Projekt VeRA: Ergebnis der Quellcodeüberprüfung

Fraunhofer Institut für Sichere Informationstechnologie (SIT) legt Bericht vor: Sicherer Betrieb ist möglich!

Bayerisches Landeskriminalamt Quelle: © LKA Bayern
Bayerisches Landeskriminalamt
Quelle: © BLKA

MÜNCHEN. Vor der Einführung der Verfahrensübergreifenden Recherche- und Analyseplattform (VeRA) bei der Bayerischen Polizei beschloss das Bayerische Staatsministerium des Innern, für Sport und Integration, die Software durch ein unabhängiges Institut prüfen zu lassen, um maximale Datensicherheit und besten Datenschutz zu gewährleisten.
Dabei handelt es sich um eine einmalige Vorgehensweise und ein Verfahren, welches in dieser Form bei der Einführung von Software-Produkten in der Bayerischen Polizei noch nie angewendet wurde. Es ist darüber hinaus ein außergewöhnlicher Vertrauensbeweis der Firma Palantir Technologies GmbH, den sie mit der Zustimmung zu diesem Prüfverfahren und dem damit verbundenen Einblick in ihre Geschäftsgeheimnisse erbrachte.
Mit der Quellcode-Untersuchung wurde nach Durchführung eines Vergabeverfahrens das renommierte und unabhängige Fraunhofer Institut für Sichere Informationstechnologie (FHI SIT) beauftragt. Das Gutachten basiert auf einem breiten und fundierten methodischen Vorgehen zur vollumfänglichen Prüfung der Software. Die Untersuchung fokussierte sich dabei nicht nur auf den Quellcode der Software selbst, sondern war deutlich breiter konzipiert.
Im Rahmen der Prüfung wurde u.a. eine umfassende Schwachstellenanalyse durchgeführt. Dabei wurden neben umfänglichen manuellen Prüfungen und Penetrationstests auch Code-Scanner zur automatisierten Detektion von Schwachstellen eingesetzt.
Zudem wurden bei der Untersuchung und im Gutachten Aspekte eines späteren Betriebs der Standardsoftware im abgeschotteten Polizeinetz berücksichtigt. Das Bayerische Landeskriminalamt (BLKA) überprüft ständig die Sicherheit der IT-Infrastruktur und trifft technische wie organisatorische Sicherheitsvorkehrungen und Maßnahmen, um einen Schutz für alle Verfahren der Bayerischen Polizei zu gewährleisten.
In der Software wurde keine sog. Backdoor identifiziert.
Im Rahmen der Untersuchung wurden keine Funktionalitäten festgestellt, die

  • einen unzulässigen Abfluss von Daten unter Umgehung von Zugriffsbeschränkungen oder
  • einen unautorisierten Zugriff auf das System von außen ermöglichen.


Diese Feststellungen bestätigen uns in der Bewertung, dass ein Betrieb von VeRA bei der Bayerischen Polizei ohne durchgreifende Sicherheitsbedenken möglich ist. Das Gutachten und die Inhalte sind durch das BLKA, schon wegen der sensiblen Angaben zur IT-Infrastruktur der Bayerischen Polizei, als Verschlusssache eingestuft. Darüber hinaus enthält das Gutachten Geschäftsgeheimnisse der Fa. Palantir Technologies GmbH im Sinne des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG). Eine Veröffentlichung oder auch auszugsweise Einsichtnahme ist deshalb rechtlich nicht zulässig und daher auch nicht vorgesehen.

Bericht: Bayerisches Landeskriminalamt