Archiv für die Kategorie „Allgemein“

Den Hintern zeigen

Montag, 26. September 2011

Hide my ass!” nennt sich ein populärer Anbieter scheinbarer Anonymität im Internet. “Free web proxy, surf online anonymously, hide your IP address and protect your privacy” wird vollmundig auf den Webseiten versprochen. Dass die Benutzer bei “Hide my ass” dabei aber – wie bei den meisten anderen Anbietern auch – vor allem auf das Vertrauen in den Anbieter angewiesen sind, wurde heute einmal wieder deutlich.

Drei Usern, die das VPN-Angebot von hidemyass.com genutzt hatten, wurde vom FBI vorgeworfen, an illegalen Aktionen von Anonymous und LulzSec teilgenommen zu haben. Bei einem echten Anonymisierungsdienst würde die Geschichte an dieser Stelle enden, denn weitere Daten zur Identifizierung der User lägen dann nicht vor. Nicht so aber bei hidemyass.com. Dieser Anbieter protokolliert u.a., welcher User sich wann mit welcher IP-Adresse an- und abmeldet. Mit Hilfe dieser Informationen kann dann später genau nachvollzogen werden, welche Nutzer versucht haben, ihre Spuren zu verwischen. Anonymität sieht anders aus.

Immerhin weist der Anbieter in seinen Geschäftsbedingungen darauf hin, dass Username, E-Mail-Adresse, Passwort und IP-Adressen gespeichert werden (letztere zu Zwecken der Spamvermeidung sowie um Betrugs- und andere Missbrauchsfälle aufklären zu können). Weiterhin werden Daten nicht an jedermann herausgegeben – so zumindest der Anbieter – sondern, als britisches Unternehmen, nur nach Vorlage eines dort gültigen Gerichtsbeschlusses. Andernfalls, so hidemyass.com, bestünde die Gefahr, dass man abgeschaltet oder selbst gerichtlich verfolgt würde.

In Deutschland sieht die Situation (zumindest auf dem Papier) anders aus. Besitzt ein Anbieter keine Daten, so muss er auch keine Daten herausgeben. Er kann (zumindest ohne Vorratsdatenspeicherung) auch nicht gezwungen werden, Daten zu erheben, die er nicht benötigt. In einem Bericht auf Spiegel Online wird die für diesen Fall übermittelte Antwort kurz und bündig zitiert: “Leider liegen keine Daten vor.” Eigentlich wäre ein solches Verhalten nicht nur wünschenswert, sondern (wiederum: in Deutschland) sogar verpflichtend, denn § 13 Abs. 6 TMG schreibt vor, dass die “Nutzung von Telemedien und ihre Bezahlung” anonym oder unter Pseudonym zu ermöglichen ist, “soweit dies technisch möglich und zumutbar ist.”

Auch bei deutschen Anbietern stellt sich aber die gleiche Frage, die sich die drei User auch bei hidemyass.com hätten stellen müssen: Ist der Anbieter wirklich vertrauenswürdig? Wer garantiert, dass wirklich keine Daten gespeichert werden? Dies gilt umso mehr, als hidemyass.com kein Einzelfall ist. Bereits im Jahr 2007 kamen Zweifel bei einem anderen Anbieter auf, der angab, dass alle Mails automatisch bei ihm verschlüsselt würden, und so Dritten (und damit auch Strafverfolgungsbehörden) nicht zugänglich wären. Dieser scheinbar große Schutz, der ebenfalls alleine auf dem Vertrauen in den Anbieter basierte, wurde erschüttert, als dieser für ein Gerichtsverfahren den Klartext mehrerer E-Mails seiner User vorlegen konnte. Damit war klar, dass das scheinbar sichere Verschlüsselungsverfahren einen absichtlichen und heimlichen Zugang offen lies.

Um tatsächlich einen hohen Grad an Anonymität gewährleisten zu können, sind daher Angebote, bei denen sich der User auf einen einzelnen Anbieter und dessen Vertrauenswürdigkeit verlassen muss, untauglich. Stattdessen sollten Anonymisierungsnetzwerke genutzt werden, wie z.B. Tor oder Jondonym, die von Beginn an so konzipiert wurden, dass einer oder sogar mehrere Anbieter, die kollusiv zusammenarbeiten, um die Identität des Nutzers aufzudecken, noch keinen Schaden anrichten können. Erst wenn tatsächlich alle Anbieter eines solchen Netzwerks zusammenarbeiten, können Identität von Absender und Empfänger sowie die übermittelten Daten in Einklang gebracht werden. Bei derartigen Diensten stellt sich die Vertrauensfrage dann nur noch in bedeutend geringerem Maße als bei geschäftstüchtigen Einzelanbietern.

Anonymität im Internet

Mittwoch, 10. August 2011

Politische Debatte

Die Debatte um die Anonymität im Internet ist (wieder einmal) entbrannt. Bereits vor einigen Jahren hatte Jörg Ziercke, seines Zeichens Präsident des Bundeskriminalamtes, auf einer Tagung festgestellt:

Verschlüsselung und Anonymisierung schaffen verfolgungsfreie Räume mit fatalen Folgen für die Innere Sicherheit, sowohl für die Strafverfolgung als auch für die Gefahrenabwehr.

Auf den gleichen Zug springt auch Innenminister Friedrich auf. Er erklärte kürzlich in einem Interview mit dem Spiegel:

Das Internet stellt uns vor ganz neue Herausforderungen. Die Grundsätze unserer Rechtsordnung müssen auch im Netz gelten. In der demokratischen Auseinandersetzung streiten wir mit offenem Visier auf Basis unserer verfassungsmäßigen Spielregeln. Warum sollte das im Internet anders sein? Ich weiß, dass mir das in der Netzgemeinde wüste Beschimpfungen einbringen wird, aber warum müssen Fjordman und andere anonyme Blogger ihre wahre Identität nicht offenbaren? Normalerweise stehen Menschen mit ihren Namen für etwas ein. Warum nicht auch ganz selbstverständlich im Internet?

Dies läuft ganz konform mit den früheren Forderungen von CDU-Politiker Axel Fischer, der 2010 ein “Vermummungsverbot im Internet” gefordert hatte:

Es kann nicht sein, dass sich viele Bürger in Foren oder anderen Einrichtungen des Netzes hinter selbstgewählten Pseudonymen verstecken und sich so vermeintlich jeglicher Verantwortung für Äußerungen und Verhalten entziehen.

Noch einen Schritt weiter geht der innenpolitische Sprecher der CDU/CSU-Bundestagsfraktion Hans-Peter Uhl, der “gravierende Nachteile” durch Anonymität im Internet beklagt:

Erst durch die Anonymität ist die Verbreitung von Kinderpornografie oder extremistischem Gedankengut in einem nie gekannten Ausmaß möglich.

Diese Debatte um Anonymität und Pseudonymität beschränkt sich aber nicht auf die Politik. Auch bei Google vollzieht sich offenbar gerade ein Paradigmenwechsel. Während der Konzern jahrelang betonte, dass kein Interesse an der Identität der Nutzer bestehe, wurde mit der Einführung von Google+ eine Kehrtwende vollzogen: Nunmehr dürfen ausschließlich Profilseiten unter dem realen Namen angelegt werden. Die Verhaltensrichtlinien weisen an: “Verwenden Sie den Namen, mit dem Sie normalerweise von Freunden, Familie und Kollegen angesprochen werden.” Seiten, die unter Pseudonym angelegt wurden, sind in der Vergangenheit bereits mehrfach gelöscht worden.

Bedeutung von Pseudonymen

Letztlich sind diese Forderungen zu kurz und vor allem nicht zu Ende gedacht. So kann man Fischer zwar zugeben, dass etwa in dem von ihm genannten Fall der wirtschaftlichen Betätigung im Netz in der Tat eine verlässliche Identifizierung sinnvoll erscheint, z.B. um Forderungen gegen einen Anbieter durchsetzen zu können. Dies ist aber nichts Neues und schon gar keine sinnvolle Forderung, denn: es ist bereits Gesetz. Alle Diensteanbieter müssen für geschäftsmäßige, in der Regel gegen Entgelt angebotene Telemedien gleich eine ganze Reihe von Informationen “leicht erkennbar, unmittelbar erreichbar und ständig verfügbar” halten (§ 5 TMG, § 55 RStV; hierzu näher Ott, Die Impressumspflicht). Ob darüber hinaus, wie von Fischer gefordert, der Nachweis mittels elektronischem Personalausweis oder auf andere Weise nachzuweisen ist, darüber kann man in der Tat diskutieren. Dies ist aber nur ein Randaspekt der Diskussion

Soweit aber Ziercke, Friedrich oder Fischer ernsthaft fordern, Pseudonyme oder gleich ganz die Anonymität im Internet abzuschaffen, übersehen sie zunächst die Bedeutung, die anonyme oder pseudonyme Handlungen für den Einzelnen haben können.  Bei Pseudonymen geht es nicht nur darum, seinen gewohnten Nickname nutzen zu können oder unerkannt Dritte zu ärgern oder schädigen zu wollen, wie dies von einigen Politikern meist impliziert wird. Vielmehr ist es ganz häufig ein Schutzgedanke, der Menschen dazu bringt, im Internet nur unter Pseudonym zu handeln. Dies kann der Schutz gegen Spammer, gegen automatisiert erstellte Persönlichkeitsprofile, gegen Stalker oder etwa vor neugierigen Arbeitgebern sein. Wer möchte schon gerne intime Fragestellungen vor der ganzen Welt diskutieren? In einigen Ländern kann eine Veröffentlichung unter echtem Namen zu langjährigen Haftstrafen oder sogar dem Tod führen.

Die Nutzung von Pseudonymen erlaubt es auch, dies lässt sich nicht leugnen, sich wie die berühmte “Axt im Walde” aufzuführen und Dinge zu tun, die man face-to-face gerade nicht tun würde. Vor allem erlauben Pseudonyme es aber, sich ungehindert über Fragen der Sexualität, Krankheiten oder Behinderungen sowie über politische Ansichten mit unbekannten Dritten auszutauschen, ohne hierfür sofort Konsequenzen im privaten oder beruflichen Umfeld fürchten zu müssen. Ein genereller Zwang zur Klarnamenpflicht würde daher weit über das gewünschte Ziel, Menschen in bestimmten Situationen identifizieren zu können, hinausgehen. Die Internetforscherin Danah Boyd kommt daher zu der deutlichen Schlussfolgerung:

“Der Zwang zu echten Namen ist eine autoritäre Ausübung von Macht gegenüber verletzlichen Menschen. Es steht das Recht der Menschen auf dem Spiel, sich selbst zu schützen”.

Vielleicht waren es diese Gedanken, die zumindest Innenminister Friedrich inzwischen dazu bewogen haben, seine Worte noch einmal neu interpretieren zu lassen. Es handele sich um ein “Missverständnis”, Friedrich habe doch lediglich für eine demokratische Streitkultur im Netz werben wollen, lässt eine Ministeriumssprecherin ausrichten. Auch der Minister sei “nach wie vor” der Ansicht, dass es auch im Internet Bereiche gebe, in denen Anonymität sinnvoll sei.

Mit dieser “Klarstellung” ist es aber nicht getan, denn auch der zweite Teil seiner Äußerung, der Vergleich zwischen Online- und Offlinewelt, hinkt.

Anonymität im Internet

Wenn Friedrich etwa meint, normalerweise stünden Menschen mit ihrem Namen für etwas ein und damit implizieren möchte, Anonymität sei üblicherweise die Ausnahme, Identifizierbarkeit hingegen die Regel, dann täuscht er sich dabei. Genau das Gegenteil ist der Fall.

Regelmäßig geht es allerdings gar nicht darum, wie offenbar von Friedrich befürchtet, etwas zu verheimlichen oder zu verstecken. Vielmehr spielt die Identität einer Person in vielen Fällen schlicht keine Rolle; sie ist bedeutungslos. So wären die meisten Menschen überrascht, wenn sie etwa vom Kassierer im Supermarkt aufgefordert würden, sich zunächst persönlich vorzustellen und ggf. sogar einen Personalausweis vorzustellen, bevor die auf das Förderband gelegten Waren bezahlt werden können. Vielmehr ist der anonyme Einkauf die Regel, der Austausch von Waren gegen Geld steht im Vordergrund, nicht die Identität der jeweils anderen Person. Viele weitere Motive für ein anonymes Auftreten lassen sich nennen (z.B. institutionalisierte Anonymität, etwa bei den Anonymen Alkoholikern, Schutz der Privatsphäre bis hin zum physischen Schutz, etwa bei Informanten im Bereich der organisierten Kriminalität). Auch Meinungsäußerungen finden nicht stets unter Namensnennung oder identifizierbar statt, z.B. bei Demonstrationen oder bei Leserbriefen, die – gerade bei kontroversen Themen – ohne Namensnennung erfolgen oder bei denen der volle Name nur der Redaktion bekannt ist.

Forderungen nach der Abschaffung der Anonymität im Internet (die sich zudem auch technisch und aufgrund der Internationalität des Netzes nicht ernsthaft durchsetzen ließe) lassen sich nur deshalb so leicht fordern, weil im Internet ohnehin vielen Daten anfallen, die sich für eine Identifizierung nutzen lassen (z.B. die IP-Adresse). Sowohl Kontrollmaßnahmen, wie die hier geforderte Identifizierungspflicht, als auch Ermittlungsmöglichkeiten (wie z.B. durch die Vorratsdatenspeicherung) lassen sich daher besonders leicht fordern und – einen entsprechenden politischen Willen vorausgesetzt – auch durchsetzen.

Gerade diese technisch bedingte grundsätzliche Rückverfolgbarkeit müsste jedoch eigentlich zum gegenteiligen Schluss führen: Notwendig wäre ein besonderer Schutz der o.g. sensiblen Meinungsäußerungen. Dieser kann aber nur dadurch erreicht werden, dass die stärkste Form des Datenschutzes zugelassen – oder besser: gefordert – wird: die Möglichkeit der vollständigen Anonymität.

Keine privaten Geheimdienstspiele

Mittwoch, 8. Juni 2011

Nachrichtendienste nutzen – wenn man den einschlägigen Spielfilmen glauben darf – für Observationen gerne GPS-Sender, die heimlich am Mantel oder einem Auto angebracht werden. Auf diese Weise lässt sich die verdächtige Person bequem vom Rechner aus verfolgen, ohne dass man ihr auffällig hinterherlaufen bzw. -fahren müsste. Eine Entscheidung des LG Lüneburg (Beschluss vom 28.03.2011, Az. 26 Qs 45/11; offenbar bisher noch nicht online verfügbar) hat sich mit einem derartigen Fall datenschutzrechtlich näher befasst. Allerdings handelte es sich nicht um den Verfassungsschutz oder den BND, dem auf die Finger geklopft wurde, sondern um eine Detektei. Diese hatte im Auftrag eines Kunden einen GPS-Sender am Auto der Zielperson angebracht, um damit ein Bewegungsprofil zu erstellen. Hintergrund waren offenbar zivilrechtliche Vertragsverstöße, die mit Hilfe des Profils bewiesen werden sollten.

Als bei einem Werkstattbesuch der Sender durch den Autobesitzer entdeckt wurde, nahm das (Ermittlungs-) Verfahren seinen Lauf und der Sender wurde beschlagnahmt. Hiergegen wandte sich die Detektei. Die Beschwerde blieb allerdings erfolglos, denn nach Auffassung des LG Lüneburg bestand ein Anfangsverdacht wegen einer Straftat nach §§ 44 Abs. 1, 43 Abs. 2 Nr. 1 BDSG (unbefugte Erhebung und Verarbeitung nicht frei zugänglicher personenbezogener Daten). Zwar gestatte § 29 BDSG unter bestimmten Bedingungen eine geschäftsmäßige Speicherung von Daten. Hier sei aber davon auszugehen, dass der Betroffene ein schutzwürdiges Interesse daran habe, dass seine Daten nicht gespeichert würden. Das Recht auf informationelle Selbstbestimmung überwiege daher das geschäftliche Interesse der Detektei deutlich.

Wenn Strafverfolgungsbehörden eine solche GPS-Observation einsetzen möchten, so ist dies nur möglich, wenn eine “Straftat von erheblicher Bedeutung” im Raum steht, § 100h Abs. 1 Nr. 2 StPO, also solche Taten, die den Rechtsfrieden empfindlich stören und geeignet sind, das Sicherheitsgefühl der Bevölkerung nachdrücklich zu beeinträchtigen. Ein bloßer zivilrechtlicher Vertragsverstoß wäre hierfür nicht ausreichend. Vor diesem Hintergrund ist die Entscheidung sowohl nachzuvollziehen als auch zu begrüßen.

Glaubensbekenntnis

Sonntag, 29. Mai 2011

Erstmals haben sich die G8 in einem Abschluss-Communiqué ausdrücklich mit der Rolle des Internet beschäftigt. So heißt es bereits in der Präambel unter Ziff. 5:

We discussed new issues such as the Internet which are essential to our societies, economies and growth. For citizens, the Internet is a unique information and education tool, and thus helps to promote freedom, democracy and human rights. The Internet facilitates new forms of business and promotes efficiency, competitiveness, and economic growth. Governments, the private sector, users, and other stakeholders all have a role to play in creating an environment in which the Internet can flourish in a balanced manner. […]

Im Einzelnen wird die Bedeutung des Internet sowohl für Privatpersonen, die Wirtschaft als auch für Regierungen betont. Die Offenheit, Transparenz und Freiheit des Internet seien Kernfaktoren seiner Entwicklung und seines Erfolges, die weiter fortgeführt werden müssten. In diesem Zusammenhang wird auch die Rolle des Datenschutzes ausdrücklich betont, etwa in Ziff. II.10, wo es heißt:

Their implementation must be included in a broader framework: that of respect for the rule of law, human rights and fundamental freedoms, the protection of intellectual property rights, which inspire life in every democratic society for the benefit of all citizens. We strongly believe that freedom and security, transparency and respect for confidentiality, as well as the exercise of individual rights and responsibility have to be achieved simultaneously. Both the framework and principles must receive the same protection, with the same guarantees, on the Internet as everywhere else.

Gleichzeitig wird auch auf vermeintliche Schwachstellen eingegangen: Verstöße gegen das Geistige Eigentum (Ziff. II.15), Nutzung des Internet für Computerkriminalität und durch Terroristen (Ziff. II.17) sowie im Zusammenhang mit Menschenhandel und Kindesmissbrauch (Ziff. II.19). Hiergegen seien internationale Aktivitäten notwendig.

Spannend bleiben schließlich einige Passagen, die sich mit dem Zugang zum Internet befassen:

Arbitrary or indiscriminate censorship or restrictions on access to the Internet are inconsistent with States’ international obligations and are clearly unacceptable. Furthermore, they impede economic and social growth.

Wie sich dies mit den auch in Europa verbreiteten “Three Strikes”-Ansätzen oder den zum Teil fortschreitenden Bemühungen zur Sperrung von Internet-Inhalten vereinbaren lässt, bleibt abzuwarten.

Sicherheitslücken in höheren Sphären

Freitag, 1. April 2011

Datensicherheit betrifft längst nicht mehr nur Computer zu Hause oder in Firmen. Spätestens seit die Geschehnisse um Stuxnet publik geworden sind, ist klar, dass auch kritische Infrastruktur von vernetzten Computersystemen abhängig ist und eine Manipulation im Extremfall auch Menschenleben gefährden kann. Die Vernetzung macht selbst vor Kriegsschiffen und Krankenhäusern nicht halt. Insofern verwundert es nicht, dass nun bekannt wurde, dass auch bei der NASA einige “hochkritische” Sicherheitslücken entdeckt wurden. Betroffen sollen auch Server gewesen sein, die für die Kontrolle von Raumfahrzeugen zuständig sind. Weiterhin soll der Zugriff auf sicherheitsrelevante Daten möglich gewesen sein. Obwohl die Lücke bereits seit fast einem Jahr bekannt gewesen sein soll und es vor zwei Jahren Datenabzüge im zweistelligen GB-Bereich gegeben haben soll, fand ein echtes Security-Audit bis jetzt offenbar nicht statt. Möglicherweise ist es also nur eine Frage der Zeit, bis jemand von seinem PC aus mal direkte Grüße an die Astronauten schickt, oder das Weltraumteleskop Hubble neu ausrichtet. Beides wären eher die harmloseren Möglichkeiten…

Phrack is back!

Montag, 29. November 2010

Phrack war – neben 2600 – eines der ersten großen Hacking-Magazine. Seit 1985 wurde dort über verschiedene Facetten des Hackings und der IT-Sicherheit berichtet. Als eines der ersten Magazine wurde es ausschließlich elektronisch verbreitet. Zuletzt ging die Veröffentlichungsfrequenz allerdings rekordverdächtig in die Knie: Ausgabe 63 kam Mitte 2005 auf die Welt, etwa zwei Jahre später gab es Ausgabe 64. Nun – weitere dreieinhalb Jahre später – kommt schließlich die 65. Ausgabe. Gleichzeitig handelt es sich um die Jubiläumsausgabe zum 25-jährigen Bestehens der Zeitschrift. In bester Hacker-Manier (wer sonst käme etwa auf die Idee, Seitenzahlen in Hexadezimal anzugeben?) wird wieder über neue Lücken in bekannter Software, Kernel-Funktionen und Sicherheitsprobleme bei Fortran berichtet. Also – ganz im Sinne des Vorworts: Auf die nächsten 25 Jahre (und eine hoffentlich wieder kürzere Frequenz bei der Veröffentlichung.

Die dunkle Welt der Kinderpornographie

Montag, 13. September 2010

Anklagen gegen Besitzer von Kinderpornographie scheinen heute nichts Ungewöhnliches mehr zu sein. Von Hartz IV-Empfängern über Lehrer, Beamte bis hin zu Bundestagsabgeordneten werden immer wieder Funde in der Öffentlichkeit bekannt. Verhältnismäßig selten ist es hingegen möglich, auch die Hintermänner und –frauen der Szene vor Gericht zu bringen. In Darmstadt ist dies nun gelungen. Nach einem Bericht in Spiegel Online handelt es sich um ein hochprofessionell angebotenes Forum.

Über vier Jahre hinweg sollen dort “unvorstellbar harte” (so der Staatsanwalt) Porno-Bilder und –videos von Säuglingen, Vindern und Jugendlichen ausgetauscht worden sein. Vergewaltigungs- und Folterszenen sollen ebenso enthalten gewesen sein wie sämtliche Sexualtechniken. Das Forum war offenbar gut abgeschottet: es war – welch Wunder – nicht über Google erreichbar, sondern ausschließlich über die direkte Eingabe der Web-Adresse. Der Server stand in Ungarn, die Betreiber waren über die Bundesrepublik verteilt. Nutzer konnten nicht sofort auf Inhalte zugreifen, sondern mussten – als so genannte “Keuschheitsprobe” – zuerst selbst einschlägiges Material zur Verfügung stellen. Bis zum Jahr 2004 war dies quasi eine Garantie, dass verdeckte Ermittler nicht zuschlagen konnten, denn ihnen fehlte die entsprechende Rechtsgrundlage, um kinder- und jugendpornographisches Material zum Zwecke ihrer Tarnung anbieten zu können. Nur der Besitz und die Eigenbesitzverschaffung waren erlaubt. Nach § 184b Abs. 2, 5 StGB ist allerdings inzwischen auch die Besitzverschaffung für einen Dritten straflos, wenn dies der Erfüllung dienstlicher oder beruflicher Pflichten dient.

Die Keuschheitsprobe selbst gewährte allerdings noch nicht den Zugriff auf alle Bilder und Videos. Streng abgeschottete hierarchische Ebenen sollten sicherstellen, dass an die ganz harten Materialien nur die Nutzer kamen, die sich selbst bislang als besonders zuverlässig und interessiert geoutet hatten. Insgesamt sollen rund 500 Pädophile Zugang zu Materialien auf dem Server gehabt haben. Davon sind bislang 140 ermittelt worden. Das Verfahren in Darmstadt richtet sich gegen sechs Betreiber im Alter zwischen 30 und 58 Jahren, von denen sich einige unter anderem auch wegen des sexuellen Missbrauchs von Kindern verantworten müssen, also über die Verbreitung der Bilder hinaus auch selbst Hand angelegt haben.

Aufgeflogen ist das Forum lediglich durch einen anonymen Hinweis im letzten Jahr. 160 zeitgleich durchgeführte Razzien in ganz Deutschland, bei der alleine bei einem einzigen Angeklagten über 66.000 Dateien mit kinderpornographischen Material sichergestellt werden konnte, waren die Basis für die nachfolgenden Anklagen.

Bei den internationalen Großrazzien, die in der Vergangenheit durchgeführt wurden, zeigte sich meist, dass das aufgefundene Material ein guter Ausgangspunkt für spätere Folgeuntersuchungen war: die beschlagnahmten Rechner der Pädophilen enthielten zumeist weitere Kontaktadressen von anderen Foren oder Personen, mit denen ein direkter Austausch gepflegt wurde. Fast wellenartig konnten dann in der Folgezeit nach der ersten Razzia weitere einschlägige Boards durchsucht werden, was wiederum zu neuen Ausgangsuntersuchungen führte. Es dürfte also eine Frage der Zeit sein, bis aus den 160 hier entstandenen Verfahren die nächste Durchsuchungswelle generiert werden kann.

Interessant in diesem Zusammenhang ist übrigens ein kleiner Nebensatz, der im Artikel fast untergeht: “Um Geld sei es allerdings nicht gegangen”. Dies stellt ein weiteres Fragezeichen hinter die oft vorschnell hinausposaunte Aussage einiger Politiker, über den großen Markt der Kinderpornographie würden regelmäßig Millionenbeträge ausgetauscht. Wie man an der Aktion Mikado sehen kann, ist es nicht ausgeschlossen, dass Zugänge auch gegen Geld angeboten werden. Eine generelle Aussage scheint sich jedoch nicht ganz so klar treffen zu lassen, wie dies einige gerne hätten.

Netzthesen

Freitag, 13. August 2010

Nachdem Innenminister de Maiziere vor kurzem seine Thesen für eine Netzpolitik veröffentlicht hatte, legt nun auch der Chaos Computer Club nach und veröffentlicht 11 eigene Thesen “für ein lebenswertes Netz”. Interessant sind vor allem die Unterschiede im Detail zwischen beiden Auffassungen, z.B. im Hinblick auf die Wahrung von Anonymität, die in beiden Thesenpaketen enthalten ist. Während Maiziere etwa eine grundsätzliche Einschränkung in einigen Bereichen fordert:

Es muss sichergestellt sein, dass die Anforderungen an die Identifizierung unter Wahrung des Verhältnismäßigkeitsgrundsatzes danach ausgestaltet sind, welchem Zweck sie dient, welche Grundrechte betroffen sind, ob der Betroffene sich im privaten, sozialen oder öffentlichen Bereichen des Internets bewegt und ob er einen Anlass für die Identifizierung gegeben hat

Der CCC hingegen wünscht sich, dass ein echtes Recht auf Anonymität etabliert wird. Dieses sei nicht nur für Deutschland wichtig, sondern auch im Hinblick auf Nutzer aus “nicht-demokratischen Staaten”, die auf die Bereitstellung derartiger Dienste angewiesen seien. Besonders wichtig sei es daher, die Betreiber derartiger Dienste nicht unnötig zu schikanieren und in den Regelungen zur Verantwortlichkeit klar festzuschreiben, dass die Betreiber nicht für die über ihre Systeme verbreiteten Inhalte verantwortlich gemacht werden können. Bei der Piratenpartei, bei der ebenfalls Netzthesen im Gespräch sind, spielt die Anonymität auch eine Rolle (These 7). Auch dort wird darauf hingewiesen, dass die Abschaffung der Anonymität mehr Schaden anrichten würde als die Einschränkung, um eine erweiterte Strafverfolgung zu ermöglichen.

In der Zwischenzeit ist die Phase der so genannten E-Konsultationen zu den Thesen des Innenministers beendet worden. Darin haben 84 Prozent der Nutzer seine Ansicht zur Anonymität abgelehnt. Die Möglichkeit anonym im Netz agieren zu können dürfe keinesfalls beschnitten werden.

Das Online-Leben von Kindern Jugendlichen

Dienstag, 6. Juli 2010

Cyberbullying, also das Mobbing mit Hilfe des Internet, ist nach wie vor ein Problem. Dies belegt eine Studie von McAfee zum Online-Verhalten von Jugendlichen, bei der über 1.300 amerikanische Jugendliche zwischen 10 und 17 Jahren befragt worden waren. 14% der Befragten gaben darin zu, in derartigen Aktivitäten involviert gewesen zu sein. Diese Zahlen decken sich mit der letzten Studie aus dem Jahr 2008. Jeder Zweite kannte zumindest eine andere Person, die bereits Opfer eines solchen Angriffs geworden ist. Gleichwohl gab nur ein knappes Drittel zu, selbst von Cyberbullying betroffen gewesen zu sein. Das Dunkelfeld in diesem Kriminalitätsfeld dürfte daher eher hoch einzuschätzen sein.

Bedenklich sind auch die weiteren Angaben zum Kommunikationsverhalten. 12% der Befragten gaben zum Beispiel an, online Personen, die sie selbst in der Offline-Welt nicht kannten, bedenkenlos ihre Handynummer gegeben zu haben. 18% gaben ihnen Zugang zu persönlichen Fotos und 24% auch die E-Mail-Adresse. Über zwei Drittel gaben ihren physikalischen Aufenthaltsort preis. Insgesamt ließen sich 28% der Befragten auf Gespräche mit Fremden ein. Der Anteil der Mädchen war dabei deutlich höher als der der Jungen (24% vs. 32%). Derartige Kontakte werden dann in einigen Fällen ausgenutzt, um den Kontakt aus der Online- in die Offline-Welt zu überführen.

Die ominöse Sieben-Tage-Frist

Freitag, 2. Juli 2010

Nach einem aktuellen Urteil des OLG Frankfurt ist auch bei Flatrate-Tarifen eine Speicherung der Zuordnung von dynamischen IP-Adressen für einen Zeitraum von sieben Tagen nicht zu beanstanden. Der Kläger war der Auffassung, seine Daten müssten “sofort” gelöscht werden. Das Gericht stützt seine Auffassung auf mehrere Argumentationsstränge:

Zum einen handele es sich zwar um einen Flatrate-Tarif, bei der die Leistungen pauschal bezahlt werden. Insofern wäre keine Speicherung nach allgemeinen datenschutzrechtlichen Normen möglich. Der Kunde habe – in dem vom Gericht behandelten Fall – aber die Möglichkeit, sich mit Hilfe seiner Zugangsdaten auch über andere Wege einzuwählen, z.B. über Hotspots oder GSM-Verbindungen. In diesem Fall würden besondere Nutzungsentgelte für die erbrachten Leistungen fällig. Zumindest bis zu dem Zeitpunkt, an dem feststeht, ob die IP-Adresse zur Abrechnung dieser Leistungen (etwa zur Zuordnung des übermittelten Datenverkehrs) benötigt wird, müsse die Zuordnung gespeichert werden dürfen. Da das Telekommunikationsgesetz in diesem Zusammenhang lediglich eine unverzügliche (und nicht etwa eine sofortige) Löschung verlangt, lässt sich diese Argumentation grundsätzlich nachvollziehen. “Unverzüglich” wird allgemein als “ohne schuldhaftes Zögern” ausgelegt. Tatsache ist allerdings auch, dass andere Anbieter gegenwärtig überhaupt keine Daten mehr erfassen. Dies mag aber auch an anderen Tarifstrukturen liegen.

Der zweite große Argumentationsstrang bezieht sich auf den Erlaubnistatbestand des § 100 TKG. Danach dürfen bestimmte Daten erhoben werden, soweit dies der Erkennung, Eingrenzung oder Beseitigung von Störungen oder Fehlern einer TK-Anlage dient. Das Gesetz gestattet derartige Eingriffe allerdings nur, soweit sie zur Zielerreichung “erforderlich” sind. Nach einer sehr verbreiteten Auffassung soll zumindest eine Speicherung für sieben Tage nicht zu beanstanden sein, wobei der Zeitraum von sieben Tagen auf keiner näheren sachlich begründbaren Erwägung beruht. Auch bei Flatrate-Fällen sind Störungen oder Angriffe auf die Systeme des Anbieters denkbar, so dass auch hier eine solche Speicherungsmöglichkeit besteht. Das Argument des Klägers, wonach andere Anbieter auch zu diesem Zweck keine Daten erheben müssen, weist der beklagte Provider mit dem Argument zurück, er sei für viele dieser Provider als Vorleister tätig. Die betreffenden Anbieter hätten insoweit keine Angriffe auf ihre eigene Infrastruktur zu befürchten.

Obwohl die Entscheidung insoweit nicht zu beanstanden ist, scheint das letzte Wort noch nicht gesprochen: Die Revision ist zugelassen, weil es sich um eine Angelegenheit von rechtspolitischer und grundsätzlicher Bedeutung handelt. Der BGH wird sich daher vermutlich demnächst mit den zugrundeliegenden Rechtsfragen befassen müssen.