Aktuelle Änderungen - Suchen:

Wichtige Seiten

Hilfestellungen

Externe Links

Alle Inhalte dieses Wikis, soweit nicht anders angegeben, unter Creative Commons CC-BY-SA

NIMes-Polizeimessenger-Niedersachsen


Diese Seite setzt an einer Stelle an, auf die wir mittels einer Demonstrationsbeobachtung aufmerksam geworden sind. Die ersten beiden folgenden Einträge sind aus der dazugehörigen Wikiseite entnommen und insofern aus dem Zusammenhang gerissen, aber als Basisinformation für alles weitere interessant/wichtig. Wir haben entsprechende Stellen in diesen Antworten fett markiert.

Das Unternehmen stashcat GmbH, dass die Messenger-App NIMes und den dahinter stehenden Dienst programmiert hat und daran verdient gehört übrigens zur heinekingmedia GmbH, die wiederrum eigenen Angaben zufolge zum Madsack-Konzern gehört, selbst wenn sie auf der Wikipedia-Seite der Madsack-Beteiligungen gar nicht aufgeführt wird. Der Madsack-Verlagsgesellschaft gehören die beiden dominierenden Tageszeitungen Hannovers (HAZ, Neue Presse).


22.9.2020 - Antwort aus dem Innenministerium


[Anmerkung: Die in eckigen Klammern gefassten Texte sind nicht vom Innenministerium, sondern von uns eingefügt worden!]


Sehr geehrter Herr xxx,

vielen Dank für Ihre Anfrage. Erlauben Sie uns vor der Beantwortung Ihrer untenstehenden Fragen folgende Vorbemerkung:

Grundsätzlich dürfen Polizeivollzugsbeamtinnen und Polizeivollzugsbeamte (PVB) keine privaten IT-Komponenten für dienstliche Zwecke nutzen. Die Nutzung privater (internetfähiger) Endgeräte für Kommunikation zu dienstlichen Zwecken ist nur bei Beachtung insbesondere datenschutzrechtlicher Regelungen sowie von Vorgaben der Informationssicherheit zulässig und wird nur im Ausnahmefall gestattet. Jedoch lediglich dann, soweit dienstlich kein internetfähiges Endgerät zur Verfügung gestellt werden kann. In der Polizei Niedersachsen wurde vor diesem Hintergrund ein Messenger-Dienst ("Niedersachsen-Messenger-NIMes") entwickelt. Ausschließlich mit diesem Dienst darf in der Polizei Niedersachsen auch unter Nutzung privater Endgeräte dienstlich kommuniziert werden. Der Messenger-Dienst NIMes ist allerdings nicht für die hier genannten Aufzeichnungen bei Versammlungen vorgesehen. Die Nutzung des Messenger-Dienstes NIMes ist durch eine Dienstvereinbarung verbindlich geregelt.

Private IT-Komponenten sind für dienstliche Zwecke nicht zugelassen. Die Polizei kann offene Bild- und Tonaufzeichnungen bei Versammlungen unter freiem Himmel nach § 12 des Niedersächsischen Versammlungsgesetzes (NVersG) und bei Versammlungen in geschlossenen Räumen nach § 17 NVersG unter den dort genannten Voraussetzungen anfertigen. Hierfür werden dienstliche Geräte (Videokameras) verwendet. Die gesetzlich geforderte Offenheit der Aufzeichnungen beinhaltet, dass diese für die betroffenen Personen als polizeiliche Maßnahme erkennbar sein müssen. Die Verwendung privater Endgeräte regeln die zuständigen Polizeibehörden und -dienststellen zusätzlich im Einzelfall in ihren Einsatzbefehlen, die wiederum als Verschlusssache - Nur für den Dienstgebrauch (VS-NfD) eingestuft sind.

Befragungen zum Sachverhalt und zu den von Ihnen abgebildeten Lichtbildern werden derzeit durch die PD Hannover veranlasst. Im Übrigen sind dort in Bezug auf den in Rede stehenden Einsatz keine weiteren gleichgelagerten Fälle bekannt.

1.) Ist es zulässig, dass ein Polizeibeamter während seines Dienstes mit seinem Privathandy bzw. -smartphone Aufzeichnungen von einer Versammlung vornimmt?

Siehe Vorbemerkung. [Nein.]

2.) Gibt es Vorgaben oder Regelungen zur Nutzung privater Smartphones bei Polizeibeamten und -beamtinnen im Dienst und falls ja, wie lauten diese im Detail?

Siehe Vorbemerkung. [Ja, s.o.]

3.1.) Können Sie bestätigen, dass im Zuge der Versammlungen in Hannover am 12.9.2020 keinerlei Videoaufzeichnungen, Bild- oder Tonaufnahmen von Versammlungen mittels Polizeibeamte via Smartphone für dienstliche Zwecke vorgenommen worden sind? Falls nein: Warum nicht?

Siehe Vorbemerkung. [(Vorerst?) Unbeantwortet.]

Anmerkung zu den folgenden Fragen:

Die Behörden und Einrichtungen der Polizei Niedersachsen verfügen über ein eigenes Budget, aus dem sie u. a. auch mobile Endgeräte, wie z. B. Smartphones, für die dienstliche Nutzung beschaffen und dezentral verwalten. Daneben erfolgt bislang eine landesweit einheitliche Ausstattung mit Smartphones und Tablets durch die Zentrale Polizeidirektion Niedersachsen. Dem Innenministerium liegen zu den dezentral verwalteten Endgeräten keine Detailinformationen vor. Zu den zentral ausgegeben und verwalteten Geräten sind nachfolgende Aussagen möglich:

3.2.) Wie viele Smartphones und wie viele Tablets wurden bislang an die Polizei-Einsatzkräfte ausgegeben?

Im Rahmen des Projekts "Sichere Mobile Kommunikation" erprobt und betreibt die Polizei Niedersachsen aktuell 2.100 mobile Endgeräte, davon 466 Tablets und 1.634 Smartphones. Mit der Fortsetzung des Projektes "Sichere Mobile Kommunikation 2.0" wird angestrebt, durch eine zentrale Verteilung von ca. 5000 Geräten die dezentral beschafften Geräte abzulösen.

4.) Wie viele davon sind noch in Betrieb?

Grundsätzlich sind alle Geräte noch betriebsfähig.

5.) Wie viele davon sind bislang verlustig gegangen?

Im Zeitraum von Mitte 2015 bis heute sind zehn Smartphones und vier Tablets als Verlust gemeldet worden.

6.) Um welche Geräte-Typen bzw. -Modelle handelt es sich dabei im Einzelnen?

Bei den als Verlust gemeldeten Geräten handelt es sich um Sony X Smartphones und Sony Z 3 Compact Tablets.

7.) Wie sind diese Geräte von außen als Dienst-Smartphones und -Tablets von anderen handelsüblichen (Privat-)Geräten zu unterscheiden bzw. wie sind sie (äußerlich) gekennzeichnet?

Die von der Polizei Niedersachsen genutzten Endgeräte unterscheiden sich äußerlich nicht von handelsüblichen Geräten aus einer Serienproduktion. Allerdings sind sowohl an den Tablets als auch den Smartphones Aufkleber mit der polizeiinternen Inventarnummer zur internen Zuordnung angebracht.

8.) Auf wie vielen privaten Smartphones von Polizisten und Polizistinnen wurde bislang NIMes installiert?

Aktuell (Stand: 15. September 2020) sind 20.758 Mitarbeitende der Polizei Niedersachsen beim Niedersachsen-Messenger (NIMes) angemeldet.

9.) Wie kann von außen nachvollzogen werden, ob ein Polizeibeamter mittels seines privaten Smartphones Aufzeichnungen im NIMes-Kontext oder im "privaten" Smartphone-Modus vornimmt?

Inwieweit eine Polizeibeamtin oder ein Polizeibeamter ein eigenes (privates) Smartphone im NIMes- oder "Privatmodus" nutzt, kann grundsätzlich von außen nicht nachvollzogen werden.

10.) Wie stehen Sie zu der Forderung der Landesdatenschutzbeauftragten, NIMes nur auf dienstlichen Geräten einzusetzen?

Nach hiesiger Auffassung geschieht die Nutzung von NIMes auf privaten Endgeräten datenschutzkonform. Das Landespolizeipräsidium steht gleichwohl im ständigen Austausch mit der LfD. Dabei ist auch die sog. BYOD-Strategie der Polizei bezüglich NIMes regelmäßig Gegenstand des Austausches mit der Landesdatenschutzbeauftragten. (Erklärung: BYOD= Bring your own device).

11.) Warum liegt noch keine Datenschutzfolgeabschätzung zum NIMes-Dienst vor?

Eine Datenschutzfolgenabschätzung liegt der Landesbeauftragten für Datenschutz zur Prüfung und Zustimmung vor.

12.) Wieso konnte der Polizeibeamte keine Personal- oder Dienstnummer angeben bzw. besitzt keine solche?

Die Polizei des Landes Niedersachsen vergibt keine "Personal- oder Dienstnummern", die zur Identifizierung einzelner Polizeibeamtinnen und -beamter im Rahmen von Einsätzen bestimmt sind. Gemäß des § 57 i.V.m. § 56 des Gesetzes über Ordnungswidrigkeiten (OWiG) haben sich einschreitende Beamtinnen und Beamten durch ihre Dienstkleidung oder in andere Weise auszuweisen. Dadurch wird klargestellt, dass das Tragen von Uniform der normierten Ausweispflicht genügt. Soweit dienstlich erforderlich, kann die oder der Vorgesetzte einen bestimmten Dienstanzug bzw. Dienstkleidung anordnen. Bei geschlossenen Einsätzen erfolgt die Anordnung in der Regel durch die Polizeiführerin oder den Polizeiführer.


Niedersächsisches Ministerium für Inneres und Sport
Referat für Presse- und Öffentlichkeitsarbeit,
Heimatvertriebene und Kulturpreis Schlesien


25.9.2020 - Teilantworten vom Nds. Innenministerium


Sehr geehrter Herr xxx,

vielen Dank für Ihre Anfrage. Ihre untengenannten Fragen, die das Niedersächsische Ministerium für Inneres und Sport betreffen, beantworten wir nachfolgend gerne. Zu den übrigen Fragen wird die PD Hannover Stellung nehmen.

Nachfrage zu Frage 6.)

Handelt es sich bei den "Sony X Smartphones" um das folgende Modell bzw. um die Sony Xperia X Reihe?

Es handelt sich um das Gerät Sony Xperia X (Codename: Suzu). Weitere Informationen können Sie folgendem frei verfügbaren Artikel entnehmen: https://en.wikipedia.org/wiki/Sony_Xperia_X .

Nachfrage zu Frage 12.)

Wäre es in solchen Zusammenhängen und mit Blick auf die Wahrung der Persönlichkeitsrechte der Polizist*innen nicht sinnvoll, diesen eine Kennung an die Hand zu geben, die es ihnen ermöglicht, sich pseudonymisiert zu identifizieren, ohne gleich ihren Namen angeben zu müssen? Gibt es hierzu Überlegunen in ihrem Hause?

Das Thema "Kennzeichnung" oder "Kennung" für die Polizei unterliegt einem intensiven Befassungs- und Diskussionsprozess. Gespräche auf politischer Ebene wie auch mit Personal- und Berufsvertretungen haben stattgefunden. Vor einer Entscheidung sind die sehr unterschiedlichen Standpunkte und Bewertungen zu berücksichtigen. Eine Entscheidungsfindung seitens der Landesregierung ist noch nicht abgeschlossen.

Niedersächsisches Ministerium für Inneres und Sport
Referat für Presse- und Öffentlichkeitsarbeit, Heimatvertriebene und Kulturpreis Schlesien


8.10.2020 - Presseanfrage an das Nds. Innenministerium


Sehr geehrte Damen und Herren,

zur Messenger-Anwendung NIMes der Polizei Niedersachsen haben wir folgende Fragen:

1.) Wie viele Channels existieren innerhalb von NIMes derzeit?

2.) Welche Personen oder Personengruppen haben eine Berechtigung, einen eigenen Channel einzurichten?

3.) Gibt es innerhalb der IT-Struktur Personengruppen mit der Berechtigung, alle Channels bzw. deren Inhalte einzusehen?

4.) Können neben Fotos auch Videos via NIMes versendet/geteilt werden?

5.) Wie hoch sind die jährlichen Kosten (laufende Kosten sowie einmalige andere Kosten in dem Zusammenhang) für den Einsatz von NIMes?

6.) Der Versand der Daten via NIMes mag verschlüsselt erfolgen, doch zur Ablage von Dateien und Daten von NIMes im Zusammenhang mit der Nutzung der Anwendung auf privaten Smartphones: Wird diese Ablage/Speicherung ebenfalls verschlüsselnd durchgeführt oder werden bspw. die Dateien zu den versendeten oder empfangenen Fotos unverschlüsselt im Dateisystem des Smartphones abgelegt?

Die Firma "stashcat", die die Anwendung entwickelt hat und bereitstellt präsentiert auf ihrer Homepage ein Werbevideo, bei dem u.a. die PD Hannover aufwendig mitgewirkt haben muss. Dargestellt und geschauspielert wird eine Beispielanwendung von NIMes im Zuge eines vermissten Kindes:

https://stashcat.com/referenzen/nimes-polizei-niedersachsen

7.) Wann wurden die Dreharbeiten für dieses Video durchgeführt?

8.) Wie lang haben die Dreharbeiten gedauert?

9.) Handelt es sich bei den im Film agierenden Polizeibeamtinnen und -beamten um "echte" Beamten/Beamtinnen oder um Schauspieler?

10.) Wie viele Polizeibeamte- und beamtinnen und wie viele andere Bedienstete des Landes Niedersachsen waren an den Dreharbeiten beteiligt?

11.) In welchem Umfang gab es Zahlungen oder geldwerte Sachleistungen oder Vergünstigungen oder sonstig anrechenbare Leistungen seitens der stashcat GmbH an die Polizei oder an das Ministerium oder andere Stellen als Gegenleistung für die Mitwirkung an der Erstellung dieses Filmes?

12.) Wie ist der Wortlaut der Dienstvereinbarung betreffend die Nutzung von NIMes auf privaten Devices?

Und noch mit Bezug auf Ihre Antworten vom 22.9.2020:

13.) Wie wurde/wird sichergestellt, dass mittels der insgesamt 14 verlustig gegangenen Polizei-Smartphones und -Tablets kein Missbrauch betrieben wird? Wie wurden diese Geräte gegen Fremdzugriff gesichert? Kann sichergestellt werden, dass die auf diesen Devices existenten Daten und Zugangsbefugnissen (u.a. auf NIMes) gesperrt/gelöscht/unzugänglich wurden/werden?

Vielen Dank und viele gute Grüße,


15.10.2020 - Antwort aus dem Nds. Innenministerium


Sehr geehrter Herr xxx,

vielen Dank für die Übermittlung Ihre Anfrage. Gerne beantworten wir Ihre Fragen wie folgt:

1.) Wie viele Channels existieren innerhalb von NIMes derzeit?

Es existieren circa 5.000 Chanels innerhalb von NIMes.

2.) Welche Personen oder Personengruppen haben eine Berechtigung, einen eigenen Channel einzurichten?

Alle Anwenderinnen und Anwender sind berechtigt, eigene Channel einzurichten.

3.) Gibt es innerhalb der IT-Struktur Personengruppen mit der Berechtigung, alle Channels bzw. deren Inhalte einzusehen?

Nein.

4.) Können neben Fotos auch Videos via NIMes versendet/geteilt werden?

Ja.

5.) Wie hoch sind die jährlichen Kosten (laufende Kosten sowie einmalige andere Kosten in dem Zusammenhang) für den Einsatz von NIMes?

Die jährlichen laufenden Kosten betragen aktuell 3,30 EUR monatlich pro Nutzungslizenz bzw. Anwendenden. Die Entwicklungskosten werden im Wesentlichen über diese Lizenzkosten abgedeckt.

6.) Der Versand der Daten via NIMes mag verschlüsselt erfolgen, doch zur Ablage von Dateien und Daten von NIMes im Zusammenhang mit der Nutzung der Anwendung auf privaten Smartphones: Wird diese Ablage/Speicherung ebenfalls verschlüsselnd durchgeführt oder werden bspw. die Dateien zu den versendeten oder empfangenen Fotos unverschlüsselt im Dateisystem des Smartphones abgelegt?

Eine lokale Ablage auf einem mobilen Endgerät ist in NIMes nicht möglich. Alle Daten werden verschlüsselt auf einem Server abgelegt.

Die Firma "stashcat", die die Anwendung entwickelt hat und bereitstellt präsentiert auf ihrer Homepage ein Werbevideo, bei dem u.a. die PD Hannover aufwendig mitgewirkt haben muss. Dargestellt und geschauspielert wird eine Beispielanwendung von NIMes im Zuge eines vermissten Kindes: https://stashcat.com/referenzen/nimes-polizei-niedersachsen

7.) Wann wurden die Dreharbeiten für dieses Video durchgeführt?

Die Dreharbeiten für das Video haben am 23. Januar 2019 auf der Liegenschaft am Behördensitz der Zentralen Polizeidirektion Niedersachsen an der Tannenbergallee 11 in Hannover stattgefunden.

8.) Wie lang haben die Dreharbeiten gedauert?

Die Dreharbeiten für den simulierten Vermisstenfall dauerten insgesamt ca. 3 Stunden. Davon abgesetzt fanden zwei kurze Experteninterviews vor der Kamera statt.

9.) Handelt es sich bei den im Film agierenden Polizeibeamtinnen und -beamten um "echte" Beamten/Beamtinnen oder um Schauspieler?

An den Dreharbeiten haben sowohl Mitarbeiterinnen und Mitarbeiter der Polizei als auch Mitarbeitende der Firma stashcat GmbH teilgenommen.

10.) Wie viele Polizeibeamte- und beamtinnen und wie viele andere Bedienstete des Landes Niedersachsen waren an den Dreharbeiten beteiligt?

An der Darstellung des simulierten Vermisstenfalls haben insgesamt zwei Polizeivollzugsbeamtinnen sowie ein -beamter mitgewirkt. Darüber hinaus stellten sich zwei Polizeivollzugsbeamte für einen O-Ton vor der Kamera zur Verfügung (siehe Antwort zu Frage 8).

11.) In welchem Umfang gab es Zahlungen oder geldwerte Sachleistungen oder Vergünstigungen oder sonstig anrechenbare Leistungen seitens der stashcat GmbH an die Polizei oder an das Ministerium oder andere Stellen als Gegenleistung für die Mitwirkung an der Erstellung dieses Filmes?

Im Zuge der Außendreharbeiten am 23. Januar 2019 stellte die Firma stashcat GmbH für alle Beteiligten Snacks und Getränke bereit. Darüber hinaus wurden der Zentralen Polizeidirektion Niedersachsen Nutzungsrechte an dem Video (zur internen Verwendung) eingeräumt.

12.) Wie ist der Wortlaut der Dienstvereinbarung betreffend die Nutzung von NIMes auf privaten Devices?

Dem Wortlaut des Paragrafen 78 des Niedersächsischen Personalvertretungsgesetzes in der Fassung vom 9. Februar 2016 nach handelt es sich bei einer Dienstvereinbarung um eine vertragliche Regelung zwischen einer Dienststelle und dem Personalrat. Die vereinbarten Inhalte (innerdienstliche Belange) sind grundsätzlich nicht für eine Veröffentlichung bestimmt.

13.) Wie wurde/wird sichergestellt, dass mittels der insgesamt 14 verlustig gegangenen Polizei-Smartphones und -Tablets kein Missbrauch betrieben wird? Wie wurden diese Geräte gegen Fremdzugriff gesichert? Kann sichergestellt werden, dass die auf diesen Devices existenten Daten und Zugangsbefugnissen (u.a. auf NIMes) gesperrt/gelöscht/unzugänglich wurden/werden?

Die betroffenen Geräte werden im Gerätemanagement blockiert, haben damit kein Zugriff mehr auf das polizeiliche Intranet und werden beim nächsten Einschalten auf den Werkszustand zurückgesetzt. Dabei werden auch der Zertifikatsspeicher und die Verschlüsselungscodes gelöscht.

Die Daten auf den Geräten sind durch das Betriebssystem "Trusted Mobile" stark isoliert und verschlüsselt, um das Auslesen dieser zu verhindern. Zusätzlich ist der Linuxkernel der Geräte durch verschiedene Mechanismen gehärtet, um den Zugriff und die Manipulation der Software durch sogenannte "exploits" zu verhindern.

Durch einen secure boot loader wird außerdem die Manipulation des Betriebssystems während des Startvorgangs und der Zugriff über sogenannte debug-Schnittstellen blockiert. Speziell für die Anwendung NIMes wird das durch ein sogenanntes Application Device Management geregelt. Administratorinnen und Administratoren als auch die Anwenderinnen und Anwender selbst können die Anwendung NIMes aus der Ferne inhaltlich löschen. Die Applikation wird dann in den "Rohzustand" versetzt. Das heißt, es ist eine komplette neue Anmeldung erforderlich, um die Applikation wieder nutzen zu können. Dies bedingt, dass Nutzerinnen und Nutzer über alle notwendigen Berechtigungen und Anmeldedaten verfügen.

Niedersächsisches Ministerium für Inneres und Sport


22.10.2020 - Nachfragen an das Nds. Innenministerium


Sehr geehrte Damen und Herren,

Danke für die Antworten. Für uns ergeben sich folgende Nachfragen:

Am 15.10.2020 um 09:18 schrieb Pressestelle (MI):

1.) Wie viele Channels existieren innerhalb von NIMes derzeit?
Es existieren circa 5.000 Chanels innerhalb von NIMes.
2.) Welche Personen oder Personengruppen haben eine Berechtigung, einen eigenen Channel einzurichten?
Alle Anwenderinnen und Anwender sind berechtigt, eigene Channel einzurichten.
3.) Gibt es innerhalb der IT-Struktur Personengruppen mit der Berechtigung, alle Channels bzw. deren Inhalte einzusehen?
Nein.

Mit Blick auf die Fragen/Antworten Nrn. 1-3:

a) Wie wird sichergestellt, dass die Channels seitens der Nutzer*innen nur für dienstliche Zwecke eingerichtet und genutzt werden?

b) Wie bzw. durch wen können eröffnete Channels wieder geschlossen werden?

c) Gibt es bei der von der Polizei Niedersachsen eingesetzten Variante von stashcat (NIMes) die Möglichkeit, neben Channels auch Chats zu nutzen bzw. Chats einzurichten und falls ja, wie viele Chats gibt es derzeit, besitzt die Berechtigung, Chats einzurichten und gibt es Personengruppen mit der Berechtigung, alle Chats bzw. deren Inhalte einzusehen? Ist weiterhin die Einrichtung von Chats möglich, ohne dass die IT-Administration deren Einrichtung feststellen kann?


6.) Der Versand der Daten via NIMes mag verschlüsselt erfolgen, doch zur Ablage von Dateien und Daten von NIMes im Zusammenhang mit der Nutzung der Anwendung auf privaten Smartphones: Wird diese Ablage/Speicherung ebenfalls verschlüsselnd durchgeführt oder werden bspw. die Dateien zu den versendeten oder empfangenen Fotos unverschlüsselt im Dateisystem des Smartphones abgelegt?
Eine lokale Ablage auf einem mobilen Endgerät ist in NIMes nicht möglich. Alle Daten werden verschlüsselt auf einem Server abgelegt.

d) Ist es möglich, via NIMes versendete oder empfangene Daten (Bilder, Standortdaten, Videos, Audios, Chat- oder Channel-Inhalte) bei der Anwendung der NIMes-App auf privaten Endgeräten so abzulegen, dass jenseits der NIMes-App auf diese zugegriffen werden kann?


12.) Wie ist der Wortlaut der Dienstvereinbarung betreffend die Nutzung von NIMes auf privaten Devices?
Dem Wortlaut des Paragrafen 78 des Niedersächsischen Personalvertretungsgesetzes in der Fassung vom 9. Februar 2016 nach handelt es sich bei einer Dienstvereinbarung um eine vertragliche Regelung zwischen einer Dienststelle und dem Personalrat. Die vereinbarten Inhalte (innerdienstliche Belange) sind grundsätzlich nicht für eine Veröffentlichung bestimmt.

e) Können Sie uns dann wenigstens den substantiellen Gehalt der Inhalte und die dort vereinbarten Regelungen sachlich erläutern? Aus journalistischer Sicht besteht ein Interesse daran, diese Regelungen nachvollziehen zu können.


13.) Wie wurde/wird sichergestellt, dass mittels der insgesamt 14 verlustig gegangenen Polizei-Smartphones und -Tablets kein Missbrauch betrieben wird? Wie wurden diese Geräte gegen Fremdzugriff gesichert? Kann sichergestellt werden, dass die auf diesen Devices existenten Daten und Zugangsbefugnissen (u.a. auf NIMes) gesperrt/gelöscht/unzugänglich wurden/werden?
Die betroffenen Geräte werden im Gerätemanagement blockiert, haben damit kein Zugriff mehr auf das polizeiliche Intranet und werden beim nächsten Einschalten auf den Werkszustand zurückgesetzt. Dabei werden auch der Zertifikatsspeicher und die Verschlüsselungscodes gelöscht.

f) Wann und durch wen wird die Blockierung ausgelöst? Und ist bis zum Zeitpunkt der Blockierung ein unerlaubter Fremdzugriff möglich?


Die Daten auf den Geräten sind durch das Betriebssystem "Trusted Mobile" stark isoliert und verschlüsselt, um das Auslesen dieser zu verhindern.

g) Gehen wir Recht in der Annahme, dass das Betriebssystem "Trusted Mobile" lediglich auf den polizeieigenen Geräten (Smartphones, Tablets) eingerichtet worden ist, nicht aber auf den privaten Devices der Polizist*innen, die dort die NIMes-App betreiben?

h) "Trusted Mobile" von Rhode&Schwarz wurde in 2016 veröffentlicht. Bedeutet das, dass mindestens die davor mit NIMes ausgerüsteten polizeieigenen Geräte nicht über dieses Betriebssystem verfügen?


Sie schrieben am 22.9.2020:

"Die Behörden und Einrichtungen der Polizei Niedersachsen verfügen über ein eigenes Budget, aus dem sie u. a. auch mobile Endgeräte, wie z. B. Smartphones, für die dienstliche Nutzung beschaffen und dezentral verwalten. Daneben erfolgt bislang eine landesweit einheitliche Ausstattung mit Smartphones und Tablets durch die Zentrale Polizeidirektion Niedersachsen. Dem Innenministerium liegen zu den dezentral verwalteten Endgeräten keine Detailinformationen vor."

i) Gibt es "dezentral verwaltete" polizeieigene Endgeräte oder sind damit lediglich die privaten Endgeräte gemeint, auf denen die Nutzer*innen die NIMes-App installiert haben? Falls es dezentral-verwaltete polizeieigene Geräte gibt: Um was für Geräte handelt es sich dabei und wie viele sind es?

j) Gibt es bei dem Wunsch, die NIMes-App auf privaten Devices einzurichten und zu betreiben irgendwelche Einschränkungen hinsichtlich der Soft- oder Hardware-Ausstattung durch die Polizeibehörde oder kann jedes private Gerät, dass die notwendigen technischen Mindestanforderungen von stashcat/NIMes erfüllt dafür verwendet werden?

k) Kann/darf NIMes von den Anwendern auch auf privaten PCs, also nicht-mobilen Endgeräten installiert werden?

l) Können die Nutzer*innen von NIMes, die diese App auf ihren privaten Endgeräten betreiben dürfen weitere eigene Geräte dafür registrieren und auf diesen ebenfalls diese App nutzen?


m) Können Sie uns die DSFA für NIMes zugänglich machen?

n) Wer betreibt den/die für den Einsatz von NIMes notwendigen Server? Sind dieses polizeieigene bzw. vom Land Niedersachsen betriebene Server oder Server von stashcat/heinekingmedia?

o) Teilt das Nds. Innenministerium die Ansicht der stashcat GmbH, wonach die drei derzeit angeführten Sicherheitsmeldungen für stashcat/NIMes (CWE 312, CWE 598, CWE 359) https://stashcat.com/sicherheitsmeldungen allesamt als "unkritisch" zu bewerten sind?

p) Wann und wie oft wurden seitens der niedersächsischen Behörden eigene Security-Audits zu NIMes durchgeführt und was waren die jeweiligen Ergebnisse?

q) Ist die Prüfung der DSFA durch das LfD bereits erfolgt oder gab es dazu bereits eine Rückmeldung durch die LfD? Falls ja, mit welchem Ergebnis/Inhalt?

Vielen Dank und viele gute Grüße,


13.11.2020 - Nachhaken beim Nds. Innenministerium


Sehr geehrte Damen und Herren,

können Sie uns mitteilen, wann wir mit einer Beantwortung unserer Nachfragen vom 22.10.2020 rechnen können?

Vielen Dank und viele gute Grüße,


16.11.2020 - Antworten vom Nds. Innenministerium


Sehr geehrter Herr xxx,

nachfolgend finden Sie unsere Antworten auf Ihre Fragen

1.) Wie viele Channels existieren innerhalb von NIMes derzeit?

Es existieren circa 5.000 Chanels innerhalb von NIMes.

2.) Welche Personen oder Personengruppen haben eine Berechtigung, einen eigenen Channel einzurichten?

Alle Anwenderinnen und Anwender sind berechtigt, eigene Channel einzurichten.

3.) Gibt es innerhalb der IT-Struktur Personengruppen mit der Berechtigung, alle Channelsbzw. deren Inhalte einzusehen?

Nein.

Mit Blick auf die Fragen/Antworten Nrn. 1-3:

a) Wie wird sichergestellt, dass die Channels seitens der Nutzer*innen nur für dienstliche Zwecke eingerichtet und genutzt werden?

Dies wird organisatorisch im Rahmen der Akzeptanz der Benutzervereinbarung durch die Nutzenden sichergestellt.

b) Wie bzw. durch wen können eröffnete Channels wieder geschlossen werden?

Durch den Erstellenden des Channels selbst und durch die Administrierenden.

c) Gibt es bei der von der Polizei Niedersachsen eingesetzten Variante von stashcat (NIMes) die Möglichkeit, neben Channels auch Chats zu nutzen bzw. Chats einzurichten und falls ja, wie viele Chats gibt es derzeit, besitzt die Berechtigung, Chats einzurichten und gibt es Personengruppen mit der Berechtigung, alle Chats bzw. deren Inhalte einzusehen? Ist weiterhin die Einrichtung von Chats möglich, ohne dass die IT-Administration deren Einrichtung feststellen kann?

Chats können durch jeden Nutzenden eingerichtet werden. Chats als auch Channel können nur durch die jeweiligen Teilnehmer eingesehen werden. Die Anzahl der bestehenden Chats ist nicht auswertbar.

6.) Der Versand der Daten via NIMes mag verschlüsselt erfolgen, doch zur Ablage von Dateien und Daten von NIMes im Zusammenhang mit der Nutzung der Anwendung auf privaten Smartphones: Wird diese Ablage/Speicherung ebenfalls verschlüsselnd durchgeführt oder werden bspw. die Dateien zu den versendeten oder empfangenen Fotos unverschlüsselt im Dateisystem des Smartphones abgelegt?

Eine lokale Ablage auf einem mobilen Endgerät ist in NIMes nicht möglich. Alle Daten werden verschlüsselt auf einem Server abgelegt.

d) Ist es möglich, via NIMes versendete oder empfangene Daten (Bilder, Standortdaten, Videos, Audios, Chat- oder Channel-Inhalte) bei der Anwendung der NIMes-App auf privaten Endgeräten so abzulegen, dass jenseits der NIMes-App auf diese zugegriffen werden kann?

Nein.

12.) Wie ist der Wortlaut der Dienstvereinbarung betreffend die Nutzung von NIMes auf privaten Devices?

Dem Wortlaut des Paragrafen 78 des Niedersächsischen Personalvertretungsgesetzes in der Fassung vom 9. Februar 2016 nach handelt es sich bei einer Dienstvereinbarung um eine vertragliche Regelung zwischen einer Dienststelle und dem Personalrat. Die vereinbarten Inhalte (innerdienstliche Belange) sind grundsätzlich nicht für eine Veröffentlichung bestimmt.

e) Können Sie uns dann wenigstens den substantiellen Gehalt der Inhalte und die dort vereinbarten Regelungen sachlich erläutern? Aus journalistischer Sicht besteht ein Interesse daran, diese Regelungen nachvollziehen zu können.

Jede substanzielle Darstellung der Inhalte würde zwangsläufig dem Sinn des Paragrafen 78 des Niedersächsischen Personalvertretungsgesetzes in der Fassung vom 9. Februar 2016 entgegenstehen.

13.) Wie wurde/wird sichergestellt, dass mittels der insgesamt 14 verlustig gegangenen Polizei-Smartphones und -Tablets kein Missbrauch betrieben wird? Wie wurden diese Geräte gegen Fremdzugriff gesichert?

Kann sichergestellt werden, dass die auf diesen Devices existenten Daten und Zugangsbefugnissen (u.a. auf NIMes) gesperrt/gelöscht/unzugänglich wurden/werden?

Die betroffenen Geräte werden im Gerätemanagement blockiert und haben damit keinen Zugriff mehr auf das polizeiliche Intranet. Die Geräte werden beim nächsten Einschalten auf den Werkszustand zurückgesetzt. Dabei werden auch der Zertifikatsspeicher und die Verschlüsselungscodes gelöscht.

f) Wann und durch wen wird die Blockierung ausgelöst? Und ist bis zum Zeitpunkt der Blockierung ein unerlaubter Fremdzugriff möglich?

Nach dem Verlust wird der User Help Desk der Polizei durch die Anwenderin oder den Anwender informiert. Der UHD (24/7 besetzt) löst die Blockade dann unverzüglich aus.

Ein unerlaubter Fremdzugriff ist nur möglich, wenn Pins und Passwörter bekannt sind und unmittelbarer physischer Zugriff auf das mobile Endgerät vorhanden ist.

Die Daten auf den Geräten sind durch das Betriebssystem "Trusted Mobile" stark isoliert und verschlüsselt, um das Auslesen dieser zu verhindern.

g) Gehen wir Recht in der Annahme, dass das Betriebssystem "Trusted Mobile" lediglich auf den polizeieigenen Geräten (Smartphones, Tablets) eingerichtet worden ist, nicht aber auf den privaten Devices der Polizist*innen, die dort die NIMes-App betreiben?

Ja.

h) "Trusted Mobile" von Rhode&Schwarz wurde in 2016 veröffentlicht. Bedeutet das, dass mindestens die davor mit NIMes ausgerüsteten polizeieigenen Geräte nicht über dieses Betriebssystem verfügen?

NIMes wurde zu diesem Zeitpunkt noch nicht eingesetzt.

Sie schrieben am 22.9.2020:

"Die Behörden und Einrichtungen der Polizei Niedersachsen verfügen über ein eigenes Budget, aus dem sie u. a. auch mobile Endgeräte, wie z. B. Smartphones, für die dienstliche Nutzung beschaffen und dezentral verwalten. Daneben erfolgt bislang eine landesweit einheitliche Ausstattung mit Smartphones und Tablets durch die Zentrale Polizeidirektion Niedersachsen. Dem Innenministerium liegen zu den dezentral verwalteten Endgeräten keine Detailinformationen vor."

i) Gibt es "dezentral verwaltete" polizeieigene Endgeräte oder sind damit lediglich die privaten Endgeräte gemeint, auf denen die Nutzer*innen die NIMes-App installiert haben? Falls es dezentral-verwaltete polizeieigene Geräte gibt: Um was für Geräte handelt es sich dabei und wie viele sind es?

Bei dezentral verwalteten Geräten sind hier vermutlich derartige Devices gemeint, die zur dienstlichen Nutzung beschafft, aber nicht mittels eines MobileDeviceManagements durch die Polizei kontrolliert werden. Welche Geräte das sind und um wie viele es sich handelt kann in der Kürze der Zeit nicht beantwortet werden.

j) Gibt es bei dem Wunsch, die NIMes-App auf privaten Devices einzurichten und zu betreiben irgendwelche Einschränkungen hinsichtlich der Soft- oder Hardware-Ausstattung durch die Polizeibehörde oder kann jedes private Gerät, dass die notwendigen technischen Mindestanforderungen von stashcat/NIMes erfüllt dafür verwendet werden?

Die Nutzungsmöglichkeit von NIMes auf privaten Endgeräten ist an das Betriebssystem gebunden. Veraltete Betriebssysteme erhalten nicht die Möglichkeit die NIMes-App zu installieren, geschweige denn zu nutzen.

k) Kann/darf NIMes von den Anwendern auch auf privaten PCs, also nicht-mobilen Endgeräten installiert werden?

Nein. Ein Zugriff von einem privatem PC ist technisch nicht möglich.

l) Können die Nutzer*innen von NIMes, die diese App auf ihren privaten Endgeräten betreiben dürfen weitere eigene Geräte dafür registrieren und auf diesen ebenfalls diese App nutzen?

Die Nutzung von NIMes ist auf drei Endgeräte in Summe durch die Organisation beschränkt.

m) Können Sie uns die DSFA für NIMes zugänglich machen?

Eine Datenschutz-Folgenabschätzung enthält detaillierte technische und organisatorische Maßnahmen.

Eine Weitergabe an Dritte würde daher zu einem nicht kalkulierbaren Sicherheitsrisiko für den gesamten Datenbestand der Polizei Niedersachsen führen und bleibt daher ausgeschlossen.

n) Wer betreibt den/die für den Einsatz von NIMes notwendigen Server? Sind dieses polizeieigene bzw. vom Land Niedersachsen betriebene Server oder Server von stashcat/heinekingmedia?

Die Server befinden sich in den Räumlichkeiten des IT-Dienstleisters des Landes Niedersachsen (IT.N)

o) Teilt das Nds. Innenministerium die Ansicht der stashcat GmbH, wonach die drei derzeit angeführten Sicherheitsmeldungen für stashcat/NIMes (CWE 312, CWE 598, CWE 359) https://stashcat.com/sicherheitsmeldungen allesamt als "unkritisch" zu bewerten sind?

Das N-CERT überwacht ständig die aktuelle Sicherheitslage der niedersächsischen Landesverwaltung, um so mögliche Bedrohungen aus dem Cyber-Raum zu erkennen und deren Auswirkungen auf die IT-Systeme der Landesverwaltung zu bewerten. Zu der Sicherheitsbewertung einzelner Sicherheitsmeldungen geben wir öffentlich keine Stellungnahmen ab.

p) Wann und wie oft wurden seitens der niedersächsischen Behörden eigene Security-Audits zu NIMes durchgeführt und was waren die jeweiligen Ergebnisse?

Ein Penetrationstest oder ein Audit, bezogen auf den NIMes-Informationsverbund, wurde bislang nicht durchgeführt.

q) Ist die Prüfung der DSFA durch das LfD bereits erfolgt oder gab es dazu bereits eine Rückmeldung durch die LfD? Falls ja, mit welchem Ergebnis/Inhalt?

Eine erste Rückmeldung der LfD´in ist erfolgt. Die Ergebnisse weiterer Gespräche können dort erfragt werden.

Mit freundlichen Grüßen

Niedersächsisches Ministerium für Inneres und Sport
- Referat für Presse- und Öffentlichkeitsarbeit,
Heimatvertriebene und Kulturpreis Schlesien -
Lavesallee 6, 30169 Hannover


16.11.2020 - Rückmeldung von der LfD Niedersachsen


Sehr geehrter Herr xxx,

haben Sie vielen Dank für Ihre Anfrage. Ich kann Ihnen im Moment nur mitteilen, dass die Prüfung weiter andauert.

Mit freundlichen Grüßen

xxx
Die Landesbeauftragte für den
Datenschutz Niedersachsen
Büroleiter der LfD/ Leiter Presse- und Öffentlichkeitsarbeit


30.12.2020 - Nachfrage beim LfD Nds


Sehr geehrter Herr xxx,

wie ist der aktuelle Stand rund um die NIMes-DSFA und deren Prüfung?

Das MI hat bereits vor einiger Zeit mitgeteilt, dass es dazu "Rückmeldungen" von Ihnen an das Ministerium gegeben hat.

Was können Sie dazu (presseöffentlich) mitteilen?

Viele gute Grüße,


5.1.2021 - Antwort vom LfD


Sehr geehrter Herr xxx,

haben Sie vielen Dank für Ihre Anfrage. Ich kann Ihnen mitteilen, dass die Prüfung weiter andauert und wir uns im internen Austausch mit dem MI befinden.
Herzliche Grüße

xxx
Die Landesbeauftragte für den Datenschutz Niedersachsen
Büroleiter der LfD/ Leiter Presse- und Öffentlichkeitsarbeit


17.2.2021 - Pressemitteilung der LfD Niedersachsen: LfD Niedersachsen beanstandet Polizei-Messenger NIMes wegen Einsatz auf privaten Geräten


Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat gegenüber dem Niedersächsischen Innenministerium eine Beanstandung des polizeilichen Messengers NIMes ausgesprochen. Die LfD bemängelt vor allem, dass der Messenger auf privaten mobilen Endgeräten der Polizistinnen und Polizisten betrieben wird. Dieser Ansatz des „Bring your own device“ (BYOD) bringt Risiken und Gefährdungen mit sich, denen die Polizei bislang nur mit unzureichenden Sicherungsmaßnahmen begegnet.

„Die fehlende Kontrolle des Dienstherrn über die privaten Geräte der Beamtinnen und Beamten führt zu einem inakzeptablen Risiko für den Betrieb dieses hoch schutzbedürftigen Messenger-Dienstes“, sagt die Landesdatenschutzbeauftragte Barbara Thiel. In NIMes werden personenbezogene Daten bis einschließlich Schutzstufe D des Schutzstufenkonzepts der LfD Niedersachsen verarbeitet. Dies ist die zweithöchste Stufe auf der 5-teiligen Skala, bei der von A bis E die Schwere des möglichen Schadens für die Betroffenen zunimmt. Stufe D umfasst Daten, deren unsachgemäße Handhabung den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigen könnte.

„Durch den BYOD-Ansatz ist im laufenden Betrieb eine unüberschaubare Kombination von verschiedenen Geräten, Betriebssystemen, sonstiger Software und Konfigurationen im Einsatz“, kritisiert Barbara Thiel. „Gleichzeitig ist der jeweilige Anwender dafür verantwortlich, sein privates Endgerät vor Schadprogrammen zu schützen. Das wird dem Schutzbedarf der bedrohten Daten in keiner Weise gerecht.“ Die Übertragung von Text-, Bild-, Ton- und Standortdaten kann theoretisch jederzeit durch Schadsoftware angegriffen werden, ohne dass Dienstherr oder Anwender es bemerken. Ein privates Endgerät mit NIMes ist so vom Grundsatz nicht wesentlich besser geschützt als jedes herkömmliche Smartphone mit halbwegs aktuellem Betriebssystem. Zwar führt die Polizei bei NIMes-Anwendern anlasslose Kontrollen durch, doch auch diese helfen durch das BYOD-Prinzip nicht weiter, da private Geräte explizit davon ausgenommen sind.

„Ich verstehe, dass ein Messenger die Arbeit der Polizei erleichtert“, sagt Barbara Thiel. „Darüber hinaus schätze ich NIMes als datenschutzfreundlicher ein als einen kommerziellen Messenger-Dienst. Die Beanstandung richtet sich also ausdrücklich nicht gegen den Dienst selbst. Nun muss das Innenministerium aber noch den entscheidenden Schritt machen, nämlich die Polizistinnen und Polizisten endlich flächendeckend mit dienstlichen Geräten auszustatten.“ Alternativ könnte auf den privaten Smartphones verpflichtend ein sogenanntes „Mobile Device Management“ aufgesetzt werden. Dies würde aber voraussetzen, dass ausnahmslos alle Beamtinnen und Beamten, die NIMes verwenden, dieser Veränderung an ihrem Privateigentum ohne Bedingung zustimmen.

Verbieten kann die LfD Niedersachsen der Polizei den Einsatz von NIMes auf privaten mobilen Endgeräten nicht, da ihr dafür die nötigen Befugnisse fehlen. Zur nun ausgesprochenen Beanstandung ist das Innenministerium gemäß der gesetzlichen Vorgabe zur Stellungnahme aufgefordert worden.

Quelle: https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/lfd-niedersachsen-beanstandet-polizei-messenger-nimes-wegen-einsatz-auf-privaten-geraten-197397.html


18.2.2021 - freiheitsfoo-Blog: Der Messengerdienst „NIMes“ der niedersächsischen Polizei – eine über die Datenschutzbedenken der LfD Niedersachsen hinausgehende Kritik: Hohes Missbrauchspotential durch rechte Gruppen und Strömungen in der Polizei durch Unkontrollierbarkeit privater Verbreitung und der Nutzung der Polizei-App


https://freiheitsfoo.de/2021/02/18/nimes-kritik/


20.2.2021 - Presseanfrage an die GdP Niedersachsen


Sehr geehrte Damen und Herren,

in einer Pressemitteilung vom 3.5.2018 [1] schreiben Sie:

"GdP Niedersachsen wird Pilotphase des Polizei-Messengers NIMes konstruktiv-kritisch begleiten
„Der neue Polizei-Messenger ermöglicht in der dienstlichen Kommunikation der niedersächsischen Polizei nun eine sicherere Datenübertragung. Allerdings sehen wir NIMes in einigen Bereichen kritisch und werden diese Punkte in der Pilotphase genau beobachten“. Das sagte der GdP-Landesvorsitzende Dietmar Schilff am Donnerstag nach der öffentlichen Vorstellung der neuen App für die Polizei. (...)
In der Pilotphase wird die GdP Niedersachsen die Knackpunkte, die sie bei dem neuen Polizeimessenger-System sieht, erneut benennen und die entsprechende Dienstvereinbarung, die mit dem Polizeihauptpersonalrat abgeschlossen wurde, prüfen."

Mit Blick auf die Kritik der LfD Niedersachsen [2] und der darüber hinausgehenden grundsätzlichen Kritik an der NIMes-Konstruktion [3] und eine von uns weitergehende Berichterstattung:

Was hat die angekündigte konstruktiv-kritische Begleitung ergeben? Gab es Veränderungs- und Verbesserungsvorschläge seitens der GdP Nds. und wurden die umgesetzt?

Wie steht die GdP Nds. zur datenschutzrechtlichen Kritik an NIMes?

Wie bewertet die GdP Nds. die in der darüber hinaus gehenden Kritik skizzierte Gefahr des Missbrauchs von NIMes?

Viele gute Grüße,

xxx
Redaktion freiheitsfoo.de

[1] https://www.gdp.de/gdp/gdp.nsf/id/DE_GdP-Niedersachsen-wird-Pilotphase-des-Polizei-Messengers-NIMes-konstruktiv-kritisch-begleiten-

[2] https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/lfd-niedersachsen-beanstandet-polizei-messenger-nimes-wegen-einsatz-auf-privaten-geraten-197397.html

[3] https://freiheitsfoo.de/2021/02/18/nimes-kritik/


25.2.2021 - Nachhaken bei der GdP Nds.


Sehr geehrte Damen und Herren,

können wir noch mit einer Antwort von Ihnen zu unserer Presseanfrage vom 20.2.2021 rechnen?

Wir werden zum Thema NIMes in Kürze berichten und bitten um eine Rückmeldung von Ihnen bis zum morgen, Freitag, den 26.2.2021, früh.

Bitte teilen Sie uns mit, falls Ihnen das in dieser Frist nicht möglich sein sollte.

Vielen Dank für Ihre Mühen und viele gute Grüße,


25.2.2021 - Antwort von der GdP Niedersachsen


Sehr geehrter Herr xxx,

vielen Dank für Ihre Nachricht. Anbei unsere Antworten:

Der dienstliche Nutzen von NIMes, auch die mobile Anwendung, ist ohne Zweifel sehr hoch, das wird auch von der Datenschutzbeauftragten nicht in Frage gestellt. Der Einsatz von Messengerdiensten ist für eine zeitgemäße Polizeiarbeit unverzichtbar, um relevante Informationen auch in Form von Fotos oder Videos unmittelbar an einzelne Beschäftigte oder in die Fläche übermitteln zu können. Aus Gründen des Datenschutzes ist eine interne Lösung Alternativen in Form von externen Angeboten wie z.B. „Whatsapp“ definitiv vorzuziehen.

Die Einführung des Messengerdienstes NIMes hat die GdP unter anderem vor dem Hinblick einer möglichen Entgrenzung von Arbeits- und Freizeit kritisch betrachtet. Aus diesem Grund haben wir frühzeitig gefordert, dass es Maßnahmen geben muss, eine solche zu verhindern. Da sich die App nach Dienstende ausschalten lässt, haben die Beschäftigten die Möglichkeit, den Empfang dienstlicher Nachrichten über NIMes nach Dienstende zu vermeiden, sofern sie es auf einem privaten Gerät nutzen.

Um eine Nutzung des Dienstes auf privaten Geräten gänzlich vermeidbar zu machen, müssten alle Polizeibeschäftigten in Niedersachsen mit dienstlichen Geräten ausgestattet werden. Diese Forderung haben wir erhoben und bleiben auch dabei. Solange eine solche Ausstattung nicht gegeben ist, muss die Anwendung zur Nutzung auf privaten Geräten selbstverständlich allen geltenden datenschutzrechtlichen Ansprüchen gerecht werden.

Die GdP verfolgt die Diskussion weiter aufmerksam und unterstützt jegliche Bestrebungen, die den Beschäftigten vor dem Hintergrund des Datenschutzes Rechtssicherheit in der Verwendung der App verschaffen.

Mit freundlichen Grüßen

xxx


25.2.2021 - Nachfragen an die GdP Niedersachsen


Sehr geehrter Herr xxx,
sehr geehrte Damen und Herren,

vielen Dank für die Antworten. Bitte erlauben Sie uns folgende Nachfragen:

a) Wie bewerten Sie die über die datenschutzrechtliche Kritik der LfD Nds. hinausgehende grundsätzliche Kritik an der NIMes-Konstruktion bzgl. der unkontrollierbaren Einrichtung und Nutzung von Channels und Chats und dem damit verbundenen Missbrauchspotential?

b) War die Abschaltbarkeit der App eine funktionale Weiterentwicklung aufgrund der Kritik und Bedenken der GdP?

c) Haben Sie irgendwelche Erfahrungen oder Anhaltspunkte für die Beantwortung der Frage, ob die Abschaltbarkeit von den Kolleg*innen auch tatsächlich genutzt wird oder die NIMes-App - möglicherweise - aufgrund echter oder lediglich befürchteter Bitten/Erwartungen von Vorgesetzten lieber auch nach Dienstschluss aktiviert bleibt?

d) Wie stehen Sie zu der schon im Mai 2018 [1] aufgeworfenen Frage, ob es nicht richtiger sei, eine Escrow-Lösung statt eines echt Ende-zu-Ende verschlüsselten Messengers im Dienste der Exekutive einzusetzen?

Wir würden uns über eine baldige Antwort sehr freuen.

Vielen Dank für Ihre Mühen und viele gute Grüße,

xxx
Redaktion freiheitsfoo.de

[1] https://www.golem.de/news/nimes-polizeilicher-kryptomessenger-mit-problemen-1805-134596-2.html - Stefan Krempl: " NIMes: Polizeilicher Kryptomessenger mit Problemen", Auszug aus diesem Beitrag:

"Eine Frage bleibt: Kann es im Interesse der Bürger sein, wenn Polizisten eine echte Ende-zu-Ende-Verschlüsselung einsetzen? Denn bei Beschwerden wegen Polizeigewalt oder bei internen Ermittlungen könnten die Inhalte dann nur mit Zustimmung der betroffenen Person vom Smartphone ausgelesen werden. Auch um Anfragen nach dem Informationsfreiheitsgesetz beantworten zu können, setzen in Behörden genutzte Verschlüsselungsverfahren wie S/MIME in der Regel auf eine Escrow-Lösung, bei der im Bedarfsfall verschlüsselte Inhalte auf Anweisung entschlüsselt werden können."


26.2.2021 - Nicht-Antworten-Wollen der GdP Niedersachsen


Sehr geehrter Herr xxx,

vielen Dank für Ihre Antwort. Bitte haben Sie Verständnis, dass wir über die am 25.02. an Sie übermittelten Antworten hinaus aktuell keine weitere Stellungnahme abgeben.

Mit freundlichen Grüßen,


26.2.2021 - Nachhaken bei der GdP Niedersachsen


Sehr geehrter Herr xxx,

Danke für die prompte Rückmeldung.

Können Sie uns wenigstens kurz mitteilen, warum Sie keine weitere Stellungnahme abgeben möchten?

Aus unserer Sicht handelt es sich bei den vier Fragen um Fragen, deren Beantwortung im Sinne der interessierten Öffentlichkeit wäre. Insofern wäre eine Begründung zur Ablehnung der Beantwortung von großem Interesse.

Vielen Dank und viele gute Grüße,


1.3.2021 - GdP Niedersachsen will partout keinen weiteren Kommentar abgeben


Sehr geehrter Herr xxx,

vielen Dank für Ihre erneute Nachricht und das weiterführende Interesse. Nach unserer Auffassung wurden Ihre Fragen mit unserer ersten Mail ausreichend beantwortet. Bei den angesprochenen Themen handelt es sich um interne Vorgänge und Entscheidungen, die durch bestehende Dienstvereinbarungen in Absprache mit dem Hauptpersonalrat klar geregelt sind. Als Interessenvertretung der Beschäftigten sehen wir keinen Bedarf an einer weiterführenden Bewertung durch die GdP Niedersachsen.

Ich danke für Ihr Verständnis. Mit freundlichem Gruß


24.3.2021 - Pressemitteilung der LfD Niedersachsen: Thiel: Umstellung auf dienstliche Geräte bei der Polizei fördert Datenschutz, muss aber schneller gehen


[Quelle: https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/nimes-stellungnahme-198834.html ]

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, Barbara Thiel, begrüßt die Ankündigung des Niedersächsischen Innenministeriums, den polizeilichen Messenger NIMes in Zukunft nur noch auf dienstlichen Endgeräten einsetzen zu wollen. Thiel hatte im Februar gegenüber dem Ministerium offiziell beanstandet, dass der Messenger auf privaten mobilen Endgeräten der Polizistinnen und Polizisten betrieben wird. In seiner heute bei der LfD eingegangenen Stellungnahme zu dieser Beanstandung hat nun Landespolizeipräsident Axel Brockmann in Aussicht gestellt, dass der Ansatz des „Bring your own device“ (BYOD) durch die Anschaffung dienstlicher Geräte minimiert und „perspektivisch voraussichtlich sogar komplett entfallen“ soll.

„Die Entscheidung des Innenministeriums, verstärkt und letztlich ausschließlich auf Dienstgeräte zu setzen, entspricht meiner Forderung und ermöglicht den Einsatz von NIMes im Einklang mit Datenschutz und IT-Sicherheit“, sagt Barbara Thiel. „Der vollständige Umstieg auf dienstliche Smartphones ist der beste Weg, um die Risiken des BYOD zu beseitigen. Ich erwarte allerdings, dass die Polizei nun ihren Worten schneller Taten folgen lässt, als es der Stellungnahme des Landespolizeipräsidenten zu entnehmen ist, und die Beamtinnen und Beamten endlich flächendeckend mit dienstlichen Geräten ausstattet. Die gegenwärtigen Planungen des Innenministeriums sind deutlich zu zögerlich, um die existierenden Risiken konsequent aus der Welt zu schaffen.“

Die Landesdatenschutzbeauftragte betonte in diesem Zusammenhang erneut, dass sie nicht die Anwendung NIMes als solche beanstandet habe, sondern deren Nutzung auf privaten Smartphones. „NIMes ist aus meiner Sicht datenschutzfreundlicher als viele kommerzielle Messenger-Dienste. Die fehlende Kontrolle des Dienstherrn über private Geräte führt aber zu einem inakzeptablen Risiko, da der jeweilige Anwender dafür verantwortlich ist, sein Smartphone vor Angriffen und Schadprogrammen zu schützen. Das wird dem Schutzbedarf der bedrohten Daten in keiner Weise gerecht.“

Verbieten kann die LfD Niedersachsen der Polizei den Einsatz von NIMes auf privaten mobilen Endgeräten nicht, da ihr dafür die nötigen Befugnisse fehlen.


7.4.2021 - Presseanfrage an das Nds. Innenministerium zur zeitlichen Perspektive der Nichtnutzung von NIMes auf privaten Devices


Sehr geehrte Damen und Herren,

mittels Pressemitteilung der nds. LfD vom 24.3.2021

https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/nimes-stellungnahme-198834.html

teilt diese mit (Auszug):

"Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, Barbara Thiel, begrüßt die Ankündigung des Niedersächsischen Innenministeriums, den polizeilichen Messenger NIMes in Zukunft nur noch auf dienstlichen Endgeräten einsetzen zu wollen. Thiel hatte im Februar gegenüber dem Ministerium offiziell beanstandet, dass der Messenger auf privaten mobilen Endgeräten der Polizistinnen und Polizisten betrieben wird. In seiner heute bei der LfD eingegangenen Stellungnahme zu dieser Beanstandung hat nun Landespolizeipräsident Axel Brockmann in Aussicht gestellt, dass der Ansatz des „Bring your own device“ (BYOD) durch die Anschaffung dienstlicher Geräte minimiert und „perspektivisch voraussichtlich sogar komplett entfallen“ soll."

Wir werden dazu berichten und haben in diesem Zusammenhang folgende Fragen:

1.) Auf wie vielen privaten Devices ist die NIMes-App derzeit installiert bzw. aktiviert?

2.) Auf wie vielen dienstlichen Devices (Smartphones, Tablets) ist die NIMes-App derzeit installiert bzw. aktiviert?

3.) Wie soll sich die Anzahl von dienstlicher Devices für die Polizistinnen und Polizisten in Niedersachsen aus heutiger Planungssicht erhöhen, also innerhalb welcher Zeiträume sollen jeweils wie viele neue Dienstgeräte hinzukommen?

4.) Werden Sie aktiv dafür eintreten, dass die NIMes-App auf privaten Devices deinstalliert und deaktiviert wird und falls ja, mittels welcher Ansätze und in welchem Umfang wird dieser Vorgang betrieben?

5.) Welche zeitliche "Perspektive" gibt es bzw. um welchen Zeitraum geht es dabei, innerhalb dessen sämtliche NIMes-Apps auf privaten Devices deaktiviert/deinstalliert worden sind?

Wir bitten um Beantwortung innerhalb von vier Werktagen.

Danke für die Arbeit und viele gute Grüße,


14.4.2021 - Briefpost-Antwort vom Innenministerium


1.) Auf wie vielen privaten Devices ist die NIMes—App derzeit installiert bzw. aktiviert?

Rund 22.000 Mitarbeitende nutzen derzeit den Messenger—Dienst NIMes. Eine Ausweitung bzw. Aufschlüsselung nach privaten und dienstlichen Endgeräten ist nicht möglich, da eine diesbezügliche zentrale Erfassung nicht erfolgt.

2.) Auf wie vielen dienstlichen Devices (Smartphones, Tablets) ist die NlMes-App derzeit installiert bzw. aktiviert?

Die NIMes—Applikation wird grundsätzlich auf allen dienstlich eingesetzten zentral gemanagten mobilen Endgeräten installiert. Über die tatsächliche Nutzung der Applikation durch Anwendenden kann aber keine Aussage getroffen werden, da die Nutzung freiwillig ist.

3.) Wie soll sich die Anzahl dienstlicher Devices für die Polizistinnen und Polizisten in Niedersachsen aus heutiger Planungssicht erhöhen, also innerhalb welcher Zeiträume sollen jeweils wie viele neue Dienstgeräte hinzukommen?

Nach heutigem Planungsstand sollen im Laufe des Jahres insgesamt 5.000 Smartphones und Tablets ausgerollt werden. Auf diesen wird NIMes installiert sein.

4.) Werden Sie aktiv dafür eintreten, dass die NlMes-App auf privaten Devices deinstalliert und deaktiviert wird und falls ja, mittels welcher Ansatze und in welchem Umfang wird dieser Vorgang betrieben?

Es wird angestrebt durch eine Erhöhung der dienstlichen mobilen Endgeräte eine Nutzung von NIMes auf privaten Geräten schrittweise zu ersetzen und unnötig zu machen.

5.) Welche zeitliche "Perspektive" gibt es bzw um welchen Zeitraum geht es dabei, innerhalb dessen sämtliche NIMes-Apps auf privaten Devices deaktiviert/deinstalliert worden sind?

Der Zeitraum ist heute nicht absehbar, da eine Ausstattun aller Kolleginnen und Kollegen mit dienstlichen mobilen Geräten erst dann vertretbar ist, wenn diese Geräte polizeiliche Anforderungen möglichst in Gänze abbilden können. Dies wird im Rahmen verfügbarer Ressourcen umgesetzt werden und die Nutzung von NIMes auf privaten Endgeräten dadurch sukzessive minimiert und letztlich perspektivisch voraussichtlich sogar komplett entfallen.

Mit freundlichen Grüßen
aus dem Niedersächsischen Ministerium für Inneres und Sport

[Verfasst am 9.4.2021, als Briefpost versendet am 13.4.2021, eingegangen am 14.4.2021]


Bearbeiten - Versionen - Druckansicht - Aktuelle Änderungen - Suchen
Zuletzt geändert am 14.04.2021 23:49 Uhr