Die Datenbanken der Polizei sind für Kriminelle von großem Interesse. Viele würden sicherlich gerne erfahren, was die Polizei schon über sie weiß, ob sie gesucht oder beobachtet werden. Unbescholtene Bürger googeln sich selbst, warum sollten Verbrecher das nicht auch tun wollen, nur eben mit einer anderen Art Suchmaschine?

Im Jahr 2012 ist genau so etwas passiert. Hacker drangen in die Computer eines Dienstleisters ein, der den dänischen Teil des Schengener Informationssystems betrieb. Das Schengener Informationssystem (SIS) beinhaltet Daten über Fahndungslisten, Einreiseverbote und überwachte Fahrzeuge. Die Besonderheit: Jede nationale Datenbank enthält alle Daten aus dem gesamten Schengenraum. Die Hacker fanden Polizeiinformationen aus 28 Ländern sowie von Europol und Eurojust. 1,2 Millionen Datensätze aus dem SIS kopierten sie damals.

Lange Zeit blieb der Vorfall mehr oder weniger geheim. Erst Monate später, im März 2013, informierte die EU-Kommission die Schweizer Polizei. Andere Schengen-Mitgliedstaaten wurden sogar erst im Juni 2013 informiert, von der dänischen Polizei. Die Öffentlichkeit schließlich erfuhr Ende Dezember von der Attacke, weil Schweizer Medien Informationen über den Vorfall bekommen hatten.

Nun, mehr als ein Jahr nach dem Einbruch, hat die Bundesregierung eingeräumt, dass auch Daten deutscher Polizeibehörden kopiert wurden. 272.606 Datensätze, um genau zu sein. Die Zahl nannte der Parlamentarische Staatssekretär Ole Schröder am Donnerstag, nachdem der Linken-Abgeordnete Andrej Hunko in der Fragestunde des Parlaments am Mittwoch danach gefragt hatte.

Bei den Angreifern soll es sich um einen schwedischen und einen dänischen Hacker gehandelt haben, teilte Schröder weiter mit. Auf einem ihrer Rechner sei "eine Vielzahl anderer heruntergeladener Daten" gefunden worden, was dafür spreche, dass die Täter es nicht gezielt auf SIS-Daten abgesehen hätten. Ob diese Daten weitergegeben oder veröffentlicht wurden, sei der Bundesregierung nicht bekannt.

Die Sicherheitslücke, die 2012 das Einfallstor für die mutmaßlichen Täter gewesen war, sei inzwischen geschlossen worden. Details zum Angriff habe die dänische Polizei aber nicht bekannt gegeben.

Die Luzerner Zeitung schrieb im Dezember, die Daten seien codiert gewesen, sodass man wissen muss, welcher Zahlencode zu welcher polizeilichen Maßnahme gehört, um mit den Daten wirklich etwas anfangen zu können. Kryptografisch verschlüsselt aber waren die Daten nicht.

Risiko bei der Vernetzung europäischer Polizeidatenbanken

Betroffen von dem Angriff war das SIS der ersten Generation. Seit April 2013 ist SIS II in Betrieb, es enthält unter anderem biometrischen Daten wie Fotos, Fingerabdrücke und DNA-Proben.

Kurz danach hat auch die Bundesregierung von dem Angriff auf die alte Version des SIS erfahren. Sie habe den Vorfall aber nicht öffentlich gemacht, um SIS II "nicht zu diskreditieren", sagt Andrej Hunko.

Er kritisiert die zunehmende Vernetzung der europäischen Polizeidatenbanken: "Mehr Datenhunger führt zu mehr Datenverlust", sagt Hunko. "Mittlerweile verfügt die EU über derart viele Polizeidatenbanken, dass diese von einer eigenen Agentur verwaltet werden müssen. Trotzdem sollen weitere Vorratsdatenspeicherungen hinzukommen, auf die immer mehr Behörden zugreifen dürfen. Geplant ist, dass alle Reisenden an EU-Grenzen ihre Fingerabdrücke abgeben müssen, Ein- und Ausreisen werden protokolliert. In einem Passagierdatenregister sollen heikle Personendaten gespeichert werden, darunter religiöse Essgewohnheiten oder Hotelbuchungen mit Doppelzimmer."

Solche Systeme seien niemals sicher, sagt Hunko. Nicht vor gewöhnlichen Kriminellen und schon gar nicht vor den Hackern der NSA.