Author Topic: [Poliks (Polizeiliches Datenerfassungssystem)... ]  (Read 204 times)

0 Members and 1 Guest are viewing this topic.

Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9463
  • Subfrequenz Board Quotation Robot
[Poliks (Polizeiliches Datenerfassungssystem)... ]
« on: August 22, 2018, 12:26:06 PM »
Quote
[...] POLIKS bedeutet Polizeiliches Landessystem zur Information, Kommunikation und Sachbearbeitung. Es handelt sich dabei um ein IT-Verfahren, das der Berliner Polizei als zentrales IT-Verfahren für alle Bereiche der Vollzugspolizei und als Schnittstelle zu anderen IT-Verfahren des Landes (z. B. EWW, Automatisiertes Staatsanwaltschaftliches Auskunftssystem) und des Bundes (z. B. BKA-Anwendungen (INPOL), Kraftfahrt-Bundesamt-Verfahren (ZEVIS), Ausländerzentralregister, Bundeszentralregister) dient. POLIKS gliedert sich in die Bestandteile Vorgangsbearbeitung (Strafanzeigen, Verkehrsunfälle usw.) und Informationssystem (Auskunft und Recherche- und Statistikfunktionen).

Das System wurde vom IT-Dienstleister gedas, einer IT-Servicetochter des Volkswagenkonzerns, entwickelt und nach fünf Jahren Entwicklungszeit (Start 2005) im März 2005 eingeführt. POLIKS löste damit nach über 30 Jahren das alte „Informationssystem Verbrechensbekämpfung“ (ISVB) ab.

Die Kosten beliefen sich auf insgesamt 73 Millionen Euro, wobei der größte Anteil für den Auf- und Ausbau der IT-Infrastruktur verwendet wurde.

... Mittlerweile (Stand 12/2008) sind ca. 12.000 PCs, davon rund 10.000 für den Exekutivbereich angeschafft worden. 20.000 Polizisten wurden in das System eingeführt.

Abfragen zu Personen oder Fahrzeugen werden vom Polizeisystem innerhalb von maximal zehn Sekunden beantwortet. Komplexere Datenrecherchen sowie Abfragen bei anderen Stellen wie dem BKA oder beim Landeseinwohneramt bearbeitet ein gesonderter Server im Hintergrund parallel. Die Kernabläufe wurden von einem „Formularwald“ mit 350 Formblättern auf 33 reduziert.

POLIKS basiert auf einer Serviceorientierten-Architektur. Das Frontend ist Windows-basiert und das Backend war zunächst Unix-basiert (HP-UX) und wurde seit Mitte 2008 sukzessive auf Linux umgestellt. Für die Kommunikation zwischen Clients und Zentralsystem wird XML - SOAP verwendet.

Das Hosting der Netzwerkarchitektur, der Betrieb und die Wartung erfolgen beim IT-Dienstleistungszentrum Berlin (ITDZ), dem vormaligen Landesbetrieb für Informationstechnik (LIT).


Aus: "POLIKS" (19. April 2017)
Quelle: https://de.wikipedia.org/wiki/POLIKS

« Last Edit: October 02, 2018, 11:09:38 AM by Textaris(txt*bot) »

Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9463
  • Subfrequenz Board Quotation Robot
[Poliks (Notizen)... ]
« Reply #1 on: August 22, 2018, 12:31:40 PM »
Quote
[...] Im zentralen Datenerfassungssystem Poliks der Berliner Polizei gibt es eine massive Sicherheitslücke. Davor warnen jetzt Ermittler. In den Computern der Behörde sind die teils hochsensiblen Daten von über drei Millionen Menschen erfasst, etwa Privatadressen, Ehestand, Ehepartner oder im Haushalt angemeldete dritte Personen. Die Abfrage dieser Daten unterliegt strengen Vorschriften. Doch diese Vorschriften können leicht umgangen werden. Deshalb hat sich Berlins Datenschutzbeauftragte eingeschaltet.

Im Poliks (Polizeiliches Landessystem zur Information, Kommunikation und Sachbearbeitung) werden Straftäter und Tatverdächtige erfasst, ebenso die Daten von Opfern und Zeugen. Wie lange diese Daten gespeichert werden, ist abhängig vom Fall, sie sind mindestens ein Jahr, maximal zehn Jahre im Computer abrufbar.

Zudem ist im Poliks ersichtlich, wann jemand in welcher Eigenschaft mit Polizei, Staatsanwaltschaft oder den Ordnungsbehörden zu tun hatte. Auf das System haben rund 16.000 bei der Polizei Beschäftigte Zugriff. Allerdings kann aufgrund einer Sicherheitslücke nicht immer nachvollzogen werden, welcher Behördenmitarbeiter wann und weshalb auf diese Daten zugreift.

Zur Anmeldung bei Poliks an einem Polizeicomputer benötigt man eine Personalnummer und ein persönliches Kennwort. Die Personalnummer wird polizeiintern offen verwendet, sie steht auf jedem Vorgang, den der jeweilige Beamte bearbeitet. Der Kennwortschutz kann leicht umgangen werden.

„Wenn man unter der Personalnummer dreimal ein falsches Kennwort eingibt, wird der Benutzeraccount gesperrt“, sagte ein hochrangiger Beamter dieser Zeitung. „Dann muss jemand nur bei der System-Hotline anrufen und bekommt einfach so ein neues Passwort.“

Eine elektronische Sicherheitsabfrage zum Entsperren (wie etwa der Geburtsname der Mutter oder der Name des Haustieres) gibt es laut Aussage des Beamten in der Praxis nicht. Die Hotline-Mitarbeiter würden sich auf den jeweiligen Dienststellen nicht rückversichern, ob es sich tatsächlich um den befugten Mitarbeiter handelt. Zudem werde so ein Vorgang nirgends dokumentiert, sagt der Beamte. Die Folge: Polizisten könnten somit unter falschem Namen leicht sensible Daten abfragen.

So flog im Frühjahr dieses Jahres nach monatelangen, auch internen Ermittlungen ein Polizeioberkommissar auf, der einen Drogenhändlerring seit 2016 mit Polizeiinterna aus dem Poliks versorgt und vor bevorstehenden Razzien gewarnt haben soll. Wegen des Verdachts der gewerbsmäßigen Bestechlichkeit, der Verletzung von Dienstgeheimnissen in mindestens acht Fällen und der Beteiligung am Betäubungsmittelhandel sitzt der 39-Jährige derzeit in Untersuchungshaft.

In Zehlendorf wiederum spionierte eine Polizeikommissarin ihre Nachbarschaft monatelang aus, durch einen anonymen Hinweis kam der Fall ans Licht. Die Frau wurde unlängst zur einer Geldstrafe verurteilt.

In einem weiteren Fall informierten sich Polizisten illegal über eine Kollegin und deren Privatleben: Sie wollten herausfinden, ob die Frau geschieden sei.

Nach mehreren Hinweisen auf das Sicherheitsproblem gab es bereits eine sogenannte „Vor-Ort-Prüfung“ durch die Berliner Datenschutz-Beauftragte Maja Smoltczyk in der Polizeibehörde. Ein Ergebnis dieser Überprüfung ist noch nicht bekannt, weil die Auswertung nach Informationen dieser Zeitung noch nicht abgeschlossen ist.

Polizeiintern seien die Datenschutzverstöße seit Jahren bekannt, wie Jörn Badendick auf Anfrage bestätigte. Der Mann ist Ermittler und zugleich Sprecher der polizeilichen Personalvertretung „Die Unabhängigen“, die sich für die Belange von Berliner Polizisten „unabhängig von einer etwaigen gewerkschaftlichen Mitgliedschaft einsetzt“, wie er sagt.

Nachdem Personalratsmitglieder der Unabhängigen von mehreren Fällen des Datenmissbrauchs erfahren haben, hätten sie die Behördenleitung, die zuständige Abteilung im Landeskriminalamt, die Datenschutzbeauftragte der Polizei und auch Innensenator Andreas Geisel darüber informiert, sagt Badendick. Passiert sei bisher aber nichts.


Aus: "Sicherheitslücke Wie Ermittler polizeiinterne Daten missbrauchen" Philippe Debionne (19.08.2018)
Quelle: https://www.berliner-zeitung.de/berlin/polizei/sicherheitsluecke-wie-ermittler-polizeiinterne-daten-missbrauchen-31132814

Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9463
  • Subfrequenz Board Quotation Robot
[Poliks (Notizen)... ]
« Reply #2 on: August 22, 2018, 12:36:30 PM »
Quote
[...] Die Polizei reagierte zurückhaltend. Es seien „bedauerliche Einzelfälle“, die bereits geahndet worden seien, sagte ein Sprecher. Die Polizei sei im Umgang mit Daten „äußerst sensibel“. Die Hinweise auf die Sicherheitslücke im Datensystem seien „dankbar zur Kenntnis“ genommen worden und würden geprüft.

Politisch brisant für die Innenverwaltung und die rot-rot-grüne Koalition, deren Vertreter seit Monaten informiert waren: Bei der Mitte Juni beschlossenen Novelle des Berliner Datenschutzgesetzes ist der unbefugte Zugriff auf Daten von einer Straftat, auf die bis zu ein Jahr Haft steht, auf eine Ordnungswidrigkeit mit bis zu 50.000 Euro Geldbuße herabgestuft worden. Seither liegt eine Straftat nur noch dann vor, wenn für Daten Geld genommen oder wenn jemand geschädigt wird.

Benedikt Lux, Innenexperte der Grünen im Abgeordnetenhaus, sagte dem Tagesspiegel: Dass Poliks missbrauchsanfällig ist, sei bekannt. Nötig seien mehr Stichproben und ein Polizeibeauftragter, der den Datenschutz stärker kontrolliert.

Marcel Luthe (FDP) hingegen nahm die frühere Polizeiführung um Kandt und Koppers ins Visier: „Die bekannt gewordenen massiven Datenschutzverstöße werfen die Frage auf, wer für die Ermöglichung dieser Straftaten im Bereich der Polizei verantwortlich war.“ Zugleich gehe es um die Frage, "warum die Koalition die Herabstufung dieser Taten von Straftaten zu Ordnungswidrigkeiten unbedingt vor der Sommerpause durchsetzen wollte".


Aus: "Droht der Berliner Polizei ein Datenschutz-Skandal?" (20.08.2018)
Quelle: https://www.tagesspiegel.de/berlin/sicherheitsluecken-im-polizei-system-droht-der-berliner-polizei-ein-datenschutz-skandal/22933306.html


Quote
Sciaridae 20.08.2018, 23:01 Uhr

... Freuen wir uns auf die Zeiten, wenn noch mehr Daten über Bürger gesammelt werden und jeder Verbrecher in Uniform darauf Zugriff hat.
Pardon, diese Beamten sind ja nun keine Verbrecher mehr, begehen nur noch Ordnungswidrigkeiten.

Top!


Offline Textaris(txt*bot)

  • Administrator
  • Hero Member
  • *****
  • Posts: 9463
  • Subfrequenz Board Quotation Robot
[Poliks (Notizen)... ]
« Reply #3 on: September 03, 2018, 02:11:14 PM »
Quote
[...] Bei der Berliner Polizei ist es zu "unrechtmäßigen Zugriffen" auf das Polizeiliche Landessystem zu Information, Kommunikation und Sachbearbeitung (Poliks) gekommen. Das hat ein Sprecher der Senatsverwaltung für Inneres gegenüber heise online bestätigt. "Fälle der missbräuchlichen Verwendung des Verfahrens der Passwortrücksetzung" seien den Behörden jedoch "nicht bekannt", betonte der Sprecher und wies entsprechende Berichte lokaler Medien zurück.

Demnach sind zur Anmeldung an einen Poliks-Rechner eine Personalnummer und ein persönliches Kennwort notwendig. Erstere werde polizeiintern offen verwendet und mit jedem von einem Beamten bearbeiteten Vorgang verknüpft. Bei der Passwortabfrage könne man leicht tricksen, hieß es bei der Berliner Zeitung: Das Benutzerkonto werde nach dreimaliger falscher Kennworteingabe gesperrt, über die System-Hotline erhalte man in diesem Fall aber ohne weitere Sicherheitsabfrage einfach ein neues Passwort.

Den Berichten zufolge ist es dabei zu Missbrauchsfällen gekommen: So habe ein Polizist Drogendealer mit Informationen versorgt und vor Razzien gewarnt, Beamte hätten den Beziehungsstatus einer Kollegin abgefragt, eine Ordnungshüterin Nachbarn ausspioniert. Mitglieder der polizeilichen Personalvertretung "Die Unabhängigen" hätten aufgrund der Datenschutzverstöße unter anderem die Behördenleitung und Innensenator Andreas Geisel informiert, passiert sei aber nichts.

"Das medial geschilderte Verfahren ist falsch", betonte der Sprecher des Innensenators. Bei der Polizei Berlin werde das Konzept verfolgt, am stationären Desktop-PC "grundsätzlich möglichst alle dienstlich erforderlichen Anwendungen mit einer Anmeldung zur Verfügung zu stellen". Insofern könne Poliks "nach Authentifizierung am multifunktionalen Arbeitsplatz (MAP) aufgerufen werden". Über ein Rollen- und Rechtesystem würden die Nutzungsmöglichkeiten innerhalb des IT-Systems dem jeweiligen Nutzer entsprechend seiner Freigaben zugewiesen.

Je nach Berechtigung können MAP-Anwender etwa auch das internationale Polizeisystem Inpol, das Schengener Informationssystem (SIS), das Ausländerzentralregister (AZR) oder das Visa-Informationssystem (VIS) der EU abfragen, erläutert die Senatsverwaltung für Inneres. Der Zugang sei aber zumindest seit 2017 über ein Verfahren abgesichert, das den Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI) entspreche. Eine Neuvergabe von Passwörtern für den MAP-Rechner basiere "auf einem unmittelbaren Identitätsnachweis oder einer Zwei-Faktoren-Authentifizierung".

"Nach fünfmaliger Fehleingabe des Kennwortes wird ein MAP-Konto automatisch gesperrt", erläutert der Senatsvertreter die Details. Gängige Ursachen dafür seien "Zahlendreher bei der Eingabe der Personalnummer im Anmeldeverfahren" oder ein "unbeabsichtigtes Feststellen der Taste für Großbuchstaben", wodurch das Passwort für den Nutzer nicht sichtbar "falsch" eingegeben werde. In diesen Fällen werde grundsätzlich kein neues Kennwort vergeben, sondern es erfolge nach entsprechender Beratung rund um die möglichen Fehlerquellen "lediglich eine Freischaltung, sodass der Anwender den Anmeldevorgang mit seinem bisherigen Kennwort erneut versuchen kann".

Die einschlägigen Richtlinien sähen den Einsatz von Initialpasswörtern vor, führte der Sprecher weiter aus. Diese müssten vom Anwender nach dem ersten Anmelden geändert und durch eigene Kennwörter ersetzt werden. Dies sei systemseitig auch so umgesetzt worden, sodass "die richtige Eingabe technisch erzwungen wird". Die genannten Missbrauchsfälle beruhten dem aktuellen Kenntnisstand nach "auf Abfragen unter eigener Identität" der Übeltäter. Sie hätten "durch das Überprüfen über die sogenannte Protokolldatei ermittelt werden" können. Vor 2017 gab es aber offenbar noch ein laxeres Anmeldeverfahren.

Inzwischen läuft aus Sicht von Senat und Polizei prinzipiell alles gut mit Poliks. Die Berliner Datenschutzbeauftragte Maja Smoltczyk beschäftigt unter anderem das zum MAP gehörende "Password Recovery System" Meldungen aber schon seit mehr als einem Jahr. Im Frühjahr seien die Gegebenheiten direkt bei der Polizei untersucht worden, der Prozess laufe aber noch, heißt es beim Tagesspiegel. Vom Senat ist dazu nur zu hören: "Das Verfahren liegt bei der Polizei Berlin. Dort liegt ein Schreiben der Berliner Beauftragten für Datenschutz und Informationsfreiheit zur Vor-Ort-Prüfung vor." Beobachtern gibt allein die lange Dauer des Kontrollvorgangs Rätsel auf. Sie wittern weitere, noch wenig beleuchtete Dimensionen des "Datenskandals".

Die ausgemachten Delikte bei Poliks-Abfragen sollen laut dem Sprecher Geisels nicht ungeahndet bleiben. Bei Verstößen gegen das Landesdatenschutzgesetz handle es sich um ein sogenanntes Antragsdelikt. In den Fällen, in denen von den beschuldigten Polizeibeamten mehrere unzulässige Datenabfragen durchgeführt worden seien, habe die Datenschutzbehörde die entsprechenden Strafanträge gestellt. Möglicherweise hätten die Geschädigten so bislang noch nichts von dem Datenschutzverstoß zu ihrem Nachteil erfahren. Grundsätzlich informiere die Polizei aber die Betroffenen früher oder später.

Im Poliks sind gegenwärtig rund 21 Terabyte Daten gespeichert. 2,4 Terabyte davon lagern direkt in dem System, 18,8 beziehen sich auf digitale Dokumente, die darüber referenziert werden. Seit der holprigen Arbeitsaufnahme von Poliks in 2005, das T-Systems und Microsoft als Vorzeigeprojekt führen, sind über 12 Millionen Vorgänge und 9,4 Millionen Personen wie Zeugen oder Täter darin erfasst worden. Löschfristen werden nach Angaben des Senats "an den gesetzlichen Vorgaben ausgerichtet automatisiert festgelegt, ausgeworfen und bei Ausbleiben einer Verlängerung umgesetzt". (Stefan Krempl) / (olb)


Aus: "Poliks: Berliner Senat dementiert Sicherheitslücke im Polizeisystem" Stefan Krempl (03.09.2018)
Quelle: https://www.heise.de/newsticker/meldung/Poliks-Berliner-Senat-dementiert-Sicherheitsluecke-im-Polizeisystem-4153414.html

Quote
     MarkWolf, 03.09.2018 12:56

Selbstverständlich

Was nicht sein darf, das nicht sein kann. Und wer es glaubt, wird selig.