Archiv für die Kategorie „Recht“

Digitale Strafen

Samstag, 10. Dezember 2011

Dass Handlungen im Cyberspace sehr reale Strafen nach sich ziehen können (z.B. Geld- oder Gefängnisstrafen), dürfte inzwischen auch dem letzten Computerstraftäter klar sein – auch wenn die Täter (zum Teil zu Recht) davon ausgehen, dass die Chancen, entdeckt zu werden, in der Regel recht gering sind. In England wird jetzt über weitere Strafmaßnahmen nachgedacht.

In der UK Cyber Security Strategy wird u.a. ausgeführt, dass Richter in England ermutigt werden sollen, zukünftig bei online begangenen Straftaten (neben den regulären Strafen) verstärkt auch Online-Sanktionen zu verhängen. Hierzu gehören z.B. die Überwachung oder Einschränkung des Internetverkehrs nach der Haftentlassung, etwa um zu verhindern, dass eBay-Betrüger Online-Auktionen nutzen oder dass Cyber-Stalker zum Schutz der Allgemeinheit nur eingeschränkten Internetzugang erhalten. Diese Maßnahmen sind bereits nach geltendem britischen Recht möglich.

Darüber hinaus sollen zukünftig so genannte “cyber-tags” eingeführt werden. Darunter versteht die Regierung offenbar bestimmte Verhaltensweisen einer verurteilten Person im Internet, die Indikator dafür sein sollen, dass diese sich nicht an die gerichtlich vorgegebenen Verhaltensweisen hält (z.B.: ein verurteilter Betrüger stellt erneut Artikel auf eBay ein, obwohl der Richter dies untersagt hat). In diesem Fall soll automatisch die Polizei oder der Bewährungshelfer informiert werden. The Register spekuliert diesbezüglich schon über Twitter- und Facebook-Verbote für einschlägige Täter.

England hatte bereits im Jahr 2010 mit der Three-Strikes-Regelung als eines der ersten Länder Online-Sanktionen eingeführt. Das Three-Strikes-Modell erlaubt es, den Internet-Zugang mehrfach ertappter Urheberrechtsverletzer zu sperren oder die Bandbreite zu drosseln, um auf diese Weise künftige Taten zu unterbinden. Auch in Frankreich gibt es seit 2009 ein derartiges Verfahren. Angeblich droht dort momentan 60 Nutzern die letzte Stufe dieses Verfahrens.

Betrachtet man die Geschwindigkeit, mit der gefordert wurde, die englischen und französischen “Innovationen” (trotz aller Kritik) auch auf Deutschland zu übertragen, so dürfte es nicht lange dauern, bis auch hierzulande die ersten Forderungen nach “Online-Sanktionen” laut werden.

Sinnvoller erscheinen da die Begleitmaßnahmen, die nach der Cyber Security Strategie ebenfalls geplant sind. So sind etwa allgemeine Informationskampagnen vorgesehen, mit der grundlegende Sicherheitsmaßnahmen der breiten Bevölkerung und in der Privatwirtschaft vermittelt werden sollen. Nach Auffassung der britischen Regierung sollen sich so bis zu 80% der gegenwärtig begangenen Online-Taten verhindern lassen:

Because prevention is key, we will work to raise awareness and to educate and empower people and firms to protect themselves online. 80% or more of currently successful attacks exploit weakness that can be avoided by following simple best practice, such as updating anti-malware software regulary.

Hierfür sollen auch soziale Netzwerke eingesetzt werden, um auf diesem Weg schnell große Teile der Bevölkerung über erkannte Gefahren aus dem Internet (z.B. Betrugsmaschen) informieren zu können.

Im Übrigen spricht sich das Vereinigte Königreich an mehreren Stellen seiner (auch sonst durchaus lesenswerten) Cyber Security Strategie dafür aus, aktiv die Cybercrime-Konvention des Europarates zu unterstützen und deren weitere Verbreitung zu fördern. Insbesondere das 24/7-Netzwerk, das eine schnelle transnationale Kontaktaufnahmen bei Cybercrime-Fällen erlauben soll, wird hervorgehoben.

Berichte über Staatstrojaner = Strafvereitelung?

Samstag, 22. Oktober 2011

Nach einem Bericht der Mitteldeutschen Zeitung soll ein Gutachten des Wissenschaftlichen Dienstes des Bundestages es für “nicht ausgeschlossen” halten, dass die Veröffentlichung des sog. Staatstrojaners durch den CCC als Tathandlung einer Strafvereitelung zu bewerten ist.

Nach § 258 StGB macht sich strafbar, wer absichtlich oder wissentlich ganz oder zum Teil vereitelt, dass ein anderer wegen einer rechtswidrigen Tat bestraft wird. Aufgerufen wird hierfür eine Freiheitsstrafe von bis zu fünf Jahren oder Geldstrafe. Dass die Handlung des CCC jedoch so zu bewerten ist, erscheint mehr als zweifelhaft. Zum einen müsste es der Verein gewusst und gewollt haben, dass ein anderer bestraft wird (sog. Vorsatz), oder dies zumindest billigend in Kauf genommen haben. Angesichts der Tatsache, dass hierfür die Tat zumindest auf einen konkreten Fall zugeschnitten sein müsste, wird sich dieser Nachweis wohl kaum führen lassen.

Zudem wäre die Argumentation recht gewagt, dass das Verhindern einer strafprozessualen Ermittlungsmaßnahme dazu führt, dass ein anderer nicht bestraft werden kann, denn die Quellen-TKÜ wird ja durchgeführt, um überhaupt erst beurteilen zu können, ob sich ein anderer strafbar gemacht hat. Festgestellt wird dies in dem darauf folgenden Strafverfahren – das Gericht kann dies also durchaus anders beurteilen als die Staatsanwaltschaft oder die Polizei. Ob also die vom CCC (möglicherweise) vereitelten laufenden Einsätze des Staatstrojaner gegen Personen eingesetzt wurden, die sich tatsächlich rechtswidrig verhalten haben oder ob möglicherweise nur ein solcher Anschein bestand, der sich aber durch die Maßnahme nicht weiter bestätigt, kann gegenwärtig noch gar nicht abgesehen werden. Zwischen der Aufdeckung des “Staatstrojaners”, den Auswirkungen auf die Ermittlungen und der letztendlichen Strafverfolgung liegen also noch ziemlich große Gräben, die man argumentativ erst einmal in Verbindung bringen müsste (und diese Zusammenhänge müsste zudem vom CCC wie erwähnt auch konkret beabsichtigt oder zumindest billigend in Kauf genommen worden sein).

Die Mitglieder des CCC, die für die Aufdeckung des Staatstrojaners verantwortlich gezeichnet haben, dürften also auch weiterhin gut schlafen können.

Staatstrojaner

Montag, 10. Oktober 2011

Der Chaos Computer Club (CCC) hat einen “Staatstrojaner” (mit diesem Begriff soll offenbar klargestellt werden, dass es sich nicht (zwingend) um einen “Bundestrojaner” handelt) in die Finger bekommen und ausgiebig analysiert. Das Ergebnis fällt (erwartungsgemäß) katastrophal aus:

Der Einsatz von AES in dem gezeigten katastrophalen Gesamtumfeld – ohne Session-Keys, mit ECB, und nur in eine Richtung – deutet auf Ausschreibungen im öffentlichen Sektor hin, bei denen AES gefordert wurde, aber der Rest nicht spezifiziert war. Mehr als einen Bonuspunkt in der B-Note können wir hier leider nicht vergeben.

Wir sind hocherfreut, daß sich für die moralisch fragwürdige Tätigkeit der Programmierung der Computerwanze keine fähiger Experte gewinnen ließ und die Aufgabe am Ende bei studentischen Hilfskräften mit noch nicht entwickeltem festen Moralfundament hängenblieb.

Auf der anderen Seite sind wir erschüttert, daß ein solches System bei der Qualitätssicherung auch nur durch das Sekretariat kommen konnte.

Tatsächlich scheint es sich aber gar nicht um eine staatlich programmierte Software zu handeln, sondern um eine Entwicklung der Firma DigiTask, die staatlich lediglich lizenziert (und ggf. modifiziert) worden ist. Wie auch immer dem sei: Die Liste der gegen grundlegende Sicherheitsstandards verstoßenden Eigenschaften der Software ist in der Tat recht beeindruckend:

So ist zwar die Kommunikation des Trojaners verschlüsselt – allerdings nur die ausgehende Richtung (und das zudem offenbar nicht einmal besonders gut). Schlimmer ist allerdings, dass keine Authentifizierung stattfindet, d.h. jeder beliebige Dritte kann

  • den Trojaner übernehmen
  • sich gegenüber dem Command-and-Controlserver als Trojaner ausgeben und dort gefälschte Informationen abgeben (z.B. um einem Dritten zu Beweiszwecken falsche Inhalte unterzuschieben)
  • auf dem Rechner mit Hilfe des Trojaners beliebige Software auszuführen.

Alleine diese Tatsache ist ein gravierender Verstoß gegen § 20k BKAG (bzw. die entsprechenden landesrechtlichen Vorschriften). Danach ist die eingesetzte Software “nach dem Stand der Technik gegen unbefugte Nutzung zu schützen.” Dabei handelt es sich auch nicht nur um eine bloße Ordnungsvorschrift, sondern um die Umsetzung der verfassungsrechtlichen Vorgaben.

Weiterhin werden Daten – wie bei sonstiger Malware (und inbs. bei Botnetzen) üblich – zu einem Command-and-Controlserver ausgeleitet. Dieser steht allerdings in den Vereinigten Staaten. Neben der Frage, vor wem hier etwas verschleiert werden soll (immerhin handelt es sich um eine polizeiliche Überwachungsmaßnahme und nicht um einen transnationalen Spionageangriff), stellen sich datenschutzrechtlich einige Fragen, etwa hinsichtlich der Einhaltung von Art. 25 der Europäischen Datenschutzrichtlinie aufwirft.

Der CCC geht in seiner Analyse davon aus, dass es sich bei der Software um eine solche für eine Quellen-TKÜ handelt. Vor diesem Hintergrund wären die eingebauten Funktionen, wie etwa Screenshot-Funktionalität und ähnliches in der Tat äußerst bedenklich. Woher sich diese Annahme ableitet, wird allerdings nicht ganz klar. Denkbar wäre es evtl. daher auch, dass es sich nicht (nur) um die Software für eine Quellen-TKÜ, sondern um eine für die Online-Durchsuchung handelt. Auch dann erscheint die modulare (und richterlich nicht unbedingt kontrollierte) Erweiterbarkeit des Trojaners jedoch zumindest bedenklich. Die oben angeführten Sicherheitsmängel wären dann zudem umso bedeutender, da nicht “nur” auf die Kommunikation zugegriffen werden kann, sondern auf alle Rechnerinhalte.

Woher die Software stammt, bleibt ebenfalls offen. Es scheint aber, dass dem CCC mehrere Festplatten mit (ggf. nur schlecht gelöschten) Trojanern zur Verfügung gestellt wurden. Es soll sich bei der veröffentlichten Version jedenfalls nicht um die aktuellste Version handeln (woraus geschlossen werden kann, dass dem CCC auch aktuellere Versionen vorliegen). Dass die Software möglicherweise von einem Polizisten (oder einem Mitarbeiter der beauftragten Firma) dem CCC zugespielt wurde, ist aber eine durchaus ebenfalls in Betracht zu ziehende Möglichkeit.

Auch die Frage, welche Behörde den Trojaner eingesetzt hat, ist nicht geklärt. Die Vermutung, dass “0zapftis”, wie einige Routinen bezeichnet sind, in Richtung Süddeutschland deuten, hat sich jedenfalls heute bestätigt. Danach soll es sich um den sog. “Bayerntrojaner” handeln.

Durch die Analyse der Software dürfte der Einsatz in der gegenwärtigen Form nicht mehr möglich sein – unter anderem, da sich der Trojaner mit einer charakteristischen Sequenz meldet und damit für Virenscanner erkennbar ist. Wer daraufhin seinen Rechner besorgt untersucht, dürfte allerdings nicht (mehr) fündig werden: vor der Veröffentlichung hat der CCC das Bundesinnenministerium informiert, um den Abbruch gegenwärtig noch laufender Maßnahmen zu ermöglichen. Zumindest der CCC steht zu seinen Prinzipien und Regularien.

Den Hintern zeigen

Montag, 26. September 2011

Hide my ass!” nennt sich ein populärer Anbieter scheinbarer Anonymität im Internet. “Free web proxy, surf online anonymously, hide your IP address and protect your privacy” wird vollmundig auf den Webseiten versprochen. Dass die Benutzer bei “Hide my ass” dabei aber – wie bei den meisten anderen Anbietern auch – vor allem auf das Vertrauen in den Anbieter angewiesen sind, wurde heute einmal wieder deutlich.

Drei Usern, die das VPN-Angebot von hidemyass.com genutzt hatten, wurde vom FBI vorgeworfen, an illegalen Aktionen von Anonymous und LulzSec teilgenommen zu haben. Bei einem echten Anonymisierungsdienst würde die Geschichte an dieser Stelle enden, denn weitere Daten zur Identifizierung der User lägen dann nicht vor. Nicht so aber bei hidemyass.com. Dieser Anbieter protokolliert u.a., welcher User sich wann mit welcher IP-Adresse an- und abmeldet. Mit Hilfe dieser Informationen kann dann später genau nachvollzogen werden, welche Nutzer versucht haben, ihre Spuren zu verwischen. Anonymität sieht anders aus.

Immerhin weist der Anbieter in seinen Geschäftsbedingungen darauf hin, dass Username, E-Mail-Adresse, Passwort und IP-Adressen gespeichert werden (letztere zu Zwecken der Spamvermeidung sowie um Betrugs- und andere Missbrauchsfälle aufklären zu können). Weiterhin werden Daten nicht an jedermann herausgegeben – so zumindest der Anbieter – sondern, als britisches Unternehmen, nur nach Vorlage eines dort gültigen Gerichtsbeschlusses. Andernfalls, so hidemyass.com, bestünde die Gefahr, dass man abgeschaltet oder selbst gerichtlich verfolgt würde.

In Deutschland sieht die Situation (zumindest auf dem Papier) anders aus. Besitzt ein Anbieter keine Daten, so muss er auch keine Daten herausgeben. Er kann (zumindest ohne Vorratsdatenspeicherung) auch nicht gezwungen werden, Daten zu erheben, die er nicht benötigt. In einem Bericht auf Spiegel Online wird die für diesen Fall übermittelte Antwort kurz und bündig zitiert: “Leider liegen keine Daten vor.” Eigentlich wäre ein solches Verhalten nicht nur wünschenswert, sondern (wiederum: in Deutschland) sogar verpflichtend, denn § 13 Abs. 6 TMG schreibt vor, dass die “Nutzung von Telemedien und ihre Bezahlung” anonym oder unter Pseudonym zu ermöglichen ist, “soweit dies technisch möglich und zumutbar ist.”

Auch bei deutschen Anbietern stellt sich aber die gleiche Frage, die sich die drei User auch bei hidemyass.com hätten stellen müssen: Ist der Anbieter wirklich vertrauenswürdig? Wer garantiert, dass wirklich keine Daten gespeichert werden? Dies gilt umso mehr, als hidemyass.com kein Einzelfall ist. Bereits im Jahr 2007 kamen Zweifel bei einem anderen Anbieter auf, der angab, dass alle Mails automatisch bei ihm verschlüsselt würden, und so Dritten (und damit auch Strafverfolgungsbehörden) nicht zugänglich wären. Dieser scheinbar große Schutz, der ebenfalls alleine auf dem Vertrauen in den Anbieter basierte, wurde erschüttert, als dieser für ein Gerichtsverfahren den Klartext mehrerer E-Mails seiner User vorlegen konnte. Damit war klar, dass das scheinbar sichere Verschlüsselungsverfahren einen absichtlichen und heimlichen Zugang offen lies.

Um tatsächlich einen hohen Grad an Anonymität gewährleisten zu können, sind daher Angebote, bei denen sich der User auf einen einzelnen Anbieter und dessen Vertrauenswürdigkeit verlassen muss, untauglich. Stattdessen sollten Anonymisierungsnetzwerke genutzt werden, wie z.B. Tor oder Jondonym, die von Beginn an so konzipiert wurden, dass einer oder sogar mehrere Anbieter, die kollusiv zusammenarbeiten, um die Identität des Nutzers aufzudecken, noch keinen Schaden anrichten können. Erst wenn tatsächlich alle Anbieter eines solchen Netzwerks zusammenarbeiten, können Identität von Absender und Empfänger sowie die übermittelten Daten in Einklang gebracht werden. Bei derartigen Diensten stellt sich die Vertrauensfrage dann nur noch in bedeutend geringerem Maße als bei geschäftstüchtigen Einzelanbietern.

Cyberterrorismus via Twitter?

Samstag, 10. September 2011

In Mexiko ist ein Mann wegen Terrorismusstraftaten angeklagt worden, weil er Twitter genutzt hat. In seinen Tweets hatte der Mann behauptet, es wäre zu einem Kidnapping-Fall in einer Schule gekommen und mehrere Kinder wären dabei getötet worden. Durch die Staatsanwaltschaft ist dies als terroristische Tat gewertet worden, die darauf angelegt sei Angst und Verunsicherung unter der Bevölkerung zu verbreiten. Es hätte sich unter den Eltern der Schulkinder eine Panik entwickelt und mehrere Autounfälle hätten sich dadurch ereignet bei den Versuchen, möglichst schnell die Schule zu erreichen. Dem Täter drohen nun bis zu 30 Jahre Haft.

Derartige Folgen von einzelnen Tweets sind nicht unbekannt. Gleichwohl kritisieren die Anwälte des Beschuldigten, dass durch die Anklage das Recht auf Meinungsfreiheit gefährdet sei. Die Panik der Eltern sei in erster Linie nicht den Handlungen des Mandanten geschuldet, sondern dem andauernden Krieg gegen Drogengangs. Die Bevölkerung lebe daher ohnehin bereits in einem andauernden Stadium der Unsicherheit. Die eingetretenen Folgen seien vom Mandanten nicht beabsichtigt gewesen:

There was no intent on their part to generate this situation. They simply informed, incorrectly, but they informed.

Die Staatsanwaltschaft zeigt sich hiervon bisher unbeeindruckt und kündigt an, auch gegen andere “Cyberterroristen” zu ermitteln, die bewusst die Öffentlichkeit mis- bzw. desinformieren.

Bleibt noch abzuwarten, wie das Gericht dies einschätzt. In einem anderen Fall, in dem ein Tweet hohe Wellen geschlagen hatte, war der Täter (in England) zunächst zu 1.000 Pfund Geldstrafe verurteilt worden. In der Rechtsmittelinstanz wurde das Urteil bestätigt, wodurch weitere 2.000 Pfund an Kosten entstanden.

Keine privaten Geheimdienstspiele

Mittwoch, 8. Juni 2011

Nachrichtendienste nutzen – wenn man den einschlägigen Spielfilmen glauben darf – für Observationen gerne GPS-Sender, die heimlich am Mantel oder einem Auto angebracht werden. Auf diese Weise lässt sich die verdächtige Person bequem vom Rechner aus verfolgen, ohne dass man ihr auffällig hinterherlaufen bzw. -fahren müsste. Eine Entscheidung des LG Lüneburg (Beschluss vom 28.03.2011, Az. 26 Qs 45/11; offenbar bisher noch nicht online verfügbar) hat sich mit einem derartigen Fall datenschutzrechtlich näher befasst. Allerdings handelte es sich nicht um den Verfassungsschutz oder den BND, dem auf die Finger geklopft wurde, sondern um eine Detektei. Diese hatte im Auftrag eines Kunden einen GPS-Sender am Auto der Zielperson angebracht, um damit ein Bewegungsprofil zu erstellen. Hintergrund waren offenbar zivilrechtliche Vertragsverstöße, die mit Hilfe des Profils bewiesen werden sollten.

Als bei einem Werkstattbesuch der Sender durch den Autobesitzer entdeckt wurde, nahm das (Ermittlungs-) Verfahren seinen Lauf und der Sender wurde beschlagnahmt. Hiergegen wandte sich die Detektei. Die Beschwerde blieb allerdings erfolglos, denn nach Auffassung des LG Lüneburg bestand ein Anfangsverdacht wegen einer Straftat nach §§ 44 Abs. 1, 43 Abs. 2 Nr. 1 BDSG (unbefugte Erhebung und Verarbeitung nicht frei zugänglicher personenbezogener Daten). Zwar gestatte § 29 BDSG unter bestimmten Bedingungen eine geschäftsmäßige Speicherung von Daten. Hier sei aber davon auszugehen, dass der Betroffene ein schutzwürdiges Interesse daran habe, dass seine Daten nicht gespeichert würden. Das Recht auf informationelle Selbstbestimmung überwiege daher das geschäftliche Interesse der Detektei deutlich.

Wenn Strafverfolgungsbehörden eine solche GPS-Observation einsetzen möchten, so ist dies nur möglich, wenn eine „Straftat von erheblicher Bedeutung“ im Raum steht, § 100h Abs. 1 Nr. 2 StPO, also solche Taten, die den Rechtsfrieden empfindlich stören und geeignet sind, das Sicherheitsgefühl der Bevölkerung nachdrücklich zu beeinträchtigen. Ein bloßer zivilrechtlicher Vertragsverstoß wäre hierfür nicht ausreichend. Vor diesem Hintergrund ist die Entscheidung sowohl nachzuvollziehen als auch zu begrüßen.

Tschechien kippt ebenfalls

Donnerstag, 31. März 2011

Nachdem im letzten Monat ein Gericht auf Zypern die Vorratsdatenspeicherung gekippt hatte, kommt nun Tschechien als fünftes Land (neben Zypern sahen auch die Gerichte in Deutschland, Rumänien und Bulgarien die Vorratsdatenspeicherung so kritisch, dass sie dort jeweils für verfassungswidrig erklärt oder aus anderen Gründen ausgesetzt wurde) auf die Liste der Länder, in denen die Vorratsdatenspeicherung zwar eingeführt, nun aber aufgrund einer höchstgerichtlichen Entscheidung wieder ausgesetzt wurde.

Das tschechische Verfassungsgericht führte in seinem Urteil aus, dass die Vorratsdatenspeicherung gegen die Grundrechte auf Privatheit und informationelle Selbstbestimmung verstoße. In diesem Zusammenhang soll auch das deutsche Volkszählungsurteil zitiert worden sein. Zudem werde die Verhältnismäßigkeit der Mittel nicht gewahrt. Auch auf die zugrundeliegende EU-Richtline gingen die Richter ein, sie sei zu vage formuliert. Dennoch beschloss das Gericht, das nationale Gesetz nicht dem EuGH zur Prüfung vorzulegen.

Für die gegenwärtig bei der EU-Kommission laufende Evaluierung der Vorratsdatenspeicherungsrichtlinie bedeutet die größer werdende Anzahl von Ländern, in denen die Umsetzungsgesetze gekippt werden, einen stetig wachsenden Druck.

Zypern ist Nummer vier

Montag, 14. Februar 2011

Auch in Zypern hat der oberste Gerichtshof nun die Vorratsdatenspeicherung gekippt, das berichtete gestern netzpolitik.org. Nach Deutschland, Rumänien und Bulgarien ist Zypern bereits das vierte Land, in dem dies geschieht.

Ähnlich wie in Deutschland haben die Richter nicht die Speicherung an sich kritisiert, sondern lediglich den Zugriff. Bis zu einer neuen Regelung können die Vorratsdaten gegenwärtig nur noch genutzt werden, wenn Häftlinge oder laufende Insolvenzverfahren betroffen sind.

Der Europäische Gerichtshof war zwar schon einmal mit der Vorratsdatenspeicherung befasst, wollte damals aber nur über die (seiner Meinung nach richtige) Rechtsgrundlage entscheiden. Eine Aussage zur Vereinbarkeit mit der Europäischen Grundrechtecharta gab es bislang noch nicht. In mehreren anderen Ländern wird emsig darüber diskutiert, ob die Vorratsdatenspeicherung beibehalten werden soll, wiederum andere Länder haben sie – trotz bereits lange abgelaufener Umsetzungspflicht – noch immer nicht in nationales Recht überführt. Es dürfte daher interessant sein, wie der Bericht zur Evaluierung der Richtlinie ausfallen wird.

Alle 30 Sekunden ein Treffer

Montag, 31. Januar 2011

Es ist schon sehr kompliziert geworden in dieser Welt. Insbesondere, wenn man als Polizeibehörde eine technische Überwachungsmaßnahme schalten will oder als Richter(in) darüber zu befinden hat. So scheint es jedenfalls, wenn man sich eine aktuelle Entscheidung des LG Landshut (PDF) anschaut, die iiure.org vor ein paar Tagen veröffentlicht hat. Aber der Reihe nach.

Das AG Landshut hatte in einem BtMG-Fall “gemäß § 100a, b StPO” die Überwachung des Telekommunikationsverkehrs eines Beschuldigten angeordnet. Davon sollte nach Ansicht des unterzeichnenden Richters auch erfasst sein “die Überwachung und Aufzeichnung der […] verschlüsselten Telekommunikation sowie die Vornahme der hierzu erforderlichen Maßnahmen im Rahmen einer Fernsteuerung.” Dies sollte, so der Richter, die Erfassung von über https laufenden Webanfragen und von Skype-Sprachverkehr erlauben. Die Polizei installierte daraufhin unter anderem ein Programm, das im 30-Sekunden-Takt einen Screenshot, also ein Bildschirmfoto anfertigte. Das – so das LG – ist aber über eine Anordnung nach §§ 100a, 100b StPO nicht möglich. Es hat daher die Anfertigung von Screenshots als rechtswidrig erkannt, im übrigen die Maßnahmen aber für rechtmäßig befunden. Damit liegt es ganz auf der Linie der herrschenden Meinung.

Die StPO bietet mit den §§ 100a, b StPO in der Tat eine Rechtsgrundlage, um Telekommunikationsverbindungen aufzuzeichnen. In der Regel setzen diese beim Provider an. Bei verschlüsseltem Datenverkehr, etwa über https oder mit Programmen, die den Datenverkehr selbständig verschlüsseln, z.B. Skype, führt dies dazu, dass auch nur die verschlüsselt ausgetauschten Daten aufgezeichnet werden können. Mit anderen Worten: damit kann niemand etwas anfangen. International werden zu diesem Problem verschiedene Lösungen diskutiert, z.B. Täter zur Schlüsselherausgabe zu zwingen, nur schwache Kryptographie zuzulassen, die man mit ordentlich Rechenpower auch selbst wieder knacken kann, oder ganz einfach Verschlüsselung zu verbieten.

Deutschland hat sich für den technischen Weg entschieden. Mit Hilfe der Online-Durchsuchung kann heimlich – ähnlich wie bei einem Hacking-Angriff – auf den Rechner eines Verdächtigen zugegriffen werden. Dort kann sich die Polizei dann in aller Ruhe “virtuell” umsehen, Informationen sichern und – in bestimmten Fällen – sogar löschen. Das Bundesverfassungsgericht hat in seiner viel beachteten Entscheidung zur Online-Durchsuchung allerdings darauf hingewiesen, dass für derartige Maßnahmen eine eigene Rechtsgrundlage erforderlich ist. Eine solche existiert z.B. inzwischen mit § 20k BKAG für das Bundeskriminalamt oder mit Art. 34d BayPAG für die Bayerische Polizei. In Bayern sind die Voraussetzungen hierfür jedoch recht streng. Erforderlich ist z.B., dass eine dringende Gefahr besteht für Leib, Leben oder Freiheit einer Person. Zur Aufklärung eines Betäubungsmitteldelikts wäre der Einsatz unzulässig.

Neben der vollwertigen Online-Dursuchung gibt es noch die Quellen-Telekommunikationsüberwachung, kurz Quellen-TKÜ. Hierbei wird ebenfalls in den Rechner eingedrungen. Allerdings wird nicht der Inhalt der Festplatte durchsucht, sondern es werden “nur” Kommunikationsinhalte mitgeschnitten – und zwar entweder bevor sie verschlüsselt den Rechner verlassen, oder nachdem sie auf dem Rechner angekommen und entschlüsselt wurden. Vereinfacht kann man sich vorstellen, der Trojaner (denn darum handelt es sich letztlich) würde die Signale am Mikrofon und an den Lautsprechern abschalten. Auch mit dieser Problematik hat sich das Bundesverfassungsgericht in der Entscheidung befasst. Es ist zu dem Schluss gekommen, dass eine Quellen-TKÜ nur dann ohne gesonderte Rechtsgrundlage möglich ist, wenn technisch sichergestellt ist, dass ausschließlich Kommunikationsinhalte erfasst werden können, nicht etwa – um beim Mikrofon-Beispiel zu bleiben – auch das Gespräch im Raum, das gar nicht für die Übertragung im Internet vorgesehen war. In diesem Fall sollen nach einer weit verbreiteten Ansicht §§ 100a, 100b StPO ausreichend sein. Gleichwohl gibt es mit § 20l BKAG oder dem vor wenigen Tagen in Kraft getretenen Bestimmungen in Rheinland-Pfalz auch explizite gesetzliche Regelungen hierzu. In Bayern fehlt eine Landesregelung bislang.

Das LKA hatte geschildert, dass sie einen modifizierten Skype-Client auf dem Rechner des Beschuldigten installiert hatten. Auf diese Weise ist sichergestellt, dass nur Kommunikationsinhalte, nämlich die mit Skype übertragenen VoIP-Informationen und Messages, abgefangen werden können, nicht auch sonstige Inhalte. Insoweit war die Entscheidung des LG also ganz richtig.

Die Screenshot-Funktion geht jedoch über das reine Abgreifen von verschlüsselten Telekommunikationsinhalten weit hinaus. Vielmehr – so führt das LG ganz richtig aus – erfasst sie Inhalte, die vor dem eigentlichen Telekommunikationsvorgang entstehen und möglicherweise so niemals den Rechner verlassen werden. Schließlich kann man eine E-Mail bis zum Abschicken noch beliebig verändern – oder sie sogar wieder ganz löschen. Hätte das LKA also eine derartige Screenshot-Funktionalität haben wollen, so wäre dies nur im Rahmen einer Online-Durchsuchung möglich gewesen, weil damit in das nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG geschützte “Recht auf Vertraulichkeit und Integrität informationstechnischer Systeme” (vulgo: “Computergrundrecht”) eingegriffen wird. Zur Aufklärung von BtMG-Delikten ist das aber wie dargestellt nicht möglich.

Die Entscheidung des LG ist daher zu begrüßen. Verwunderlich ist allerdings, wie das LKA Bayern, das immerhin bereits seit mehreren Jahren über ein Kompetenzzentrum zur Telekommunikationsüberwachung verfügt, überhaupt auf die Idee kommen kann, eine derartige Maßnahme, die immerhin für jeden Einzelfall programmiert bzw. angepasst werden muss, einzusetzen. Auch dass ein Ermittlungsrichter den Vollzug der Maßnahme nicht sofort als rechtswidrig erkennt, sondern damit erst die nächste Instanz befasst werden muss, lässt für die nähere Zukunft nichts Gutes erwarten. Immerhin ist die Diskussion um die Online-Durchsuchung und die Einführung (und speziell in Bayern: anschließende Anpassung) von landesrechtlichen Vorschriften in diesem Bereich mit derart großen Presseberichten begleitet worden, dass niemand ernsthaft behaupten könnte, nicht ausreichend für die Problematik sensibilisiert gewesen zu sein.

Das Leben der Anderen

Montag, 13. Dezember 2010

Die immer weiter zunehmende Chat-Bereitschaft nicht nur über die Tastatur, sondern auch über die (meist in neueren Laptops schon eingebaute) Kamera gepaart mit günstigen Flatrates, die dazu führen, dass viele Computer 24/7 angeschaltet sind, bedeuten auch für ambitionierte Cyberkriminelle spannende Herausforderungen. In mehreren Fällen ist in der letzten Zeit über Täter berichtet worden, die über das Internet auf die Kamera ihrer Opfer zugegriffen haben und – wortwörtlich – so in Wohn- und Schlafzimmer eingedrungen sind. In einem Fall brüstete sich der Täter vor seinen Freunden, dass er umfangreiches Material, z.B. einer Teenagerin in Schuluniform, einer Mutter mit ihrem Neugeborenen im Krankenhaus sowie intimes sexuell einschlägiges Material auf diese Weise auf seinen Rechner gebracht habe.

In einem anderen Fall ging der Täter auf die gleiche Weise vor und sicherte sich vor allem Bilder, auf denen die ahnungslosen Opfer beim An- und Ausziehen zu sehen waren. Etwa drei Millionen Bilder wurden auf seinem Rechner später gefunden. Nachweislich war er in einem guten halben Jahr in fast 100 Rechner von Kindern und Erwachsenen eingedrungen.

Technisch waren sich beide Täter ähnlich. Sie hatten E-Mails verschickt, die einen Trojaner auf den Rechnern der Opfer implementierten. Neben einer ausgeprägten voyeuristischen Ader hatten beide zudem versucht, ihr Selbstwert- und Machtgefühl durch die Taten zu steigern. So konnte anhand der Chatlogs nachvollzogen werden, wie einer der beiden vor seinem Freund damit angab, ein 16 Jahre altes Mädchen sei in Tränen ausgebrochen, nachdem er begonnen habe, auf ihrem Bildschirm Wörter zu vertauschen – nachdem er sie bereits stundenlang beobachtet hatte.

Die Täter sind zu 22 Monaten auf Bewährung (nach deutschem Recht) bzw. 18 Monaten Haft (nach englischem Recht) verurteilt worden. Aufgeflogen waren beide allerdings aus gänzlich anderen Gründen: Während der englische Täter für mehrere Jahre unbehelligt seinem Hobby frönen konnte und lediglich seine sonstigen (ebenfalls cyber-) kriminellen Aktivitäten in einer Hacker-Gruppe Scotland Yard und finnische Behörden auf den Plan lief, fiel der deutsche Täter unmittelbar aufgrund seiner Webcam-Leidenschaft auf: Eines seiner Opfer hatte beim Besuch eines Datenschutzbeauftragten in der Schule darüber berichtet, dass die Kontroll-Leuchte der Webcam am Laptop ständig an sei. Im Rahmen der darauf folgenden Ermittlungen war der Trojaner aufgefallen und der Täter konnte kurz darauf verhaftet werden.