung „Die Unabhängigen“, die sich für die Belange von Berliner Polizisten „unabhängig von einer etwaigen gewerkschaftlichen Mitgliedschaft einsetzt“, wie er sagt.

Nachdem Personalratsmitglieder der Unabhängigen von mehreren Fällen des Datenmissbrauchs erfahren haben, hätten sie die Behördenleitung, die zuständige Abteilung im Landeskriminalamt, die Datenschutzbeauftragte der Polizei und auch Innensenator Andreas Geisel darüber informiert, sagt Badendick. Passiert sei bisher aber nichts.