Europas Schattenapparat: Europol hortete offenbar Petabytes sensibler Daten außerhalb wirksamer Kontrolle
Während Brüssel neue digitale Überwachungsstrukturen vorbereitet und Europols Macht weiter ausbauen will, erschüttert nun eine Recherche die europäische Sicherheitsarchitektur selbst: Die EU-Polizeibehörde Europol soll jahrelang ein gigantisches Schatten-IT-System betrieben haben – mit massiven Datenschutz- und Sicherheitsmängeln.
Eine gemeinsame Untersuchung von Computer Weekly und Solomon zeichnet das Bild einer Behörde, die offiziell Europas Gesetze schützen soll – während sie intern offenbar selbst grundlegende Kontrollmechanismen aushebelte.
„Sie schützen das Gesetz, während sie es brechen“, sagte ein ehemaliger hochrangiger Europol-Beamter.
Im Zentrum steht das sogenannte „Computer Forensic Network“ (CFN), ein System, das ursprünglich 2012 zur Auswertung forensischer Daten aufgebaut wurde. Laut internen Dokumenten entwickelte sich das CFN jedoch zu Europols eigentlicher Analyseplattform – weit größer als die offiziellen Datenbanken der Behörde.
Bis 2019 soll das System mehr als zwei Petabytes operative Daten enthalten haben. Das entspricht laut den Recherchen etwa dem 420-Fachen der offiziellen nicht-forensischen Europol-Datenbank. Besonders brisant: Der damalige Datenschutzbeauftragte stellte fest, dass rund 99 Prozent der operativen Datenbestände im CFN verarbeitet wurden – ohne grundlegende Datenschutz- und Sicherheitsvorkehrungen.
Darunter befanden sich offenbar auch riesige Mengen personenbezogener Daten von Menschen, die selbst nicht Ziel strafrechtlicher Ermittlungen waren.
Die interne Sicherheitsprüfung von 2019 liest sich dabei wie ein Handbuch institutionellen Kontrollversagens. Insgesamt wurden 32 schwerwiegende Mängel dokumentiert:
- unzureichende Verwaltung privilegierter Zugriffsrechte
- fehlende Passwortkontrollen
- unbeschränkte Softwareinstallationen
- mangelnde Netzwerkzugriffskontrollen
- fehlende Protokollierung administrativer Aktivitäten
- unzureichende Überwachung sicherheitsrelevanter Ereignisse
Besonders alarmierend: Laut den Recherchen konnten Administratoren Logdateien verändern oder löschen. Damit wäre eine nachträgliche Kontrolle möglicher Datenmanipulationen oder unbefugter Zugriffe praktisch unmöglich gewesen.
Unabhängige Experten bezeichneten die Zahl der vergebenen Administratorrechte als „Lehrbuchverstoß gegen die Vertraulichkeit“ und als offene Einladung für Insider-Missbrauch oder externe Angriffe.
Doch das CFN war offenbar nicht das einzige Problem.
Zusätzlich soll Europols Internet Referral Unit eine separate Analyseumgebung mit dem Namen „Pressure Cooker“ betrieben haben – außerhalb regulärer IT-Aufsicht und ohne Einbindung der offiziellen ICT-Abteilung. Dort wurden laut den Berichten Open-Source-Daten gesammelt und analysiert.
Interne Mitarbeiter bezeichneten die Situation bereits 2022 als „irregulär“. Der Europäische Datenschutzbeauftragte EDPS erklärte später, während der ursprünglichen Untersuchung über dieses System nie informiert worden zu sein.
Besonders explosiv wird der Fall vor dem politischen Hintergrund in Brüssel.
Denn genau jetzt diskutiert die Europäische Kommission über eine massive Erweiterung von Europols Kompetenzen. Das Mandat der Behörde soll ausgebaut, die Datenanalyse intensiviert und das Budget deutlich erhöht werden.
Mit anderen Worten:
Während Europas Bürger immer stärker in digitale Kontrollsysteme eingebunden werden – von biometrischen Identitäten über KI-Analysen bis hin zu zentralisierten Datennetzen – zeigen interne Enthüllungen, dass selbst bestehende Sicherheitsbehörden offenbar jahrelang außerhalb wirksamer Kontrolle operierten.
Der Fall wirft deshalb eine fundamentale Frage auf:
Wer überwacht eigentlich die Überwacher?
Denn je größer die Datenmengen, je mächtiger die Analysewerkzeuge und je enger Sicherheitsbehörden mit KI-gestützten Überwachungssystemen verschmelzen, desto größer wird auch die Versuchung, gesetzliche Grenzen im Namen von „Sicherheit“ und „Effizienz“ zu umgehen.
Und genau das scheint bei Europol geschehen zu sein.