RA Koll @Twitter

Mit Blick auf #NSU: ist es an der Zeit für eine Islamistenquote beim #Verfassungsschutz ? Bisher gibt's ja anscheinend nur einen ...

Vor etwa 5 Tagen von RA Thomas Kolls Twitter · Antworten · Retweeten · Favorisieren

Remote Control System (RCS) “Galileo” – Neuer Staatstrojaner für Handy’s

Sicherheitsspezialist Kaspersky warnt vor einem neuen Smartphone-(Staats-)Trojaner mit dem Namen "Galileo", der von Geheimdiensten und Strafverfolgungsbehörden eingesetzt wird. Die Spionagesoftware lässt sich auf iPhones (mit Jailbreak) und Android-Handys sowie WindowsMobile und Blackberry gleichermassen einsetzen.

Der Staatstrojaner wird den Berichten von Kaspersky zufolge von Ländern in der ganzen Welt verwendet und wurde in der Vergangenheit bereits gegen  Menschenrechtler, Politiker und Journalisten eingesetzt. Der Betrieb erfolgt über ein Netzwerk weltweit verteilter Kommandoserver in den USA, Kasachstan, Ecuador, England und Kanada. Insgesamt sollen es mehrere hundert Server in über 40 Ländern sein.

 

Er ermöglicht die Ortung des Handys, kann Fotos aufnehmen und versendet Informationen über die im Handy genutzte SIM- Karte. "Galileo" kann die gesamte Kommunikation (WhatsApp, Viber, Skype und SMS), die über ein Smartphone läuft, abfangen, und das Gerät sogar zur mobilen Wanze machen. Ja sogar Telefonate kann die RCS des Herstellers ”HackingTeam” abhören.

 

Heise bezeichnet den Funktionsumfang als “erschreckend”. Eine informative Grafik von Spiegel Online zeigt, welche Staaten Software des Herstellers HackingTeam und damit möglicherweise auch das Tool einsetzen.

Datenschutz – IT/Forensik – Compliance: ein magisches Dreieck?

In der Fortbildungsreihe Update! – Bundesdatenschutzgesetz findet am 23.09.2013, 09:00-17:00 Uhr, eine Fachtagung im Dorint Pallas Hotel in Wiesbaden statt.

Datenklau, Sabotage, Spionage: alles Horrorvisionen für Unternehmen,die gerade in ihrer IT verwundbar sind. Doch was tun, um im Rahmen der Vorsorge oder bei ersten Anzeichen von Pannen schnell und richtig zu reagieren? Gefragt sind hier auch Datenschutzbeauftragte, IT-Forensiker und Compliance-Beauftragte. Die Tagung dient dazu, deren Möglichkeiten und Zusammenspiel auf der Basis neuester technischer Erkenntnisse und datenschutzrechtlicher Grenzen zu beleuchten. Top-Referenten zeigen praktische Lösungen auf.

Die Tagung wird durchgeführt in Kooperation mit dem Bundesverband mittelständischer Wirtschaft e.V..

 

Interessierte finden weitere Informationen auf der Homepage des Veranstalters. Die Tagung kann nach Auskunft des Veranstalters  nach § 15 FAO für Fachanwälte Informationstechnologierecht und Fachanwälte Strafrecht anerkannt werden.

Cybercrime – Polizei mag keine Datenschützer, Bürgerrechtler und Privatermittler

Am 19. und 20. Februar 2013 tagt in Berlin der 16. Europäische Polizeikongress zum Thema “Schutz und Sicherheit im digitalen Raum”. Die Schwerpunktsetzung auf das Thema Cybercrime begrüßt auch die Gewerkschaft der Polizei (GdP). Dabei scheint die Polizei jedoch gerne unter sich zu bleiben, wie heise online meldet. Namentlich die Piratenpartei kritisiert den Polizeikongress als “Eliteveranstaltung von Sicherheitsideologen”.

Interessant fand ich in diesem Zusammenhang, dass die Teilnahmegeühr – laut Aussage der Piratenpartei – bei 895 Euro pro Teilnehmer liegen soll. Ein stolzer Preis, selbst Anwaltskongresse gibt es häufig preiswerter! Dies war mein erster Gedanke. Welcher Polizeibeamte zahlt für eine Tagungsteilnahme solche Summen? Mein zweiter Gedanke. Ok, wenn überhaupt, dann zahlt es ja vermutlich der Dienstherr. Mein dritter Gedanke.

Bei diesen Preisen wundere ich mich auch nicht, dass die Polizei, laut Aussage des GdP-Vorsitzenden Witthaut, mehr Technik, Ausbildung und Personal zur Bekämpfung der “digitalen Kriminalität” braucht. Mein Tipp: An Seminarbeiträgen sparen, dann bleibt noch was übrig im Haushalt zur Verbrechensbekämpfung ;-).

 

Ein Wort auch an die Kritiker: Eine Veranstaltung, die “Polizeikongress” heisst, lässt es doch eigentlich erahnen: Die Veranstaltung ist für Polizisten gedacht, nicht für Bürgerrechtler und Datenschützer oder Privatermittler. An dieser Stelle fallen mir spontan Polizeibeamte ein, die als Referenten (oder aus Interesse) auf Strafverteidigerkongressen erscheinen. Spontane Freundschaftsbekundungen der Strafverteidiger bleiben dann oft die Ausnahme. Man ist halt gern “unter sich”. Schade!

Hackerattacken auf amerikanische Presse bedrohen die nationale Sicherheit der USA – Wenn aus Cybercrime Cyberwar wird …

Wie die FAZ und die Sueddeutsche Zeitung heute berichten, klagen die New York Times und auch das Wall Street Journal über Hacker-Attacken aus China. Von dort aus würde durch die Angriffe versucht, auf die Berichterstattung der Zeitungen Einfluß zu nehmen, oder diese zumindest zu überwachen. Der Angriff auf die NYT soll möglicherweise Verbindungen zum chinesischen Militär aufweisen. Die VR China soll dies dementiert haben.

 

Nach Aussage der SZ erklärte US-Außenministerin Hillary Clinton, die US-Regierung beobachte eine Zunahme von Hackerattacken sowohl auf staatliche Einrichtungen wie auf Privatunternehmen. Gleichzeitig soll die Außenministerin sich ein internationales Forum gewünscht haben, welches Antworten auf "diese Art illegalen Eindringens" sucht.

 

Antworten auf solche Fragen findet seit Anfang des Jahres innerhalb der EU das Europäische Zentrum zur Bekämpfung der Cyberkriminalität (EC3).

 

Zwar sollen sich die Ermittler dort auf organisierte Kriminalität im Cyberspace konzentrieren. Daneben sollen sich die Cyber-Cops jedoch auch mit Attacken auf “kritische Infrastrukturen und Informationssysteme” befassen.Dazu gehört auch die Analyse und Bewertung möglicher Bedrohungslagen, um diese früh erkennen und bekämpfen zu können. Organisatorisch ist das Zentrum an Europol angegliedert, also an eine Polizeibehörde.

 

Kritische Infrastrukturen und Informationssysteme, das sind jedoch vor allen Anderen die der Nationalstaaten bzw. die der EU.

 

Wie die heutigen Meldungen aus den USA zeigen, ist die Unterscheidung, ob es sich bei Hackerangriffen um eine Frage der Inneren Sicherheit (Kriminalitätsbekämpfung) oder um eine Frage der “nationalen Sicherheit” handelt, kaum trennbar. Greift das Militär an, kann man sicherlich kaum mehr von “Kriminalität” sprechen.

 

Rechtlich interessant wird die von der amerikanischen Außenministerin aufgeworfene Frage also spätestens dann, falls sich EC3 in Zukunft ebenfalls mit Hackerattacken aus China, die Verbindungen zum Militär aufweisen, beschäftigen müsste. Wird dann die NATO zuständig?

Was Hacker alles können … Herzstillstand und Erpressung

Gestern Abend bin ich auf einen sehr interessanten und kurzweiligen Artikel in der WELT gestoßen:

 

Wenn ein Hacker die Kontrolle über dich übernimmt – Die fiktive Geschichte eines arglosen Ingenieurs, eines geschickten Hackers und einer genialen Idee.”

 

Die Autoren Benedikt Fuest, Thomas Jüngling und Thomas Heuzeroth stellen in ihrer Kurzgeschichte dar, was ein Hacker theoretisch – aber auch praktisch – heute machen könnte, wie ein Einzelner Ziel cyber-krimineller Machenschaften werden kann. Dabei ist die Geschichte immer wieder unterbrochen von Einschüben, in denen die Autoren die tatsächlichen Hintergründe ihrer fiktiven Story über Wirtschaftsspionage allgemein verständlich erläutern.

 

Der Protagonist der Geschichte wird von einem Hacker ausspioniert, erpresst und zudem mit seiner Ermordung bedroht, alles über das Internet, alles online aus der Ferne …

 

Klare Leseempfehlung!

Rechtsanwalt Thomas Koll ist umgezogen

Zum Jahreswechsel haben der Kollege Tamrzadeh und ich die bestehende Bürogemeinschaft verlassen. Wir freuen uns, Sie seit dem 17. Dezember 2012 in unseren neuen Räumen der ehemaligen Sparkasse in der

 

                              Oppenhoffallee 3/5, in 52066 Aachen,

 

willkommen zu heißen. Telefon- und Telefaxnummern sind gleich geblieben. Unsere neue email-Adresse lautet info@koll-tamrzadeh.de. Die Internetseite www.koll-tamrzadeh.de befindet sich noch im Aufbau.

 

Bei der Wahl unserer neuen Büroräume haben wir unter anderem die örtliche Verankerung der Kanzlei nicht aus den Augen verloren. Weiterhin ist uns traditionell die Gerichtsnähe sehr wichtig sowie Büroräume, die auf Grund ihrer besonderen Eigenschaften ein effektives Arbeiten ermöglichen. All dies haben wir 50 Meter neben den bisherigen Büroräumen gefunden.

 

Das über die Jahre gewachsene Netzwerk von spezialisierten Kollegen bleibt natürlich bestehen.

SMS Absender – Fälschung kein Problem beim iPhone

Kürzlich wurde eine Sicherheitslücke im SMS-Protokoll von iOS bekannt, wonach die Angabe einer gefälschten Absenderkennung beim iPhone problemlos möglich ist.

Wie ein Hacker herausgefunden hat, ist es möglich, den Header einer SMS derart zu manipulieren, dass dort statt der eigentlichen Absenderadresse (also der Rufnummer) eine beliebige Antwortadresse eingetragen werden kann. Antwortet der Empfänger der SMS-Nachricht auf die SMS, so geht die Antwort an den gefälschten Absender.

Sicherheitstechnisch ist dies bereits deswegen bedenklich, da so beispielsweise Identitätstäuschungen dazu verwendet werden können, arglose Benutzer zur Übersendung vertraulicher Daten an Kriminelle zu veranlassen.

Die Möglichkeit der Manipulation des SMS-Headers besteht bei allen iOS-Versionen, sie ist sogar noch in einer aktuellen Beta-Version von iOS 6 vorhanden. Apple hat diesbezüglich verlauten lassen es handele sich nicht um ein Problem unmittelbar beim iPhone, sondern des SMS-Protokolls insgesamt. Die sichtbare Absenderadresse auszutauschen sei auch bei vielen Smartphones anderer Hersteller möglich. Von daher verweist Apple auf den eigenen iMessage-Dienst, da bei diesem derartige Attacken unmöglich seien. Dies wird damit begründet, dass iMessage über eine integrierte Verifizierungsfunktion verfüge, die den Absender einer Nachricht zweifelsfrei identifiziere.

 

Apple hat insofern Recht, als dass es auch bisher schon problemlos möglich war, über SMS-Dienste im Internet SMS mit einer gefälschten Absenderrufnummer zu erstellen und zu versenden. So kann man auf dem Internetportal www.fakemysms.com entsprechende Nachrichten erstellen. Wie (kinder)leicht das geht, zeigt dieses YouTube-Video:

Strafverteidiger und CCC lehnen Beschlüsse des Deutschen Juristentages zur Strafverfolgung im Internet ab

Die auf dem diesjährigen DJT in München gefassten Beschlüsse aus der Abteilung Strafrecht sind bereits letzte Woche zu Recht kritisiert worden, so z.B. im Blog des Kollegen Hoenig.

 

In seinem Beitrag hat der Kollege zu Recht darauf hingewiesen, dass es unter Juristen “solche und solche” gibt und folgende Vermutung geäußert:

 

Strafverteidiger, also eine Untergruppe der Rechtsanwälte, die die Rechte des (einzelnen) Bürgers gegenüber dem Staatsapparat vertreten, sind mit großer Wahrscheinlichkeit nicht in der Mehrzahl an solchen Entscheidungen beteiligt.

Recht hat er! Das Organisationsbüro der Strafverteidigervereinigungen, der Republikanische Anwältinnen- und Anwälteverein (RAV) und der Chaos Computer Club (CCC) lehnen daher die Vorschläge des Deutschen Juristentages zur Strafverfolgung im Internet in einer gemeinsamen Presseerklärung ab.

 

Dort heisst es unter anderem:

 

… Die Freiheit, unbeobachtet zu kommunizieren, muss daher in Zukunft besser geschützt und nicht etwa abgebaut werden. …

Wissenschaftliche Untersuchungen in jüngerer Zeit stellen den Nutzen beispielsweise der Vorratsdatenspeicherung bei der Bekämpfung von Terrorismus und schweren Straftaten ohnehin in Frage. Erst dieser Tage musste der Bundesdatenschutzbeauftragte erneut darauf hinweisen, dass Telekommunikationsunternehmen weiterhin in großem Umfang persönliche Daten von Kunden speicherten, die weit über das hinausgehen, was zur Abrechnung der Verbindungen erforderlich und zulässig wäre. …

Quelle: http://blog.strafverteidigervereinigungen.org/?p=155

Dem ist nichts hinzuzufügen. Weiterhin muss erwähnt werden, dass sich der Deutsche Anwaltverein laut Meldung von WinFuture bereits auf dem DJT gegen die Beschlüsse ausgesprochen hatte.

Pressemeldung BGH – Alles kann besser werden

Bundesgerichtshof zum Auskunftsanspruch gegen Internet-Provider über Nutzer von IP-Adressen Der u.a. für das Urheberrecht zuständige I. Zivilsenat des Bundesgerichtshofs hat entschieden, dass ein Internet-Provider dem Rechtsinhaber in aller Regel den Namen und die Anschrift derjenigen Nutzer einer IP-Adresse mitteilen muss, die ein urheberrechtlich geschütztes Musikstück offensichtlich unberechtigt in eine Online-Tauschbörse eingestellt haben.

Die Antragstellerin ist ein Musikvertriebsunternehmen. Die Naidoo Records GmbH hat ihr das ausschließliche Recht eingeräumt, die Tonaufnahmen des Musikalbums von Xavier Naidoo „Alles kann besser werden“ über Online-Tauschbörsen auszuwerten. Ein von der Antragstellerin beauftragtes Unternehmen ermittelte IP-Adressen, die Personen zugewiesen waren, die den Titel „Bitte hör nicht auf zu träumen“ des Albums „Alles kann besser werden“ im September 2011 über eine Online-Tauschbörse offensichtlich unberechtigt anderen Personen zum Herunterladen angeboten hatten. Die jeweiligen (dynamischen) IP-Adressen waren den Nutzern von der Deutschen Telekom AG als Internet-Provider zugewiesen worden.

Die Antragstellerin hat gemäß § 101 Abs. 9 UrhG in Verbindung mit § 101 Abs. 2 Satz 1 Nr. 3 UrhG beantragt, der Deutschen Telekom AG zu gestatten, ihr unter Verwendung von Verkehrsdaten im Sinne des § 3 Nr. 30 TKG über den Namen und die Anschrift derjenigen Nutzer Auskunft zu erteilen, denen die genannten IP-Adressen zu den jeweiligen Zeitpunkten zugewiesen waren.

Das Landgericht Köln hat den Antrag abgelehnt. Die Beschwerde ist ohne Erfolg geblieben. Das Oberlandesgericht Köln hat angenommen, die begehrte Anordnung setze eine Rechtsverletzung in gewerblichem Ausmaß voraus, die hinsichtlich des Musiktitels „Bitte hör nicht auf zu träumen“ nicht gegeben sei.

Der Bundesgerichtshof hat die Entscheidungen der Vorinstanzen aufgehoben und dem Antrag stattgegeben. Der in Fällen offensichtlicher Rechtsverletzung (im Streitfall das offensichtlich unberechtigte Einstellen des Musikstücks in eine Online-Tauschbörse) gegebene Anspruch des Rechtsinhabers aus § 101 Abs. 2 Satz 1 Nr. 3 UrhG auf Auskunft gegen eine Person, die in gewerblichem Ausmaß für rechtsverletzende Tätigkeiten genutzte Dienstleistungen erbracht hat (im Streitfall die Deutsche Telekom AG als Internet-Provider), setzt – so der Bundesgerichtshof – nicht voraus, dass die rechtsverletzende Tätigkeit das Urheberrecht oder ein anderes nach dem Urheberrechtsgesetz geschütztes Recht in gewerblichem Ausmaß verletzt hat. Aus dem Wortlaut der Bestimmung und der Systematik des Gesetzes ergibt sich eine solche Voraussetzung nicht. Sie widerspräche auch dem Ziel des Gesetzes, Rechtsverletzungen im Internet wirksam zu bekämpfen. Dem Rechtsinhaber, stehen Ansprüche auf Unterlassung und Schadensersatz nicht nur gegen einen im gewerblichen Ausmaß handelnden Verletzer, sondern gegen jeden Verletzer zu. Er wäre faktisch schutzlos gestellt, soweit er bei Rechtsverletzungen, die kein gewerbliches Ausmaß aufweisen, keine Auskunft über den Namen und die Anschrift der Verletzer erhielte. In den Fällen, in denen – wie im Streitfall – ein Auskunftsanspruch nach § 101 Abs. 2 Satz 1 Nr. 3 UrhG besteht, hat das Gericht dem Dienstleister auf dessen Antrag nach § 101 Abs. 9 Satz 1 UrhG zu gestatten, die Auskunft über den Namen und die Anschrift der Nutzer, denen zu bestimmten Zeitpunkten bestimmte IP-Adressen zugewiesen waren, unter Verwendung von Verkehrsdaten zu erteilen. Ein solcher Antrag setzt – so der Bundesgerichtshof – gleichfalls kein gewerbliches Ausmaß der Rechtsverletzung voraus, sondern ist unter Abwägung der betroffenen Rechte des Rechtsinhabers, des Auskunftspflichtigen und der Nutzer sowie unter Berücksichtigung des Grundsatzes der Verhältnismäßigkeit in aller Regel ohne weiteres begründet.

Beschluss vom 19. April 2012 – I ZB 80/11 – Alles kann besser werden

LG Köln – Beschluss vom 29. September 2011 – 213 O 337/11

OLG Köln – Beschluss vom 2. November 2011 – 6 W 237/11

Karlsruhe, den 10. August 2012

Pressestelle des Bundesgerichtshofs 76125 Karlsruhe Telefon (0721) 159-5013 Telefax (0721) 159-5501

Vier Augen sehen mehr als zwei – Beweissicherung im Rahmen computerforensischer Ermittlungen

Das “Vier-Augen-Prinzip”

 

Das “Vier-Augen-Prinzip” (engl. “two-man-rule) in der IT-Forensik ist nichts anderes als eine Form des althergebrachten Mehraugenprinzips, welches in allen Bereichen einer Gesellschaft der Kontrolle und Absicherung von Entscheidungen oder Tätigkeiten dient. Ziel solcher Maßnahmen ist immer, das Risiko von Fehlern und auch von Mißbrauch eingeräumter Kompetenzen zu vermeiden.

 

In der IT-Forensik, also beim Auswerten von digitalen Beweisen, ist das “Vier-Augen-Prinzip” ein wichtiger Bestandteil jeder Ermittlunsmaßnahme. So schreibt auch das BSI in seinen IT-Grundschutz-Katalogen an mehrere Stellen die Vorgehensweise im Vier-Augen-Prinzip vor. Insbesonders im Maßnahmenkatalog M 6 “Notfallvorsorge” ist hinsichtlich einer computer- oder auch digital-forensischen Ermittlung geregelt, dass besonders in der Secure-Phase des SAP-Modells, also im Rahmen der Beweissicherung, wie folgt vorgegangen wird:

 

 

In dieser Phase wird durch geeignete Methoden der Grundstein gelegt, dass die gesammelten Informationen in einer eventuell späteren juristischen Würdigung ihre Beweiskraft nicht verlieren. Auch wenn in dieser sehr frühen Ermittlungsphase oft noch nicht richtig klar ist, ob eine juristische Klärung angestrebt wird, sollte trotzdem das Beweismaterial gerichtsfest sein. Aus diesem Grund müssen alle Tätigkeiten sorgfältig dokumentiert und protokolliert werden. Die gesammelten Daten müssen auch frühzeitig vor versehentlicher oder gar beabsichtigter Manipulation geschützt werden. Von entsprechenden Hash-Verfahren und dem Vier-Augen-Prinzip ist daher ausgiebig Gebrauch zu machen.

https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/m/m06/m06126.html

Ähnlich wie bei der Chain-of-Custody dient das Vier-Augen-Prinzip in der IT-Forensik der Qualitätssicherung der erhobenen Beweise. Wie bei der Chain-of-Custody ist jedoch auch hier im deutschen Strafprozess das Problem, dass die freie Beweiswürdigung (§ 261 StPO) des Richters diesem (leider) nicht verbietet, auch solche digitalforensischen Beweise in einem Strafprozeß zu verwerten, die nicht unter Einhaltung des Vier-Augen-Prinzips zustande gekommen sind.

 

Die Grundproblematik, nämlich dass sich deutsche Gerichte keine Beweisregeln aufzwängen lassen wollen, wird besonders deutlich in einer aktuellen Entscheidung zum Verkehrsrecht, die das OLG Hamm (Beschl. v. 19.07.2012 – III 3 RBs 66/12) getroffen hat. Dort heisst es:

 

… Auch in materiell-rechtlicher Hinsicht existiert keine Regelung, die ein „Vier-Augen-Prinzip“ in dem von der Verteidigung geforderten Sinne beinhaltet. Eine entspre­chende materiellrechtliche Regelung käme einer Vorgabe gleich, unter welchen   Vo­raussetzungen der Tatrichter eine Tatsache (hier die Höhe des von dem Messgerät angezeigten Messwertes) für bewiesen halten darf, und enthielte damit eine Beweis­regel. Dem Grundsatz der freien Beweiswürdigung sind Beweisregeln indessen fremd (Meyer-Goßner, StPO, 54. Aufl. [2011], § 261 Rdnr. 11 m. w. N.). Die Frage, welchen Messwert das Messgerät angezeigt hat, betrifft vielmehr allein die tatrichter­liche Beweiswürdigung im Einzelfall …

 

Kritik erfährt diese Entscheidung – unter dem Gesichtspunkt der Lasermessung im Straßenverkehr – auch bei den Kollegen Burhoff und Vetter. Insbesonders die Kommentare beim Kollegen Vetter beweisen, dass das Fehlen von Beweisregeln im deutschen Strafprozeß bei den Bürgern dieses Landes auf völliges Unverständnis stößt.