Artikel-Schlagworte: „Online-Durchsuchung“

Berichte über Staatstrojaner = Strafvereitelung?

Samstag, 22. Oktober 2011

Nach einem Bericht der Mitteldeutschen Zeitung soll ein Gutachten des Wissenschaftlichen Dienstes des Bundestages es für “nicht ausgeschlossen” halten, dass die Veröffentlichung des sog. Staatstrojaners durch den CCC als Tathandlung einer Strafvereitelung zu bewerten ist.

Nach § 258 StGB macht sich strafbar, wer absichtlich oder wissentlich ganz oder zum Teil vereitelt, dass ein anderer wegen einer rechtswidrigen Tat bestraft wird. Aufgerufen wird hierfür eine Freiheitsstrafe von bis zu fünf Jahren oder Geldstrafe. Dass die Handlung des CCC jedoch so zu bewerten ist, erscheint mehr als zweifelhaft. Zum einen müsste es der Verein gewusst und gewollt haben, dass ein anderer bestraft wird (sog. Vorsatz), oder dies zumindest billigend in Kauf genommen haben. Angesichts der Tatsache, dass hierfür die Tat zumindest auf einen konkreten Fall zugeschnitten sein müsste, wird sich dieser Nachweis wohl kaum führen lassen.

Zudem wäre die Argumentation recht gewagt, dass das Verhindern einer strafprozessualen Ermittlungsmaßnahme dazu führt, dass ein anderer nicht bestraft werden kann, denn die Quellen-TKÜ wird ja durchgeführt, um überhaupt erst beurteilen zu können, ob sich ein anderer strafbar gemacht hat. Festgestellt wird dies in dem darauf folgenden Strafverfahren – das Gericht kann dies also durchaus anders beurteilen als die Staatsanwaltschaft oder die Polizei. Ob also die vom CCC (möglicherweise) vereitelten laufenden Einsätze des Staatstrojaner gegen Personen eingesetzt wurden, die sich tatsächlich rechtswidrig verhalten haben oder ob möglicherweise nur ein solcher Anschein bestand, der sich aber durch die Maßnahme nicht weiter bestätigt, kann gegenwärtig noch gar nicht abgesehen werden. Zwischen der Aufdeckung des “Staatstrojaners”, den Auswirkungen auf die Ermittlungen und der letztendlichen Strafverfolgung liegen also noch ziemlich große Gräben, die man argumentativ erst einmal in Verbindung bringen müsste (und diese Zusammenhänge müsste zudem vom CCC wie erwähnt auch konkret beabsichtigt oder zumindest billigend in Kauf genommen worden sein).

Die Mitglieder des CCC, die für die Aufdeckung des Staatstrojaners verantwortlich gezeichnet haben, dürften also auch weiterhin gut schlafen können.

Staatstrojaner

Montag, 10. Oktober 2011

Der Chaos Computer Club (CCC) hat einen “Staatstrojaner” (mit diesem Begriff soll offenbar klargestellt werden, dass es sich nicht (zwingend) um einen “Bundestrojaner” handelt) in die Finger bekommen und ausgiebig analysiert. Das Ergebnis fällt (erwartungsgemäß) katastrophal aus:

Der Einsatz von AES in dem gezeigten katastrophalen Gesamtumfeld – ohne Session-Keys, mit ECB, und nur in eine Richtung – deutet auf Ausschreibungen im öffentlichen Sektor hin, bei denen AES gefordert wurde, aber der Rest nicht spezifiziert war. Mehr als einen Bonuspunkt in der B-Note können wir hier leider nicht vergeben.

Wir sind hocherfreut, daß sich für die moralisch fragwürdige Tätigkeit der Programmierung der Computerwanze keine fähiger Experte gewinnen ließ und die Aufgabe am Ende bei studentischen Hilfskräften mit noch nicht entwickeltem festen Moralfundament hängenblieb.

Auf der anderen Seite sind wir erschüttert, daß ein solches System bei der Qualitätssicherung auch nur durch das Sekretariat kommen konnte.

Tatsächlich scheint es sich aber gar nicht um eine staatlich programmierte Software zu handeln, sondern um eine Entwicklung der Firma DigiTask, die staatlich lediglich lizenziert (und ggf. modifiziert) worden ist. Wie auch immer dem sei: Die Liste der gegen grundlegende Sicherheitsstandards verstoßenden Eigenschaften der Software ist in der Tat recht beeindruckend:

So ist zwar die Kommunikation des Trojaners verschlüsselt – allerdings nur die ausgehende Richtung (und das zudem offenbar nicht einmal besonders gut). Schlimmer ist allerdings, dass keine Authentifizierung stattfindet, d.h. jeder beliebige Dritte kann

  • den Trojaner übernehmen
  • sich gegenüber dem Command-and-Controlserver als Trojaner ausgeben und dort gefälschte Informationen abgeben (z.B. um einem Dritten zu Beweiszwecken falsche Inhalte unterzuschieben)
  • auf dem Rechner mit Hilfe des Trojaners beliebige Software auszuführen.

Alleine diese Tatsache ist ein gravierender Verstoß gegen § 20k BKAG (bzw. die entsprechenden landesrechtlichen Vorschriften). Danach ist die eingesetzte Software “nach dem Stand der Technik gegen unbefugte Nutzung zu schützen.” Dabei handelt es sich auch nicht nur um eine bloße Ordnungsvorschrift, sondern um die Umsetzung der verfassungsrechtlichen Vorgaben.

Weiterhin werden Daten – wie bei sonstiger Malware (und inbs. bei Botnetzen) üblich – zu einem Command-and-Controlserver ausgeleitet. Dieser steht allerdings in den Vereinigten Staaten. Neben der Frage, vor wem hier etwas verschleiert werden soll (immerhin handelt es sich um eine polizeiliche Überwachungsmaßnahme und nicht um einen transnationalen Spionageangriff), stellen sich datenschutzrechtlich einige Fragen, etwa hinsichtlich der Einhaltung von Art. 25 der Europäischen Datenschutzrichtlinie aufwirft.

Der CCC geht in seiner Analyse davon aus, dass es sich bei der Software um eine solche für eine Quellen-TKÜ handelt. Vor diesem Hintergrund wären die eingebauten Funktionen, wie etwa Screenshot-Funktionalität und ähnliches in der Tat äußerst bedenklich. Woher sich diese Annahme ableitet, wird allerdings nicht ganz klar. Denkbar wäre es evtl. daher auch, dass es sich nicht (nur) um die Software für eine Quellen-TKÜ, sondern um eine für die Online-Durchsuchung handelt. Auch dann erscheint die modulare (und richterlich nicht unbedingt kontrollierte) Erweiterbarkeit des Trojaners jedoch zumindest bedenklich. Die oben angeführten Sicherheitsmängel wären dann zudem umso bedeutender, da nicht “nur” auf die Kommunikation zugegriffen werden kann, sondern auf alle Rechnerinhalte.

Woher die Software stammt, bleibt ebenfalls offen. Es scheint aber, dass dem CCC mehrere Festplatten mit (ggf. nur schlecht gelöschten) Trojanern zur Verfügung gestellt wurden. Es soll sich bei der veröffentlichten Version jedenfalls nicht um die aktuellste Version handeln (woraus geschlossen werden kann, dass dem CCC auch aktuellere Versionen vorliegen). Dass die Software möglicherweise von einem Polizisten (oder einem Mitarbeiter der beauftragten Firma) dem CCC zugespielt wurde, ist aber eine durchaus ebenfalls in Betracht zu ziehende Möglichkeit.

Auch die Frage, welche Behörde den Trojaner eingesetzt hat, ist nicht geklärt. Die Vermutung, dass “0zapftis”, wie einige Routinen bezeichnet sind, in Richtung Süddeutschland deuten, hat sich jedenfalls heute bestätigt. Danach soll es sich um den sog. “Bayerntrojaner” handeln.

Durch die Analyse der Software dürfte der Einsatz in der gegenwärtigen Form nicht mehr möglich sein – unter anderem, da sich der Trojaner mit einer charakteristischen Sequenz meldet und damit für Virenscanner erkennbar ist. Wer daraufhin seinen Rechner besorgt untersucht, dürfte allerdings nicht (mehr) fündig werden: vor der Veröffentlichung hat der CCC das Bundesinnenministerium informiert, um den Abbruch gegenwärtig noch laufender Maßnahmen zu ermöglichen. Zumindest der CCC steht zu seinen Prinzipien und Regularien.

Alle 30 Sekunden ein Treffer

Montag, 31. Januar 2011

Es ist schon sehr kompliziert geworden in dieser Welt. Insbesondere, wenn man als Polizeibehörde eine technische Überwachungsmaßnahme schalten will oder als Richter(in) darüber zu befinden hat. So scheint es jedenfalls, wenn man sich eine aktuelle Entscheidung des LG Landshut (PDF) anschaut, die iiure.org vor ein paar Tagen veröffentlicht hat. Aber der Reihe nach.

Das AG Landshut hatte in einem BtMG-Fall “gemäß § 100a, b StPO” die Überwachung des Telekommunikationsverkehrs eines Beschuldigten angeordnet. Davon sollte nach Ansicht des unterzeichnenden Richters auch erfasst sein “die Überwachung und Aufzeichnung der […] verschlüsselten Telekommunikation sowie die Vornahme der hierzu erforderlichen Maßnahmen im Rahmen einer Fernsteuerung.” Dies sollte, so der Richter, die Erfassung von über https laufenden Webanfragen und von Skype-Sprachverkehr erlauben. Die Polizei installierte daraufhin unter anderem ein Programm, das im 30-Sekunden-Takt einen Screenshot, also ein Bildschirmfoto anfertigte. Das – so das LG – ist aber über eine Anordnung nach §§ 100a, 100b StPO nicht möglich. Es hat daher die Anfertigung von Screenshots als rechtswidrig erkannt, im übrigen die Maßnahmen aber für rechtmäßig befunden. Damit liegt es ganz auf der Linie der herrschenden Meinung.

Die StPO bietet mit den §§ 100a, b StPO in der Tat eine Rechtsgrundlage, um Telekommunikationsverbindungen aufzuzeichnen. In der Regel setzen diese beim Provider an. Bei verschlüsseltem Datenverkehr, etwa über https oder mit Programmen, die den Datenverkehr selbständig verschlüsseln, z.B. Skype, führt dies dazu, dass auch nur die verschlüsselt ausgetauschten Daten aufgezeichnet werden können. Mit anderen Worten: damit kann niemand etwas anfangen. International werden zu diesem Problem verschiedene Lösungen diskutiert, z.B. Täter zur Schlüsselherausgabe zu zwingen, nur schwache Kryptographie zuzulassen, die man mit ordentlich Rechenpower auch selbst wieder knacken kann, oder ganz einfach Verschlüsselung zu verbieten.

Deutschland hat sich für den technischen Weg entschieden. Mit Hilfe der Online-Durchsuchung kann heimlich – ähnlich wie bei einem Hacking-Angriff – auf den Rechner eines Verdächtigen zugegriffen werden. Dort kann sich die Polizei dann in aller Ruhe “virtuell” umsehen, Informationen sichern und – in bestimmten Fällen – sogar löschen. Das Bundesverfassungsgericht hat in seiner viel beachteten Entscheidung zur Online-Durchsuchung allerdings darauf hingewiesen, dass für derartige Maßnahmen eine eigene Rechtsgrundlage erforderlich ist. Eine solche existiert z.B. inzwischen mit § 20k BKAG für das Bundeskriminalamt oder mit Art. 34d BayPAG für die Bayerische Polizei. In Bayern sind die Voraussetzungen hierfür jedoch recht streng. Erforderlich ist z.B., dass eine dringende Gefahr besteht für Leib, Leben oder Freiheit einer Person. Zur Aufklärung eines Betäubungsmitteldelikts wäre der Einsatz unzulässig.

Neben der vollwertigen Online-Dursuchung gibt es noch die Quellen-Telekommunikationsüberwachung, kurz Quellen-TKÜ. Hierbei wird ebenfalls in den Rechner eingedrungen. Allerdings wird nicht der Inhalt der Festplatte durchsucht, sondern es werden “nur” Kommunikationsinhalte mitgeschnitten – und zwar entweder bevor sie verschlüsselt den Rechner verlassen, oder nachdem sie auf dem Rechner angekommen und entschlüsselt wurden. Vereinfacht kann man sich vorstellen, der Trojaner (denn darum handelt es sich letztlich) würde die Signale am Mikrofon und an den Lautsprechern abschalten. Auch mit dieser Problematik hat sich das Bundesverfassungsgericht in der Entscheidung befasst. Es ist zu dem Schluss gekommen, dass eine Quellen-TKÜ nur dann ohne gesonderte Rechtsgrundlage möglich ist, wenn technisch sichergestellt ist, dass ausschließlich Kommunikationsinhalte erfasst werden können, nicht etwa – um beim Mikrofon-Beispiel zu bleiben – auch das Gespräch im Raum, das gar nicht für die Übertragung im Internet vorgesehen war. In diesem Fall sollen nach einer weit verbreiteten Ansicht §§ 100a, 100b StPO ausreichend sein. Gleichwohl gibt es mit § 20l BKAG oder dem vor wenigen Tagen in Kraft getretenen Bestimmungen in Rheinland-Pfalz auch explizite gesetzliche Regelungen hierzu. In Bayern fehlt eine Landesregelung bislang.

Das LKA hatte geschildert, dass sie einen modifizierten Skype-Client auf dem Rechner des Beschuldigten installiert hatten. Auf diese Weise ist sichergestellt, dass nur Kommunikationsinhalte, nämlich die mit Skype übertragenen VoIP-Informationen und Messages, abgefangen werden können, nicht auch sonstige Inhalte. Insoweit war die Entscheidung des LG also ganz richtig.

Die Screenshot-Funktion geht jedoch über das reine Abgreifen von verschlüsselten Telekommunikationsinhalten weit hinaus. Vielmehr – so führt das LG ganz richtig aus – erfasst sie Inhalte, die vor dem eigentlichen Telekommunikationsvorgang entstehen und möglicherweise so niemals den Rechner verlassen werden. Schließlich kann man eine E-Mail bis zum Abschicken noch beliebig verändern – oder sie sogar wieder ganz löschen. Hätte das LKA also eine derartige Screenshot-Funktionalität haben wollen, so wäre dies nur im Rahmen einer Online-Durchsuchung möglich gewesen, weil damit in das nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG geschützte “Recht auf Vertraulichkeit und Integrität informationstechnischer Systeme” (vulgo: “Computergrundrecht”) eingegriffen wird. Zur Aufklärung von BtMG-Delikten ist das aber wie dargestellt nicht möglich.

Die Entscheidung des LG ist daher zu begrüßen. Verwunderlich ist allerdings, wie das LKA Bayern, das immerhin bereits seit mehreren Jahren über ein Kompetenzzentrum zur Telekommunikationsüberwachung verfügt, überhaupt auf die Idee kommen kann, eine derartige Maßnahme, die immerhin für jeden Einzelfall programmiert bzw. angepasst werden muss, einzusetzen. Auch dass ein Ermittlungsrichter den Vollzug der Maßnahme nicht sofort als rechtswidrig erkennt, sondern damit erst die nächste Instanz befasst werden muss, lässt für die nähere Zukunft nichts Gutes erwarten. Immerhin ist die Diskussion um die Online-Durchsuchung und die Einführung (und speziell in Bayern: anschließende Anpassung) von landesrechtlichen Vorschriften in diesem Bereich mit derart großen Presseberichten begleitet worden, dass niemand ernsthaft behaupten könnte, nicht ausreichend für die Problematik sensibilisiert gewesen zu sein.

Keine Online-Durchsuchungen

Dienstag, 1. Juni 2010

Seit das BKA mit der Reform des BKAG die Berechtigung erhielt, Online-Durchsuchungen durchzuführen, ist die Behörde offenbar nur sehr zögerlich bereit, sie auch in der Praxis einzusetzen, berichtet Heise unter Berufung auf einen Artikel des Berliner Tagesspiegel: Bislang sei keine einzige Online-Durchsuchung durchgeführt worden. Zwar sei die Behörde hierzu in der Lage, das Gesetz sehe aber vor, dass Online-Durchsuchungen nur als ultima ratio eingesetzt werden dürften. Bislang sei dieser Fall noch nicht eingetreten. Auch das Bundesamt für Verfassungsschutz hat bislang noch keine Online-Durchsuchungen durchgeführt.

Ungewiss ist hingegen, wie die Polizeibehörden in den Ländern bislang verfahren sind. In einigen Landespolizeigesetzen ist ebenfalls eine Befugnis zur Online-Durchsuchung verankert, zum Teil sogar mit weitreichenderen Befugnissen als für die Bundesbehörde. Auch über die Aktivitäten der Landesämter für Verfassungsschutz ist nichts Näheres bekannt. Lediglich der Bundesnachrichtendienst soll intensiv vom Werkzeug Gebrauch machen: Mindestens 2.500 Mal sei die Software dort zum Einsatz gekommen, berichtete letztes Jahr der Spiegel.

Dis Kosten für den Online-Trojaner sollen nach bestätigen Angaben bis jetzt ca. 700.000 EUR betragen. Davon entfallen jedoch 581.000 EUR auf Personalkosten.

Beweise aus der Wolke

Donnerstag, 29. April 2010

Auch in den USA machen sich die Unterschiede zwischen online abgelegten Beweisen und solchen, die sich lokal auf einem Computer befinden bemerkbar. Nach einem Bericht von Wired ist nach dem Stored Communications Act lediglich ein begründeter Anfangsverdacht (“reasonable grounds”) notwendig, um auf online abgelegte Daten zugreifen zu können. Soll hingegen die Festplatte eines Verdächtigen untersucht werden, so sind hierfür die gleichen Voraussetzungen wie bei einer Durchsuchung einschlägig, d.h. ein hinreichender Tatverdacht muss bestehen (“probable cause”). Weitere Unterschiede zeigen sich bei der Information über die Maßnahme: Während eine Hausdurchsuchung beinahe zwangsläufig wahrgenommen wird, können Behörden einen Zugriff auf online verfügbare Materialien durchführen, ohne dass der Betreffende etwas davon merkt.

Diesen feinen Unterschied mussten zwei Spammer am eigenen Leib erfahren, die ihre Dokumente bei Google Docs abgelegt hatten. Zwar hatte das FBI den juristisch aufwändigeren Weg gewählt und einen Durchsuchungsbeschluss erwirkt. Statt einer Hausdurchsuchung erfolgte aber lediglich Google die Aufforderung, E-Mails und “alle Google Apps Inhalte” herauszugeben, was 10 Tage später auch geschah. Aus den Dokumenten soll sich ergeben, dass über 3 Millionen E-Mail-Adressen mit unverlangten Werbe-E-Mails beschickt worden sind. Hierfür wurden 8.000 unterschiedliche E-Mail-Adressen eingesetzt, die bei Yahoo unter falscher Identität angelegt worden waren.

Eine Information von Google, dass ein staatlicher Zugriff auf die Datenbestände erfolgt ist, hat nach Aussage des Betroffenen auch acht Monate später nicht stattgefunden. Offiziell betont Google seine Policy nach der der Konzern Betroffene informieren will, wann immer dies möglich ist ohne die Ermittlungen zu gefährden.