Pressemeldung BGH – Alles kann besser werden

Bundesgerichtshof zum Auskunftsanspruch gegen
Internet-Provider über Nutzer von IP-Adressen
Der u.a. für das Urheberrecht zuständige I. Zivilsenat des Bundesgerichtshofs hat entschieden, dass ein Internet-Provider dem Rechtsinhaber in aller Regel den Namen und die Anschrift derjenigen Nutzer einer IP-Adresse mitteilen muss, die ein urheberrechtlich geschütztes Musikstück offensichtlich unberechtigt in eine Online-Tauschbörse eingestellt haben.

Die Antragstellerin ist ein Musikvertriebsunternehmen. Die Naidoo Records GmbH hat ihr das ausschließliche Recht eingeräumt, die Tonaufnahmen des Musikalbums von Xavier Naidoo „Alles kann besser werden“ über Online-Tauschbörsen auszuwerten. Ein von der Antragstellerin beauftragtes Unternehmen ermittelte IP-Adressen, die Personen zugewiesen waren, die den Titel „Bitte hör nicht auf zu träumen“ des Albums „Alles kann besser werden“ im September 2011 über eine Online-Tauschbörse offensichtlich unberechtigt anderen Personen zum Herunterladen angeboten hatten. Die jeweiligen (dynamischen) IP-Adressen waren den Nutzern von der Deutschen Telekom AG als Internet-Provider zugewiesen worden.

Die Antragstellerin hat gemäß § 101 Abs. 9 UrhG in Verbindung mit § 101 Abs. 2 Satz 1 Nr. 3 UrhG beantragt, der Deutschen Telekom AG zu gestatten, ihr unter Verwendung von Verkehrsdaten im Sinne des § 3 Nr. 30 TKG über den Namen und die Anschrift derjenigen Nutzer Auskunft zu erteilen, denen die genannten IP-Adressen zu den jeweiligen Zeitpunkten zugewiesen waren.

Das Landgericht Köln hat den Antrag abgelehnt. Die Beschwerde ist ohne Erfolg geblieben. Das Oberlandesgericht Köln hat angenommen, die begehrte Anordnung setze eine Rechtsverletzung in gewerblichem Ausmaß voraus, die hinsichtlich des Musiktitels „Bitte hör nicht auf zu träumen“ nicht gegeben sei.

Der Bundesgerichtshof hat die Entscheidungen der Vorinstanzen aufgehoben und dem Antrag stattgegeben. Der in Fällen offensichtlicher Rechtsverletzung (im Streitfall das offensichtlich unberechtigte Einstellen des Musikstücks in eine Online-Tauschbörse) gegebene Anspruch des Rechtsinhabers aus § 101 Abs. 2 Satz 1 Nr. 3 UrhG auf Auskunft gegen eine Person, die in gewerblichem Ausmaß für rechtsverletzende Tätigkeiten genutzte Dienstleistungen erbracht hat (im Streitfall die Deutsche Telekom AG als Internet-Provider), setzt – so der Bundesgerichtshof – nicht voraus, dass die rechtsverletzende Tätigkeit das Urheberrecht oder ein anderes nach dem Urheberrechtsgesetz geschütztes Recht in gewerblichem Ausmaß verletzt hat. Aus dem Wortlaut der Bestimmung und der Systematik des Gesetzes ergibt sich eine solche Voraussetzung nicht. Sie widerspräche auch dem Ziel des Gesetzes, Rechtsverletzungen im Internet wirksam zu bekämpfen. Dem Rechtsinhaber, stehen Ansprüche auf Unterlassung und Schadensersatz nicht nur gegen einen im gewerblichen Ausmaß handelnden Verletzer, sondern gegen jeden Verletzer zu. Er wäre faktisch schutzlos gestellt, soweit er bei Rechtsverletzungen, die kein gewerbliches Ausmaß aufweisen, keine Auskunft über den Namen und die Anschrift der Verletzer erhielte. In den Fällen, in denen – wie im Streitfall – ein Auskunftsanspruch nach § 101 Abs. 2 Satz 1 Nr. 3 UrhG besteht, hat das Gericht dem Dienstleister auf dessen Antrag nach § 101 Abs. 9 Satz 1 UrhG zu gestatten, die Auskunft über den Namen und die Anschrift der Nutzer, denen zu bestimmten Zeitpunkten bestimmte IP-Adressen zugewiesen waren, unter Verwendung von Verkehrsdaten zu erteilen. Ein solcher Antrag setzt – so der Bundesgerichtshof – gleichfalls kein gewerbliches Ausmaß der Rechtsverletzung voraus, sondern ist unter Abwägung der betroffenen Rechte des Rechtsinhabers, des Auskunftspflichtigen und der Nutzer sowie unter Berücksichtigung des Grundsatzes der Verhältnismäßigkeit in aller Regel ohne weiteres begründet.

Beschluss vom 19. April 2012 – I ZB 80/11 – Alles kann besser werden

LG Köln – Beschluss vom 29. September 2011 – 213 O 337/11

OLG Köln – Beschluss vom 2. November 2011 – 6 W 237/11

Karlsruhe, den 10. August 2012

Pressestelle des Bundesgerichtshofs
76125 Karlsruhe
Telefon (0721) 159-5013
Telefax (0721) 159-5501

Vier Augen sehen mehr als zwei – Beweissicherung im Rahmen computerforensischer Ermittlungen

Das “Vier-Augen-Prinzip”

 

Das “Vier-Augen-Prinzip” (engl. “two-man-rule) in der IT-Forensik ist nichts anderes als eine Form des althergebrachten Mehraugenprinzips, welches in allen Bereichen einer Gesellschaft der Kontrolle und Absicherung von Entscheidungen oder Tätigkeiten dient. Ziel solcher Maßnahmen ist immer, das Risiko von Fehlern und auch von Mißbrauch eingeräumter Kompetenzen zu vermeiden.

 

In der IT-Forensik, also beim Auswerten von digitalen Beweisen, ist das “Vier-Augen-Prinzip” ein wichtiger Bestandteil jeder Ermittlunsmaßnahme. So schreibt auch das BSI in seinen IT-Grundschutz-Katalogen an mehrere Stellen die Vorgehensweise im Vier-Augen-Prinzip vor. Insbesonders im Maßnahmenkatalog M 6 “Notfallvorsorge” ist hinsichtlich einer computer- oder auch digital-forensischen Ermittlung geregelt, dass besonders in der Secure-Phase des SAP-Modells, also im Rahmen der Beweissicherung, wie folgt vorgegangen wird:

 

 

In dieser Phase wird durch geeignete Methoden der Grundstein gelegt, dass die gesammelten Informationen in einer eventuell späteren juristischen Würdigung ihre Beweiskraft nicht verlieren. Auch wenn in dieser sehr frühen Ermittlungsphase oft noch nicht richtig klar ist, ob eine juristische Klärung angestrebt wird, sollte trotzdem das Beweismaterial gerichtsfest sein. Aus diesem Grund müssen alle Tätigkeiten sorgfältig dokumentiert und protokolliert werden. Die gesammelten Daten müssen auch frühzeitig vor versehentlicher oder gar beabsichtigter Manipulation geschützt werden. Von entsprechenden Hash-Verfahren und dem Vier-Augen-Prinzip ist daher ausgiebig Gebrauch zu machen.

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m06/m06126.htmlhttps://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/m/m06/m06126.html

Ähnlich wie bei der Chain-of-Custody dient das Vier-Augen-Prinzip in der IT-Forensik der Qualitätssicherung der erhobenen Beweise. Wie bei der Chain-of-Custody ist jedoch auch hier im deutschen Strafprozess das Problem, dass die freie Beweiswürdigung (§ 261 StPO) des Richters diesem (leider) nicht verbietet, auch solche digitalforensischen Beweise in einem Strafprozeß zu verwerten, die nicht unter Einhaltung des Vier-Augen-Prinzips zustande gekommen sind.

 

Die Grundproblematik, nämlich dass sich deutsche Gerichte keine Beweisregeln aufzwängen lassen wollen, wird besonders deutlich in einer aktuellen Entscheidung zum Verkehrsrecht, die das OLG Hamm (Beschl. v. 19.07.2012 – III 3 RBs 66/12) getroffen hat. Dort heisst es:

 

… Auch in materiell-rechtlicher Hinsicht existiert keine Regelung, die ein „Vier-Augen-Prinzip“ in dem von der Verteidigung geforderten Sinne beinhaltet. Eine entspre­chende materiellrechtliche Regelung käme einer Vorgabe gleich, unter welchen   Vo­raussetzungen der Tatrichter eine Tatsache (hier die Höhe des von dem Messgerät angezeigten Messwertes) für bewiesen halten darf, und enthielte damit eine Beweis­regel. Dem Grundsatz der freien Beweiswürdigung sind Beweisregeln indessen fremd (Meyer-Goßner, StPO, 54. Aufl. [2011], § 261 Rdnr. 11 m. w. N.). Die Frage, welchen Messwert das Messgerät angezeigt hat, betrifft vielmehr allein die tatrichter­liche Beweiswürdigung im Einzelfall …

 

Kritik erfährt diese Entscheidung – unter dem Gesichtspunkt der Lasermessung im Straßenverkehr – auch bei den Kollegen Burhoff und Vetter. Insbesonders die Kommentare beim Kollegen Vetter beweisen, dass das Fehlen von Beweisregeln im deutschen Strafprozeß bei den Bürgern dieses Landes auf völliges Unverständnis stößt.

“Chain-of Custody-(CoC) – Was ist das?

Im Bereich der forensischen Wissenschaften stolpert man immer wieder über den Begriff der “Chain of Custody”. Auch im Rahmen der EDV-Beweissicherung/IT-Forensik wird dieser Begriff immer wieder verwendet.

 

Diesbezüglich ist zunächst festzuhalten, dass der Begriff aus dem anglo-amerikanischen Rechtssystem stammt. Chain of Custody bedeutet in etwa “Kette des Gewahrsams” oder “Gewahrsamskette”. Gemeint ist also die Präsentation der einzelnen Beweismittel gegenüber dem Gericht in der Weise, dass die Authentizität (also Echtheit im Sinne von “als Original befunden”) des übermittelten Beweismaterials für das Gericht plausibel wird. Mit anderen Worten, die CoC soll sicherstellen, dass dem Gericht nur der “originale” Beweis präsentiert wird und keinerlei Verfälschung stattgefunden hat in dem z.B. echte Beweismittel “gepflanzt” worden sind oder sogar falsche Beweismittel geschaffen worden sind.

 

Der Gedanke und der dahinter stehende Vorgang ist eigentlich simpel. Die Chain of Custody setzt voraus, dass von dem Zeitpunkt an, in dem ein Beweisstück sichergestellt wird, jede weitere Übermittlung des Beweisstücks von Mensch zu Mensch dokumentiert werden muss. Es muss beweisbar sein, dass niemand (unberechtigt oder auch nur unbemerkt) auf das Beweismittel zugegriffen haben kann und Manipulationen vorgenommen haben könnte.

 

Jede Transaktion, beginnend mit der Sicherstellung der Beweisstücke bis zur endgültigen Vorlage im Gerichtssaal vor Gericht, sollte vollständig und chronologisch dokumentiert werden. Gleichzeitig sollten die Bedingungen und genauen Orte unter denen das Beweismittel gefunden wurde, eingesammelt wurde, verpackt wurde, transportiert, gelagert und eventuell untersucht wurde, dokumentiert werden. Jede Übergabe des Beweismittels an eine andere Person (z.B. PHK A >> KHK B >> Asservatenstelle Polizei >> Asservatenstelle StA >> StA X >> Gerichtswachtmeister Y) muss zudem mit einem Übergapeprotokoll dokumentiert werden, welches von den beteiligten Personen zu unterschreiben ist.

 

Das anglo-amerikanische Recht legt sehr viel Wert auf die Chain-of-Custody. Kann die Gewahrsamskette nicht lückenlos dargelegt werden, weil z.B. Unterschriften auf den Übergabeformularen fehlen oder fehlen solche Protokolle insgesamt, so kann die Verteidigung die Nicht-Zulassung des Beweismittels beantragen.

 

Das deutsche Recht kennt derart strikte Beweisregeln (leider) nicht. Obwohl auch die deutschen Strafverfolgungsbehörden Übergabeprotokolle ausfüllen, wenn Asservate – also Beweismaterial – übergeben werden, so wird der Dokumentation der Chain-of-Custody nur wenig Aufmerksamkeit geschenkt. Regelmäßig fehlen Unterschriften auf den Übergabeprotokollen, die Bezeichnung der Gegenstände ist oft ungenau oder pauschal.   Dieser Umstand ist überaus bedauerlich, da in der Praxis Gerichte die Möglichkeit einer – bewussten oder unbewussten – Beweismittelverfälschung regelmäßig überhaupt nicht in Betracht ziehen. Und selbst wenn die Verteidigung Möglichkeiten einer Verfälschung aufzeigt,  beeindruckt dies die Gerichte im Regelfall nicht. Auch wenn die Gewahrsamskette Lücken aufweist, so kann sich das Gericht im Rahmen freier Beweiswürdigung (§ 261 StPO) dennoch davon überzeugen, dass das Beweismittel authentisch ist, oft mit dem Bemerken, die Verteidigung habe wohl zuviel Fernsehen geschaut oder leide unter paranoiden Vorstellungen. Das Vertrauen der Gerichte in die Ermittlungsbehörden scheint dabei oft grenzenlos. Auch wenn ein Beamter ein paar Unterschriften vergessen hat, wird die Beweissicherung doch schon in Ordnung gewesen sein, schließlich ist der Mann doch Polizeibeamter …

 

Dabei wird natürlich übersehen, dass die Verteidigung selten mehr als die Möglichkeit einer Verfälschung der Beweismittel aufzeigen kann. Zugleich wird der Verteidigung – und damit letztlich dem Angeklagten – auferlegt, den Nachweis für eine Manipulation oder Verfälschung  zu erbringen. Dieser Zustand ist mit dem Verständis eines Rechtsstaates nicht in Einklang zu bringen! Denn wenn eine Möglichkeit der Beweismittelverfälschung – mag sie auch noch so fernliegend sein – überhaupt erst durch unsaubere Dokumentation auf Seite der Ermittlungsbehörden geschaffen wird, dann ist de lege ferenda in solchen Fällen ein (unselbständiges) Beweisverwertungsverbot zu konstituieren. Erst wenn dies der Fall ist, wird Schlamperei der Ermittlungsbehörden wirksam vorgebeugt, das Beweisverwertungsverbot würde gleichzeitig, unmittelbar und wirksam der Qualitätssicherung der Arbeit der Ermittlungsbehörden dienen.

 

Dass eine Qualitätssicherung angebracht ist, da auch Polizeibeamte und Staatsanwälte nicht unfehlbar sind, wird nicht zuletzt an einem pressewirksamen Beispiel in einem der wohl spektakulärsten ungeklärten Mordfälle in der Geschichte der Bundesrepublik deutlich. So titelten die Lübecker Nachrichten am 7.10.2011:

 

Der Umgang der Lübecker Staatsanwaltschaft mit Beweisstücken im Barschel-Fall weitet sich zum Justiz-Skandal aus. Erst ging es nur um ein verschwundenes Haar. Gestern wurde bekannt, dass der Barschel-Chefermittler und ehemalige Leiter der Lübecker Staatsanwaltschaft, Heinrich Wille, eines der Beweisstücke einfach mit zu sich nach Hause genommen hat.

 

http://www.ln-online.de/lokales/luebeck/3256264

Mobile Forensics – Forensik an mobilen Endgeräten

Smartphones, Oganizer und Handys haben rasanten Einzug in unseren Alltag gefunden. Angesichts der Vielzahl von persönlichen Daten des Benutzers, die auf solchen Geräten zu finden sind, wurden diese Geräte für Ermittler im Strafverfahren zu einem äußerst begehrten Beweismittel. „Kennst du sein Smartphone, kennst du den Menschen“ ist eine sicherlich plakative Formulierung mancher Ermittler, schlussendlich jedoch zutreffend.

Mobile Endgeräte wie Handy, Smartphones, iPhone, iPad etc. werden zunächst beschlagnahmt wie sonstige bewegliche Sachen und Gegenstände auch, nach den §§ 94 ff. StPO. Anschließend können diese Gegenstände von IT-Forensikern untersucht werden.

 

Live-Analyse

Zunächst kann der Forensiker ein Gerät, welches noch eingeschaltet ist, im Betrieb durchsehen. Bereits darüber erhält er einen weitgehenden Einblick in Nutzerdaten, z.B. in das Telefonbuch, die Liste der letzten Anrufe, SMS, E-Mails etc. Zudem ermöglicht dieser Zustand des Gerätes den Ermittlern, auch flüchtige Daten (also solche Daten, welche nach Ausschalten des Gerätes gelöscht werden) zu sichern. Da dies ein sehr aufwändiges Verfahren ist und je nach mobilem Endgerät andere Schritte und Techniken erforderlich sind, wird es in der Praxis selten angewandt, nicht zuletzt auch, weil der Zugriff auf das laufende Gerät vom Verdächtigen oft in letzter Minute verhindert wird.

 

Post-mortem-Analyse (Untersuchung eines Speicherabbildes)

Sofern das sichergestellte Endgerät ausgeschaltet ist, kann immer noch der Speicherinhalt untersucht werden. Dabei unterscheidet sich die Untersuchung von mobilen Endgeräten kaum von der Untersuchung von Computerfestplatten.

Zunächst wird ein Speicherabbild erstellt. Dies kann im Vergleich zu normalen Computerfestplatten technisch etwas „kniffliger“ sein. Aufgrund herstellerabhängiger – zumeist proprietärer – Schnittstellen ist zum Teil nur ein logischer Zugriff auf den Handyspeicher möglich. Im Gegensatz dazu werden Festplatten im Regelfall physikalisch abgebildet (d.h. auf der Ebene der einzelnen Bit-Information).

Sobald ein Speicherabbild erstellt wurde, kann dieses vom Forensiker untersucht werden. Bei der Erstellung des Speicherabbildes sind selbstverständlich die allgemeinen Richtlinien und Sorgfaltspflichten im Rahmen der Sicherung von digitialen Beweisen einzuhalten, insbesondere das 4-Augen-Prinzip, die „Chain-of-Custody“ sowie generell die Integrität der gesicherten Daten.

Das einmal erstellte Speicherabbild kann in der Folge beliebig oft als Arbeitskopie vervielfältigt werden, um als Grundlage für diverse Untersuchungen zu dienen. In diesem Stadium läuft der Prozess von Endgerät zu Endgerät äußerst verschieden ab, was an den unterschiedlichen Betriebssystemen (iOS, Android, Symbian, Windows Mobile etc.) sowie an den unterschiedlichen systeminternen Sicherungsmechanismen liegt.

Die größte Herausforderung bei der Untersuchung von mobilen Endgeräten durch den IT-Forensiker liegt sicherlich in der Datenflut, die auch immer weiter zunimmt. Aktuelle Smartphones haben in der Regel Datenspeicher von 16, 32 oder 64 GB. Zum Teil liegen diese Werte noch höher. In der Praxis werden daher in aktuellen Strafverfahren auf Mobiltelefonen Datenmengen sichergestellt, die noch vor wenigen Jahren nicht einmal auf ganzen Festplatten von PCs zu finden waren.  Verfahrensrelevante Daten von nichtrelevanten Daten zu unterscheiden und zu trennen ist damit – wie in allen Bereichen der IT-Forensik – eine der größten Herausforderungen für den Computerforensiker.

Forensik-Distribution DEFT

Im Rahmen der EDV-Beweissicherung werden viele unterschiedliche Werkzeuge eingesetzt, je nach dem Ziel der vorzunehmenden Beweissicherung. Dazu sind oft eine Vielzahl unterschiedlicher Computerprogramme (Tools) erforderlich, die häufig in Tool-Sammlungen (z.B. WindowsForensicToolchest) zusammen gefasst werden, um dem IT-Forensiker die Arbeit zu erleichtern. Solche Tool-Sammlungen werden auch gerne als “Forensic Suite” oder Arbeitumgebung bezeichnet, bestes Beispiel ist die Software X-Ways Forensics der Firma X-Ways Software Technology AG, welche fast flächendeckend von deutschen Strafverfolgungsbehörden eingesetz wird.

 

Allerdings ist der IT-Forensiker nicht auf kommerzielle Software angewiesen, deren Anschaffung zum Teil mit erheblichen Kosten verbunden ist. Es gibt eine Vielzahl frei erhältlicher Forensic Suites, die neben der EDV-Beweissicherung auch zu anderen Zwecken, wie insbesondere Datenrettung und Sicherheitsanalysen (penetration testing) genutzt werden. Eine gute Übersicht findet sich z.B. hier. Zum Teil basieren diese Forensic Suites auf LINUX als quelloffenem Betriebssystem. Bekanntestes Beispiel dürfte in diesem Zusammenhang die Security-Distribution BackTrack Linux sein.

 

Eine interessante Alternative ist die erst Anfang des Jahres in neuer Version 7.1 erschienene italienische Distribution DEFT Linux,  basierend auf Lubuntu.  DEFT Linux 7.1 ist in Form einer Live-DVD erhältlich und verwendet den Kernel 3.0.0-1, womit auch neueste Hardware und insbesondere Dateisysteme zuverlässig unterstützt werden. Daher kann diese Distribution auf fast allen aktuellen Laptops und Desktop-PCs eingesetzt werden. Nach Angaben der Entwickler wurden insbesondere umfangreiche Tests mit Lenovo Laptops sowie aktueller Hardware von Acer, ASUS, Apple, DELL, IBM.

 

Die Distribution bringt eine große Zahl an Analysewerkzeugen mit. Neben den verbreiteten Linux-Tools werden als Besonderheit jedoch auch zahlreiche Windows-Tools mitgeliefert. Diese werden per WINE-Emulator ausgeführt.  Die Distribution wendet sich nach Herstellerangaben neben Privatanwendern insbesondere an professionelle Nutzer wie Militär, Polizei und andere staatliche Organisationen. Unter anderem nutzt auch die italienische Anti-Mafia-Behörde, die DIA (Direzione Investigativa Antimafia) DEFT Linux.