RA Koll @Twitter

Archiv für August 2012

Pressemeldung BGH – Alles kann besser werden

Bundesgerichtshof zum Auskunftsanspruch gegen Internet-Provider ĂŒber Nutzer von IP-Adressen Der u.a. fĂŒr das Urheberrecht zustĂ€ndige I. Zivilsenat des Bundesgerichtshofs hat entschieden, dass ein Internet-Provider dem Rechtsinhaber in aller Regel den Namen und die Anschrift derjenigen Nutzer einer IP-Adresse mitteilen muss, die ein urheberrechtlich geschĂŒtztes MusikstĂŒck offensichtlich unberechtigt in eine Online-Tauschbörse eingestellt haben.

Die Antragstellerin ist ein Musikvertriebsunternehmen. Die Naidoo Records GmbH hat ihr das ausschließliche Recht eingerĂ€umt, die Tonaufnahmen des Musikalbums von Xavier Naidoo „Alles kann besser werden“ ĂŒber Online-Tauschbörsen auszuwerten. Ein von der Antragstellerin beauftragtes Unternehmen ermittelte IP-Adressen, die Personen zugewiesen waren, die den Titel „Bitte hör nicht auf zu trĂ€umen“ des Albums „Alles kann besser werden“ im September 2011 ĂŒber eine Online-Tauschbörse offensichtlich unberechtigt anderen Personen zum Herunterladen angeboten hatten. Die jeweiligen (dynamischen) IP-Adressen waren den Nutzern von der Deutschen Telekom AG als Internet-Provider zugewiesen worden.

Die Antragstellerin hat gemĂ€ĂŸ § 101 Abs. 9 UrhG in Verbindung mit § 101 Abs. 2 Satz 1 Nr. 3 UrhG beantragt, der Deutschen Telekom AG zu gestatten, ihr unter Verwendung von Verkehrsdaten im Sinne des § 3 Nr. 30 TKG ĂŒber den Namen und die Anschrift derjenigen Nutzer Auskunft zu erteilen, denen die genannten IP-Adressen zu den jeweiligen Zeitpunkten zugewiesen waren.

Das Landgericht Köln hat den Antrag abgelehnt. Die Beschwerde ist ohne Erfolg geblieben. Das Oberlandesgericht Köln hat angenommen, die begehrte Anordnung setze eine Rechtsverletzung in gewerblichem Ausmaß voraus, die hinsichtlich des Musiktitels „Bitte hör nicht auf zu trĂ€umen“ nicht gegeben sei.

Der Bundesgerichtshof hat die Entscheidungen der Vorinstanzen aufgehoben und dem Antrag stattgegeben. Der in FĂ€llen offensichtlicher Rechtsverletzung (im Streitfall das offensichtlich unberechtigte Einstellen des MusikstĂŒcks in eine Online-Tauschbörse) gegebene Anspruch des Rechtsinhabers aus § 101 Abs. 2 Satz 1 Nr. 3 UrhG auf Auskunft gegen eine Person, die in gewerblichem Ausmaß fĂŒr rechtsverletzende TĂ€tigkeiten genutzte Dienstleistungen erbracht hat (im Streitfall die Deutsche Telekom AG als Internet-Provider), setzt – so der Bundesgerichtshof – nicht voraus, dass die rechtsverletzende TĂ€tigkeit das Urheberrecht oder ein anderes nach dem Urheberrechtsgesetz geschĂŒtztes Recht in gewerblichem Ausmaß verletzt hat. Aus dem Wortlaut der Bestimmung und der Systematik des Gesetzes ergibt sich eine solche Voraussetzung nicht. Sie widersprĂ€che auch dem Ziel des Gesetzes, Rechtsverletzungen im Internet wirksam zu bekĂ€mpfen. Dem Rechtsinhaber, stehen AnsprĂŒche auf Unterlassung und Schadensersatz nicht nur gegen einen im gewerblichen Ausmaß handelnden Verletzer, sondern gegen jeden Verletzer zu. Er wĂ€re faktisch schutzlos gestellt, soweit er bei Rechtsverletzungen, die kein gewerbliches Ausmaß aufweisen, keine Auskunft ĂŒber den Namen und die Anschrift der Verletzer erhielte. In den FĂ€llen, in denen – wie im Streitfall – ein Auskunftsanspruch nach § 101 Abs. 2 Satz 1 Nr. 3 UrhG besteht, hat das Gericht dem Dienstleister auf dessen Antrag nach § 101 Abs. 9 Satz 1 UrhG zu gestatten, die Auskunft ĂŒber den Namen und die Anschrift der Nutzer, denen zu bestimmten Zeitpunkten bestimmte IP-Adressen zugewiesen waren, unter Verwendung von Verkehrsdaten zu erteilen. Ein solcher Antrag setzt – so der Bundesgerichtshof – gleichfalls kein gewerbliches Ausmaß der Rechtsverletzung voraus, sondern ist unter AbwĂ€gung der betroffenen Rechte des Rechtsinhabers, des Auskunftspflichtigen und der Nutzer sowie unter BerĂŒcksichtigung des Grundsatzes der VerhĂ€ltnismĂ€ĂŸigkeit in aller Regel ohne weiteres begrĂŒndet.

Beschluss vom 19. April 2012 – I ZB 80/11 – Alles kann besser werden

LG Köln – Beschluss vom 29. September 2011 – 213 O 337/11

OLG Köln – Beschluss vom 2. November 2011 – 6 W 237/11

Karlsruhe, den 10. August 2012

Pressestelle des Bundesgerichtshofs 76125 Karlsruhe Telefon (0721) 159-5013 Telefax (0721) 159-5501

Vier Augen sehen mehr als zwei – Beweissicherung im Rahmen computerforensischer Ermittlungen

Das “Vier-Augen-Prinzip”

 

Das “Vier-Augen-Prinzip” (engl. “two-man-rule) in der IT-Forensik ist nichts anderes als eine Form des althergebrachten Mehraugenprinzips, welches in allen Bereichen einer Gesellschaft der Kontrolle und Absicherung von Entscheidungen oder TĂ€tigkeiten dient. Ziel solcher Maßnahmen ist immer, das Risiko von Fehlern und auch von Mißbrauch eingerĂ€umter Kompetenzen zu vermeiden.

 

In der IT-Forensik, also beim Auswerten von digitalen Beweisen, ist das “Vier-Augen-Prinzip” ein wichtiger Bestandteil jeder Ermittlunsmaßnahme. So schreibt auch das BSI in seinen IT-Grundschutz-Katalogen an mehrere Stellen die Vorgehensweise im Vier-Augen-Prinzip vor. Insbesonders im Maßnahmenkatalog M 6 “Notfallvorsorge” ist hinsichtlich einer computer- oder auch digital-forensischen Ermittlung geregelt, dass besonders in der Secure-Phase des SAP-Modells, also im Rahmen der Beweissicherung, wie folgt vorgegangen wird:

 

 

In dieser Phase wird durch geeignete Methoden der Grundstein gelegt, dass die gesammelten Informationen in einer eventuell spĂ€teren juristischen WĂŒrdigung ihre Beweiskraft nicht verlieren. Auch wenn in dieser sehr frĂŒhen Ermittlungsphase oft noch nicht richtig klar ist, ob eine juristische KlĂ€rung angestrebt wird, sollte trotzdem das Beweismaterial gerichtsfest sein. Aus diesem Grund mĂŒssen alle TĂ€tigkeiten sorgfĂ€ltig dokumentiert und protokolliert werden. Die gesammelten Daten mĂŒssen auch frĂŒhzeitig vor versehentlicher oder gar beabsichtigter Manipulation geschĂŒtzt werden. Von entsprechenden Hash-Verfahren und dem Vier-Augen-Prinzip ist daher ausgiebig Gebrauch zu machen.

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m06/m06126.htmlhttps://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/m/m06/m06126.html

Ähnlich wie bei der Chain-of-Custody dient das Vier-Augen-Prinzip in der IT-Forensik der QualitĂ€tssicherung der erhobenen Beweise. Wie bei der Chain-of-Custody ist jedoch auch hier im deutschen Strafprozess das Problem, dass die freie BeweiswĂŒrdigung (§ 261 StPO) des Richters diesem (leider) nicht verbietet, auch solche digitalforensischen Beweise in einem Strafprozeß zu verwerten, die nicht unter Einhaltung des Vier-Augen-Prinzips zustande gekommen sind.

 

Die Grundproblematik, nĂ€mlich dass sich deutsche Gerichte keine Beweisregeln aufzwĂ€ngen lassen wollen, wird besonders deutlich in einer aktuellen Entscheidung zum Verkehrsrecht, die das OLG Hamm (Beschl. v. 19.07.2012 – III 3 RBs 66/12) getroffen hat. Dort heisst es:

 


 Auch in materiell-rechtlicher Hinsicht existiert keine Regelung, die ein „Vier-Augen-Prinzip“ in dem von der Verteidigung geforderten Sinne beinhaltet. Eine entspre­chende materiellrechtliche Regelung kĂ€me einer Vorgabe gleich, unter welchen   Vo­raussetzungen der Tatrichter eine Tatsache (hier die Höhe des von dem MessgerĂ€t angezeigten Messwertes) fĂŒr bewiesen halten darf, und enthielte damit eine Beweis­regel. Dem Grundsatz der freien BeweiswĂŒrdigung sind Beweisregeln indessen fremd (Meyer-Goßner, StPO, 54. Aufl. [2011], § 261 Rdnr. 11 m. w. N.). Die Frage, welchen Messwert das MessgerĂ€t angezeigt hat, betrifft vielmehr allein die tatrichter­liche BeweiswĂŒrdigung im Einzelfall 


 

Kritik erfĂ€hrt diese Entscheidung – unter dem Gesichtspunkt der Lasermessung im Straßenverkehr – auch bei den Kollegen Burhoff und Vetter. Insbesonders die Kommentare beim Kollegen Vetter beweisen, dass das Fehlen von Beweisregeln im deutschen Strafprozeß bei den BĂŒrgern dieses Landes auf völliges UnverstĂ€ndnis stĂ¶ĂŸt.

“Chain-of Custody-(CoC) – Was ist das?

Im Bereich der forensischen Wissenschaften stolpert man immer wieder ĂŒber den Begriff der “Chain of Custody”. Auch im Rahmen der EDV-Beweissicherung/IT-Forensik wird dieser Begriff immer wieder verwendet.

 

DiesbezĂŒglich ist zunĂ€chst festzuhalten, dass der Begriff aus dem anglo-amerikanischen Rechtssystem stammt. Chain of Custody bedeutet in etwa “Kette des Gewahrsams” oder “Gewahrsamskette”. Gemeint ist also die PrĂ€sentation der einzelnen Beweismittel gegenĂŒber dem Gericht in der Weise, dass die AuthentizitĂ€t (also Echtheit im Sinne von “als Original befunden”) des ĂŒbermittelten Beweismaterials fĂŒr das Gericht plausibel wird. Mit anderen Worten, die CoC soll sicherstellen, dass dem Gericht nur der “originale” Beweis prĂ€sentiert wird und keinerlei VerfĂ€lschung stattgefunden hat in dem z.B. echte Beweismittel “gepflanzt” worden sind oder sogar falsche Beweismittel geschaffen worden sind.

 

Der Gedanke und der dahinter stehende Vorgang ist eigentlich simpel. Die Chain of Custody setzt voraus, dass von dem Zeitpunkt an, in dem ein BeweisstĂŒck sichergestellt wird, jede weitere Übermittlung des BeweisstĂŒcks von Mensch zu Mensch dokumentiert werden muss. Es muss beweisbar sein, dass niemand (unberechtigt oder auch nur unbemerkt) auf das Beweismittel zugegriffen haben kann und Manipulationen vorgenommen haben könnte.

 

Jede Transaktion, beginnend mit der Sicherstellung der BeweisstĂŒcke bis zur endgĂŒltigen Vorlage im Gerichtssaal vor Gericht, sollte vollstĂ€ndig und chronologisch dokumentiert werden. Gleichzeitig sollten die Bedingungen und genauen Orte unter denen das Beweismittel gefunden wurde, eingesammelt wurde, verpackt wurde, transportiert, gelagert und eventuell untersucht wurde, dokumentiert werden. Jede Übergabe des Beweismittels an eine andere Person (z.B. PHK A >> KHK B >> Asservatenstelle Polizei >> Asservatenstelle StA >> StA X >> Gerichtswachtmeister Y) muss zudem mit einem Übergapeprotokoll dokumentiert werden, welches von den beteiligten Personen zu unterschreiben ist.

 

Das anglo-amerikanische Recht legt sehr viel Wert auf die Chain-of-Custody. Kann die Gewahrsamskette nicht lĂŒckenlos dargelegt werden, weil z.B. Unterschriften auf den Übergabeformularen fehlen oder fehlen solche Protokolle insgesamt, so kann die Verteidigung die Nicht-Zulassung des Beweismittels beantragen.

 

Das deutsche Recht kennt derart strikte Beweisregeln (leider) nicht. Obwohl auch die deutschen Strafverfolgungsbehörden Übergabeprotokolle ausfĂŒllen, wenn Asservate – also Beweismaterial – ĂŒbergeben werden, so wird der Dokumentation der Chain-of-Custody nur wenig Aufmerksamkeit geschenkt. RegelmĂ€ĂŸig fehlen Unterschriften auf den Übergabeprotokollen, die Bezeichnung der GegenstĂ€nde ist oft ungenau oder pauschal.   Dieser Umstand ist ĂŒberaus bedauerlich, da in der Praxis Gerichte die Möglichkeit einer – bewussten oder unbewussten – BeweismittelverfĂ€lschung regelmĂ€ĂŸig ĂŒberhaupt nicht in Betracht ziehen. Und selbst wenn die Verteidigung Möglichkeiten einer VerfĂ€lschung aufzeigt,  beeindruckt dies die Gerichte im Regelfall nicht. Auch wenn die Gewahrsamskette LĂŒcken aufweist, so kann sich das Gericht im Rahmen freier BeweiswĂŒrdigung (§ 261 StPO) dennoch davon ĂŒberzeugen, dass das Beweismittel authentisch ist, oft mit dem Bemerken, die Verteidigung habe wohl zuviel Fernsehen geschaut oder leide unter paranoiden Vorstellungen. Das Vertrauen der Gerichte in die Ermittlungsbehörden scheint dabei oft grenzenlos. Auch wenn ein Beamter ein paar Unterschriften vergessen hat, wird die Beweissicherung doch schon in Ordnung gewesen sein, schließlich ist der Mann doch Polizeibeamter 


 

Dabei wird natĂŒrlich ĂŒbersehen, dass die Verteidigung selten mehr als die Möglichkeit einer VerfĂ€lschung der Beweismittel aufzeigen kann. Zugleich wird der Verteidigung – und damit letztlich dem Angeklagten – auferlegt, den Nachweis fĂŒr eine Manipulation oder VerfĂ€lschung  zu erbringen. Dieser Zustand ist mit dem VerstĂ€ndis eines Rechtsstaates nicht in Einklang zu bringen! Denn wenn eine Möglichkeit der BeweismittelverfĂ€lschung – mag sie auch noch so fernliegend sein – ĂŒberhaupt erst durch unsaubere Dokumentation auf Seite der Ermittlungsbehörden geschaffen wird, dann ist de lege ferenda in solchen FĂ€llen ein (unselbstĂ€ndiges) Beweisverwertungsverbot zu konstituieren. Erst wenn dies der Fall ist, wird Schlamperei der Ermittlungsbehörden wirksam vorgebeugt, das Beweisverwertungsverbot wĂŒrde gleichzeitig, unmittelbar und wirksam der QualitĂ€tssicherung der Arbeit der Ermittlungsbehörden dienen.

 

Dass eine QualitĂ€tssicherung angebracht ist, da auch Polizeibeamte und StaatsanwĂ€lte nicht unfehlbar sind, wird nicht zuletzt an einem pressewirksamen Beispiel in einem der wohl spektakulĂ€rsten ungeklĂ€rten MordfĂ€lle in der Geschichte der Bundesrepublik deutlich. So titelten die LĂŒbecker Nachrichten am 7.10.2011:

 

Der Umgang der LĂŒbecker Staatsanwaltschaft mit BeweisstĂŒcken im Barschel-Fall weitet sich zum Justiz-Skandal aus. Erst ging es nur um ein verschwundenes Haar. Gestern wurde bekannt, dass der Barschel-Chefermittler und ehemalige Leiter der LĂŒbecker Staatsanwaltschaft, Heinrich Wille, eines der BeweisstĂŒcke einfach mit zu sich nach Hause genommen hat.

 

http://www.ln-online.de/lokales/luebeck/3256264

Mobile Forensics – Forensik an mobilen Endgeräten

Smartphones, Oganizer und Handys haben rasanten Einzug in unseren Alltag gefunden. Angesichts der Vielzahl von persönlichen Daten des Benutzers, die auf solchen GerĂ€ten zu finden sind, wurden diese GerĂ€te fĂŒr Ermittler im Strafverfahren zu einem Ă€ußerst begehrten Beweismittel. „Kennst du sein Smartphone, kennst du den Menschen“ ist eine sicherlich plakative Formulierung mancher Ermittler, schlussendlich jedoch zutreffend.

Mobile EndgerĂ€te wie Handy, Smartphones, iPhone, iPad etc. werden zunĂ€chst beschlagnahmt wie sonstige bewegliche Sachen und GegenstĂ€nde auch, nach den §§ 94 ff. StPO. Anschließend können diese GegenstĂ€nde von IT-Forensikern untersucht werden.

 

Live-Analyse

ZunĂ€chst kann der Forensiker ein GerĂ€t, welches noch eingeschaltet ist, im Betrieb durchsehen. Bereits darĂŒber erhĂ€lt er einen weitgehenden Einblick in Nutzerdaten, z.B. in das Telefonbuch, die Liste der letzten Anrufe, SMS, E-Mails etc. Zudem ermöglicht dieser Zustand des GerĂ€tes den Ermittlern, auch flĂŒchtige Daten (also solche Daten, welche nach Ausschalten des GerĂ€tes gelöscht werden) zu sichern. Da dies ein sehr aufwĂ€ndiges Verfahren ist und je nach mobilem EndgerĂ€t andere Schritte und Techniken erforderlich sind, wird es in der Praxis selten angewandt, nicht zuletzt auch, weil der Zugriff auf das laufende GerĂ€t vom VerdĂ€chtigen oft in letzter Minute verhindert wird.

 

Post-mortem-Analyse (Untersuchung eines Speicherabbildes)

Sofern das sichergestellte EndgerÀt ausgeschaltet ist, kann immer noch der Speicherinhalt untersucht werden. Dabei unterscheidet sich die Untersuchung von mobilen EndgerÀten kaum von der Untersuchung von Computerfestplatten.

ZunĂ€chst wird ein Speicherabbild erstellt. Dies kann im Vergleich zu normalen Computerfestplatten technisch etwas „kniffliger“ sein. Aufgrund herstellerabhĂ€ngiger – zumeist proprietĂ€rer – Schnittstellen ist zum Teil nur ein logischer Zugriff auf den Handyspeicher möglich. Im Gegensatz dazu werden Festplatten im Regelfall physikalisch abgebildet (d.h. auf der Ebene der einzelnen Bit-Information).

Sobald ein Speicherabbild erstellt wurde, kann dieses vom Forensiker untersucht werden. Bei der Erstellung des Speicherabbildes sind selbstverstĂ€ndlich die allgemeinen Richtlinien und Sorgfaltspflichten im Rahmen der Sicherung von digitialen Beweisen einzuhalten, insbesondere das 4-Augen-Prinzip, die „Chain-of-Custody“ sowie generell die IntegritĂ€t der gesicherten Daten.

Das einmal erstellte Speicherabbild kann in der Folge beliebig oft als Arbeitskopie vervielfĂ€ltigt werden, um als Grundlage fĂŒr diverse Untersuchungen zu dienen. In diesem Stadium lĂ€uft der Prozess von EndgerĂ€t zu EndgerĂ€t Ă€ußerst verschieden ab, was an den unterschiedlichen Betriebssystemen (iOS, Android, Symbian, Windows Mobile etc.) sowie an den unterschiedlichen systeminternen Sicherungsmechanismen liegt.

Die grĂ¶ĂŸte Herausforderung bei der Untersuchung von mobilen EndgerĂ€ten durch den IT-Forensiker liegt sicherlich in der Datenflut, die auch immer weiter zunimmt. Aktuelle Smartphones haben in der Regel Datenspeicher von 16, 32 oder 64 GB. Zum Teil liegen diese Werte noch höher. In der Praxis werden daher in aktuellen Strafverfahren auf Mobiltelefonen Datenmengen sichergestellt, die noch vor wenigen Jahren nicht einmal auf ganzen Festplatten von PCs zu finden waren.  Verfahrensrelevante Daten von nichtrelevanten Daten zu unterscheiden und zu trennen ist damit – wie in allen Bereichen der IT-Forensik – eine der grĂ¶ĂŸten Herausforderungen fĂŒr den Computerforensiker.

Forensik-Distribution DEFT

Im Rahmen der EDV-Beweissicherung werden viele unterschiedliche Werkzeuge eingesetzt, je nach dem Ziel der vorzunehmenden Beweissicherung. Dazu sind oft eine Vielzahl unterschiedlicher Computerprogramme (Tools) erforderlich, die hĂ€ufig in Tool-Sammlungen (z.B. WindowsForensicToolchest) zusammen gefasst werden, um dem IT-Forensiker die Arbeit zu erleichtern. Solche Tool-Sammlungen werden auch gerne als “Forensic Suite” oder Arbeitumgebung bezeichnet, bestes Beispiel ist die Software X-Ways Forensics der Firma X-Ways Software Technology AG, welche fast flĂ€chendeckend von deutschen Strafverfolgungsbehörden eingesetz wird.

 

Allerdings ist der IT-Forensiker nicht auf kommerzielle Software angewiesen, deren Anschaffung zum Teil mit erheblichen Kosten verbunden ist. Es gibt eine Vielzahl frei erhĂ€ltlicher Forensic Suites, die neben der EDV-Beweissicherung auch zu anderen Zwecken, wie insbesondere Datenrettung und Sicherheitsanalysen (penetration testing) genutzt werden. Eine gute Übersicht findet sich z.B. hier. Zum Teil basieren diese Forensic Suites auf LINUX als quelloffenem Betriebssystem. Bekanntestes Beispiel dĂŒrfte in diesem Zusammenhang die Security-Distribution BackTrack Linux sein.

 

Eine interessante Alternative ist die erst Anfang des Jahres in neuer Version 7.1 erschienene italienische Distribution DEFT Linux,  basierend auf Lubuntu.  DEFT Linux 7.1 ist in Form einer Live-DVD erhĂ€ltlich und verwendet den Kernel 3.0.0-1, womit auch neueste Hardware und insbesondere Dateisysteme zuverlĂ€ssig unterstĂŒtzt werden. Daher kann diese Distribution auf fast allen aktuellen Laptops und Desktop-PCs eingesetzt werden. Nach Angaben der Entwickler wurden insbesondere umfangreiche Tests mit Lenovo Laptops sowie aktueller Hardware von Acer, ASUS, Apple, DELL, IBM.

 

Die Distribution bringt eine große Zahl an Analysewerkzeugen mit. Neben den verbreiteten Linux-Tools werden als Besonderheit jedoch auch zahlreiche Windows-Tools mitgeliefert. Diese werden per WINE-Emulator ausgefĂŒhrt.  Die Distribution wendet sich nach Herstellerangaben neben Privatanwendern insbesondere an professionelle Nutzer wie MilitĂ€r, Polizei und andere staatliche Organisationen. Unter anderem nutzt auch die italienische Anti-Mafia-Behörde, die DIA (Direzione Investigativa Antimafia) DEFT Linux.