Sommer 2017, eine Straße irgendwo in Las Vegas. Auf dem Video ist zu sehen, wie zwei Polizisten um einen Pick-up-Truck stehen. Sie fordern den Mann am Steuer auf, aus dem Fahrzeug zu steigen, doch er weigert sich vehement. Der Mann ist aufgebracht, unterstellt den Polizisten Schikane. Dann geht alles ganz schnell, das Kamerabild wackelt, Schüsse sind zu hören, der Polizist rennt in Deckung. "Shots fired", ruft er in sein Funkgerät. Der Fahrer ist von einer Kugel in den Kopf getroffen, ein Polizist verletzt worden.
Was genau passiert ist, ist später für jeden nachvollziehbar, denn die Polizei von Las Vegas veröffentlicht die Aufnahmen von den Bodycams der Polizisten zusammen mit dem Einsatzbericht. Der Fahrer hatte eine Schusswaffe gezückt.
Die am Körper getragenen Kameras sind eine ungewöhnliche Erfolgsstory: Sie haben Befürworter sowohl unter Aktivisten als auch in Polizeidienststellen. Bürgerrechtler in den USA versprechen sich von ihrem Einsatz besseren Schutz vor Polizeigewalt gegen Minderheiten. Sicherheitspolitiker wie der bayerische Innenminister Joachim Herrmann sind dagegen überzeugt, dass die Kameras abschreckende Wirkung haben und Gewalt gegen Polizisten eindämmen.
In Deutschland wird dennoch gerade eine Debatte über Bodycams geführt. Dabei geht es aktuell weniger um die Aufzeichnung selbst, als um die Speicherung der aufgezeichneten Daten. Motorola, mit deren Kameras die Bundespolizei gerade großflächig ausgerüstet wird, lagert die Aufzeichnungen nämlich in der Cloud des US-Unternehmens Amazon Web Services (AWS).
Wie gefährlich ist der Cloud-Act für deutsche Daten?
Im März setzte der FDP-Bundestagsabgeordnete Benjamin Strasser das Thema per schriftlicher Anfrage an die Bundesregierung auf die Tagesordnung. Grund für die Aufregung ist vor allem ein neues Gesetz der USA. Strasser argumentiert, dass US-Unternehmen durch den 2018 von US-Präsident Donald Trump erlassenen Cloud-Act gezwungen werden könnten, Daten der deutschen Bundespolizei an US-Behörden weiterzugeben. Dem Bundesbeauftragten für den Datenschutz, Ulrich Kelber, zufolge verstößt die Speicherung bei AWS gegen deutsches Recht. Laut Bundesdatenschutzgesetz darf die Bundespolizei Daten zur Verarbeitung an Dritte nur weitergeben, wenn gewährleistet ist, dass sie volle Kontrolle über die Daten behält. Nach dem Cloud-Act könnte aber ein US-Gericht von AWS die Daten fordern. Nur AWS und nicht die Bundespolizei könnte dagegen vorgehen. Kelber sagt deshalb, die Daten von Bundesbehörden hätten in der Cloud eines US-Unternehmens nichts zu suchen, zumal es mittlerweile Alternativen gebe.
Amazon versichert, dass man sich gegen entsprechende Anfragen von US-Behörden notfalls juristisch wehren werde. Zudem gebe es technische Lösungen, die verhindern, dass AWS überhaupt in der Lage wäre, Material auszuhändigen. Demnach lagerten Kundendaten auf Wunsch auf den Servern des Unternehmens so verschlüsselt, dass nur der Kunde selbst die Daten überhaupt entschlüsseln kann.
Technisch spricht nichts gegen AWS
Ob die verfügbaren Alternativen wirklich besser wären als die AWS-Cloud, stellt der Cybersecurity-Experte Sven Herpig von der Stiftung Neue Verantwortung in Frage. Er sieht keine technischen Sicherheitsaspekte, die gegen AWS sprechen. Das US-Unternehmen ist Marktführer für Cloud-Infrastruktur, 80 Prozent der DAX-Unternehmen greifen auf AWS-Angebote zurück. AWS ist für Amazon hochprofitabel. Im ersten Quartal 2019 machte AWS zwar nur 13 Prozent des Umsatzes des Unternehmens aus, steuerte aber die Hälfte des Vorsteuergewinns bei. Auch EU-Institutionen setzen auf Amazons Infrastruktur. Die europäische Polizeibehörde Europol war von der Amazon-Cloud so begeistert, dass sich die Behörde sogar für ein Werbevideo des Unternehmens einspannen ließ. Europol hatte die Plattform erfolgreich genutzt, um Programme, die gegen digitale Erpresser-Software (sogenannte Ransomware) helfen, an Unternehmen zu verteilen.
Bodycam-Daten könnten auch lokal, also klassisch auf Servern vor Ort, gespeichert werden, in mehreren Bundesländern wird das aktuell so gehandhabt. Bayern und Baden-Württemberg setzen auf eine Bodycam des US-Herstellers Axon. Das Unternehmen wirbt zwar - auch mit Sicherheitsargumenten - intensiv für sein Cloud-Portal "evidence.com", auf dem Polizisten die Videos hochladen und analysieren können. Für die Bodycam-Daten der Länderpolizeien hat Axon jedoch die Beweismittelmanagement-Software "Axon Commander" lokal installiert.
Im Fall der Bundespolizei war die Speicherung in der Cloud dagegen zentraler Bestandteil des Anforderungsprofils. Ein Sprecher begründete das gegenüber der Nachrichtenagentur dpa unter anderem mit der hohen Zahl der Dienststellen. Bundespolizei-Beamte seien zudem oft unterwegs. Denkbar sei etwa, dass es bei der Anreise zu einem Fußballspiel zu Gewalt kommt. Mit einer Cloud-Lösung könnte die Polizei Bodycam-Daten der Beamten im Zug noch während der Fahrt auswerten, und die Verdächtigen dann am Zielbahnhof festnehmen.
Die Bundescloud könnte eine Lösung sein
Als die Bundespolizei 2016 begann, Bodycams zu testen, war die Auswahl an Cloud-Speicherangeboten sehr überschaubar. Erst ein Anbieter erfüllte die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) geforderte C5-Zertifizierung: Amazon. Für die C5-Zertifizierung untersuchen Wirtschaftsprüfer, ob die Unternehmen gängige IT-Sicherheitsstandards einhalten. Ende 2017 bekamen auch Microsofts Azure und die Cloud des chinesischen Konzerns Alibaba das Zertifikat. Heute erfüllen noch ein paar mehr Unternehmen die Voraussetzungen. Die einzigen EU-Alternativen mit C5-Zertifizierung sind jedoch der deutsche Mittelständler CANCOM, die Open-Telekom-Cloud und das deutsche Software-Unternehmen SAP.
SAP sagt aber, es sehe sich nicht als Cloud-Anbieter für andere Unternehmen, sondern man hoste in der SAP-Cloud nur die eigenen Anwendungen. In jedem Fall kam die Zertifizierung der EU-Alternativen für die Bundespolizei zu spät - im August 2018. Die Entscheidung für Motorola und AWS war da schon gefallen. Die einzige echte Alternative zum Zeitpunkt der Bodycam-Suche 2016 wäre vermutlich die "deutsche Cloud" von Microsoft gewesen. Das US-Unternehmen hatte sich mit der Telekom-Tochter T-Systems als Datentreuhänder zusammengetan, um deutschen Kunden volle Kontrolle über ihre Daten zu ermöglichen und sie vor dem Zugriff ausländischer Behörden zu schützen. Doch Microsoft hörte nichts von der Bundespolizei - und auch sonst offenbar wenig von deutschen Kunden. 2018 kündigte das Unternehmen an, die deutsche Treuhand-Cloud nicht mehr weiterzuführen.
Politiker aus Regierung und Opposition argumentieren jedoch, auch kommerzielle deutsche Anbieter wie die Telekom wären nicht die ideale Lösung für Behördendaten. Bundesdatenschützer Kelber, Grünen-Politiker Konstantin von Notz und FDP-Mann Strasser machen sich für eine Bundescloud stark. Die gibt es eigentlich schon, betrieben wird sie vom Infomationszentrum Bund (ITZ), einem beim Bundesfinanzministerium angesiedelten IT-Dienstleister. Doch nicht mal das ITZ selbst wirkt überzeugt, dass es momentan für die Cloud-Speicherung der richtige Ansprechpartner wäre. Eine Anbindung der Bodycam-Daten nennt ein Sprecher "nicht trivial".
Die Bundescloud müsste weiterentwickelt werden
Aktuell existieren in der Bundescloud nur eine Art Dropbox für Bundesbeamte und eine Testumgebung für Software-Entwickler des Bundes. Damit eine Beweismittelmanagement-Software wie die von Motorola auf der Bundescloud laufen kann, müssten beide weiterentwickelt werden. Derzeit fehlt der Bundescloud außerdem die von der Bundespolizei im Fall von AWS so hochgehaltene C5-Zertifizierung. Und auch Motorola müsste seine Software anpassen. Beides dürfte dauern.
Vielleicht gibt es bald auch noch eine weitere Alternative zur Bundescloud. Das BKA feilt gerade am "Programm 2020", einem Modernisierungsprogramm für die IT der deutschen Polizei. Der hierfür zuständige BKA-Programmleiter Andreas Lezgus kündigte auf der Jahrestagung des Bundeskriminalamts im Herbst an, eine "zentrale Polizeiplattform mit einem zentralen Datenhaus" aufzubauen. Die BKA-Lösung soll auch den Länderpolizeien und - wenn gewünscht - der Bundespolizei zur Verfügung stehen. Eine entsprechende Anfrage von der Bundespolizei sei beim BKA jedoch noch nicht eingegangen, sagte Lezgus.
