Archiv des Autors: Tom Koll

Vier Augen sehen mehr als zwei – Beweissicherung im Rahmen computerforensischer Ermittlungen

Veröffentlicht am von
1

Das “Vier-Augen-Prinzip”

 

Das “Vier-Augen-Prinzip” (engl. “two-man-rule) in der IT-Forensik ist nichts anderes als eine Form des althergebrachten Mehraugenprinzips, welches in allen Bereichen einer Gesellschaft der Kontrolle und Absicherung von Entscheidungen oder Tätigkeiten dient. Ziel solcher Maßnahmen ist immer, das Risiko von Fehlern und auch von Mißbrauch eingeräumter Kompetenzen zu vermeiden.

 

In der IT-Forensik, also beim Auswerten von digitalen Beweisen, ist das “Vier-Augen-Prinzip” ein wichtiger Bestandteil jeder Ermittlunsmaßnahme. So schreibt auch das BSI in seinen IT-Grundschutz-Katalogen an mehrere Stellen die Vorgehensweise im Vier-Augen-Prinzip vor. Insbesonders im Maßnahmenkatalog M 6 “Notfallvorsorge” ist hinsichtlich einer computer- oder auch digital-forensischen Ermittlung geregelt, dass besonders in der Secure-Phase des SAP-Modells, also im Rahmen der Beweissicherung, wie folgt vorgegangen wird:

 

 

In dieser Phase wird durch geeignete Methoden der Grundstein gelegt, dass die gesammelten Informationen in einer eventuell späteren juristischen Würdigung ihre Beweiskraft nicht verlieren. Auch wenn in dieser sehr frühen Ermittlungsphase oft noch nicht richtig klar ist, ob eine juristische Klärung angestrebt wird, sollte trotzdem das Beweismaterial gerichtsfest sein. Aus diesem Grund müssen alle Tätigkeiten sorgfältig dokumentiert und protokolliert werden. Die gesammelten Daten müssen auch frühzeitig vor versehentlicher oder gar beabsichtigter Manipulation geschützt werden. Von entsprechenden Hash-Verfahren und dem Vier-Augen-Prinzip ist daher ausgiebig Gebrauch zu machen.

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m06/m06126.htmlhttps://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/m/m06/m06126.html

Ähnlich wie bei der Chain-of-Custody dient das Vier-Augen-Prinzip in der IT-Forensik der Qualitätssicherung der erhobenen Beweise. Wie bei der Chain-of-Custody ist jedoch auch hier im deutschen Strafprozess das Problem, dass die freie Beweiswürdigung (§ 261 StPO) des Richters diesem (leider) nicht verbietet, auch solche digitalforensischen Beweise in einem Strafprozeß zu verwerten, die nicht unter Einhaltung des Vier-Augen-Prinzips zustande gekommen sind.

 

Die Grundproblematik, nämlich dass sich deutsche Gerichte keine Beweisregeln aufzwängen lassen wollen, wird besonders deutlich in einer aktuellen Entscheidung zum Verkehrsrecht, die das OLG Hamm (Beschl. v. 19.07.2012 – III 3 RBs 66/12) getroffen hat. Dort heisst es:

 

… Auch in materiell-rechtlicher Hinsicht existiert keine Regelung, die ein „Vier-Augen-Prinzip“ in dem von der Verteidigung geforderten Sinne beinhaltet. Eine entspre­chende materiellrechtliche Regelung käme einer Vorgabe gleich, unter welchen   Vo­raussetzungen der Tatrichter eine Tatsache (hier die Höhe des von dem Messgerät angezeigten Messwertes) für bewiesen halten darf, und enthielte damit eine Beweis­regel. Dem Grundsatz der freien Beweiswürdigung sind Beweisregeln indessen fremd (Meyer-Goßner, StPO, 54. Aufl. [2011], § 261 Rdnr. 11 m. w. N.). Die Frage, welchen Messwert das Messgerät angezeigt hat, betrifft vielmehr allein die tatrichter­liche Beweiswürdigung im Einzelfall …

 

Kritik erfährt diese Entscheidung – unter dem Gesichtspunkt der Lasermessung im Straßenverkehr – auch bei den Kollegen Burhoff und Vetter. Insbesonders die Kommentare beim Kollegen Vetter beweisen, dass das Fehlen von Beweisregeln im deutschen Strafprozeß bei den Bürgern dieses Landes auf völliges Unverständnis stößt.

“Chain-of Custody-(CoC) – Was ist das?

Veröffentlicht am von
1

Im Bereich der forensischen Wissenschaften stolpert man immer wieder über den Begriff der “Chain of Custody”. Auch im Rahmen der EDV-Beweissicherung/IT-Forensik wird dieser Begriff immer wieder verwendet.

 

Diesbezüglich ist zunächst festzuhalten, dass der Begriff aus dem anglo-amerikanischen Rechtssystem stammt. Chain of Custody bedeutet in etwa “Kette des Gewahrsams” oder “Gewahrsamskette”. Gemeint ist also die Präsentation der einzelnen Beweismittel gegenüber dem Gericht in der Weise, dass die Authentizität (also Echtheit im Sinne von “als Original befunden”) des übermittelten Beweismaterials für das Gericht plausibel wird. Mit anderen Worten, die CoC soll sicherstellen, dass dem Gericht nur der “originale” Beweis präsentiert wird und keinerlei Verfälschung stattgefunden hat in dem z.B. echte Beweismittel “gepflanzt” worden sind oder sogar falsche Beweismittel geschaffen worden sind.

 

Der Gedanke und der dahinter stehende Vorgang ist eigentlich simpel. Die Chain of Custody setzt voraus, dass von dem Zeitpunkt an, in dem ein Beweisstück sichergestellt wird, jede weitere Übermittlung des Beweisstücks von Mensch zu Mensch dokumentiert werden muss. Es muss beweisbar sein, dass niemand (unberechtigt oder auch nur unbemerkt) auf das Beweismittel zugegriffen haben kann und Manipulationen vorgenommen haben könnte.

 

Jede Transaktion, beginnend mit der Sicherstellung der Beweisstücke bis zur endgültigen Vorlage im Gerichtssaal vor Gericht, sollte vollständig und chronologisch dokumentiert werden. Gleichzeitig sollten die Bedingungen und genauen Orte unter denen das Beweismittel gefunden wurde, eingesammelt wurde, verpackt wurde, transportiert, gelagert und eventuell untersucht wurde, dokumentiert werden. Jede Übergabe des Beweismittels an eine andere Person (z.B. PHK A >> KHK B >> Asservatenstelle Polizei >> Asservatenstelle StA >> StA X >> Gerichtswachtmeister Y) muss zudem mit einem Übergapeprotokoll dokumentiert werden, welches von den beteiligten Personen zu unterschreiben ist.

 

Das anglo-amerikanische Recht legt sehr viel Wert auf die Chain-of-Custody. Kann die Gewahrsamskette nicht lückenlos dargelegt werden, weil z.B. Unterschriften auf den Übergabeformularen fehlen oder fehlen solche Protokolle insgesamt, so kann die Verteidigung die Nicht-Zulassung des Beweismittels beantragen.

 

Das deutsche Recht kennt derart strikte Beweisregeln (leider) nicht. Obwohl auch die deutschen Strafverfolgungsbehörden Übergabeprotokolle ausfüllen, wenn Asservate – also Beweismaterial – übergeben werden, so wird der Dokumentation der Chain-of-Custody nur wenig Aufmerksamkeit geschenkt. Regelmäßig fehlen Unterschriften auf den Übergabeprotokollen, die Bezeichnung der Gegenstände ist oft ungenau oder pauschal.   Dieser Umstand ist überaus bedauerlich, da in der Praxis Gerichte die Möglichkeit einer – bewussten oder unbewussten – Beweismittelverfälschung regelmäßig überhaupt nicht in Betracht ziehen. Und selbst wenn die Verteidigung Möglichkeiten einer Verfälschung aufzeigt,  beeindruckt dies die Gerichte im Regelfall nicht. Auch wenn die Gewahrsamskette Lücken aufweist, so kann sich das Gericht im Rahmen freier Beweiswürdigung (§ 261 StPO) dennoch davon überzeugen, dass das Beweismittel authentisch ist, oft mit dem Bemerken, die Verteidigung habe wohl zuviel Fernsehen geschaut oder leide unter paranoiden Vorstellungen. Das Vertrauen der Gerichte in die Ermittlungsbehörden scheint dabei oft grenzenlos. Auch wenn ein Beamter ein paar Unterschriften vergessen hat, wird die Beweissicherung doch schon in Ordnung gewesen sein, schließlich ist der Mann doch Polizeibeamter …

 

Dabei wird natürlich übersehen, dass die Verteidigung selten mehr als die Möglichkeit einer Verfälschung der Beweismittel aufzeigen kann. Zugleich wird der Verteidigung – und damit letztlich dem Angeklagten – auferlegt, den Nachweis für eine Manipulation oder Verfälschung  zu erbringen. Dieser Zustand ist mit dem Verständis eines Rechtsstaates nicht in Einklang zu bringen! Denn wenn eine Möglichkeit der Beweismittelverfälschung – mag sie auch noch so fernliegend sein – überhaupt erst durch unsaubere Dokumentation auf Seite der Ermittlungsbehörden geschaffen wird, dann ist de lege ferenda in solchen Fällen ein (unselbständiges) Beweisverwertungsverbot zu konstituieren. Erst wenn dies der Fall ist, wird Schlamperei der Ermittlungsbehörden wirksam vorgebeugt, das Beweisverwertungsverbot würde gleichzeitig, unmittelbar und wirksam der Qualitätssicherung der Arbeit der Ermittlungsbehörden dienen.

 

Dass eine Qualitätssicherung angebracht ist, da auch Polizeibeamte und Staatsanwälte nicht unfehlbar sind, wird nicht zuletzt an einem pressewirksamen Beispiel in einem der wohl spektakulärsten ungeklärten Mordfälle in der Geschichte der Bundesrepublik deutlich. So titelten die Lübecker Nachrichten am 7.10.2011:

 

Der Umgang der Lübecker Staatsanwaltschaft mit Beweisstücken im Barschel-Fall weitet sich zum Justiz-Skandal aus. Erst ging es nur um ein verschwundenes Haar. Gestern wurde bekannt, dass der Barschel-Chefermittler und ehemalige Leiter der Lübecker Staatsanwaltschaft, Heinrich Wille, eines der Beweisstücke einfach mit zu sich nach Hause genommen hat.

 

http://www.ln-online.de/lokales/luebeck/3256264

Mobile Forensics – Forensik an mobilen Endgeräten

Veröffentlicht am von
Antworten

Smartphones, Oganizer und Handys haben rasanten Einzug in unseren Alltag gefunden. Angesichts der Vielzahl von persönlichen Daten des Benutzers, die auf solchen Geräten zu finden sind, wurden diese Geräte für Ermittler im Strafverfahren zu einem äußerst begehrten Beweismittel. „Kennst du sein Smartphone, kennst du den Menschen“ ist eine sicherlich plakative Formulierung mancher Ermittler, schlussendlich jedoch zutreffend.

Mobile Endgeräte wie Handy, Smartphones, iPhone, iPad etc. werden zunächst beschlagnahmt wie sonstige bewegliche Sachen und Gegenstände auch, nach den §§ 94 ff. StPO. Anschließend können diese Gegenstände von IT-Forensikern untersucht werden.

 

Live-Analyse

Zunächst kann der Forensiker ein Gerät, welches noch eingeschaltet ist, im Betrieb durchsehen. Bereits darüber erhält er einen weitgehenden Einblick in Nutzerdaten, z.B. in das Telefonbuch, die Liste der letzten Anrufe, SMS, E-Mails etc. Zudem ermöglicht dieser Zustand des Gerätes den Ermittlern, auch flüchtige Daten (also solche Daten, welche nach Ausschalten des Gerätes gelöscht werden) zu sichern. Da dies ein sehr aufwändiges Verfahren ist und je nach mobilem Endgerät andere Schritte und Techniken erforderlich sind, wird es in der Praxis selten angewandt, nicht zuletzt auch, weil der Zugriff auf das laufende Gerät vom Verdächtigen oft in letzter Minute verhindert wird.

 

Post-mortem-Analyse (Untersuchung eines Speicherabbildes)

Sofern das sichergestellte Endgerät ausgeschaltet ist, kann immer noch der Speicherinhalt untersucht werden. Dabei unterscheidet sich die Untersuchung von mobilen Endgeräten kaum von der Untersuchung von Computerfestplatten.

Zunächst wird ein Speicherabbild erstellt. Dies kann im Vergleich zu normalen Computerfestplatten technisch etwas „kniffliger“ sein. Aufgrund herstellerabhängiger – zumeist proprietärer – Schnittstellen ist zum Teil nur ein logischer Zugriff auf den Handyspeicher möglich. Im Gegensatz dazu werden Festplatten im Regelfall physikalisch abgebildet (d.h. auf der Ebene der einzelnen Bit-Information).

Sobald ein Speicherabbild erstellt wurde, kann dieses vom Forensiker untersucht werden. Bei der Erstellung des Speicherabbildes sind selbstverständlich die allgemeinen Richtlinien und Sorgfaltspflichten im Rahmen der Sicherung von digitialen Beweisen einzuhalten, insbesondere das 4-Augen-Prinzip, die „Chain-of-Custody“ sowie generell die Integrität der gesicherten Daten.

Das einmal erstellte Speicherabbild kann in der Folge beliebig oft als Arbeitskopie vervielfältigt werden, um als Grundlage für diverse Untersuchungen zu dienen. In diesem Stadium läuft der Prozess von Endgerät zu Endgerät äußerst verschieden ab, was an den unterschiedlichen Betriebssystemen (iOS, Android, Symbian, Windows Mobile etc.) sowie an den unterschiedlichen systeminternen Sicherungsmechanismen liegt.

Die größte Herausforderung bei der Untersuchung von mobilen Endgeräten durch den IT-Forensiker liegt sicherlich in der Datenflut, die auch immer weiter zunimmt. Aktuelle Smartphones haben in der Regel Datenspeicher von 16, 32 oder 64 GB. Zum Teil liegen diese Werte noch höher. In der Praxis werden daher in aktuellen Strafverfahren auf Mobiltelefonen Datenmengen sichergestellt, die noch vor wenigen Jahren nicht einmal auf ganzen Festplatten von PCs zu finden waren.  Verfahrensrelevante Daten von nichtrelevanten Daten zu unterscheiden und zu trennen ist damit – wie in allen Bereichen der IT-Forensik – eine der größten Herausforderungen für den Computerforensiker.

Forensik-Distribution DEFT

Veröffentlicht am von
Antworten

Im Rahmen der EDV-Beweissicherung werden viele unterschiedliche Werkzeuge eingesetzt, je nach dem Ziel der vorzunehmenden Beweissicherung. Dazu sind oft eine Vielzahl unterschiedlicher Computerprogramme (Tools) erforderlich, die häufig in Tool-Sammlungen (z.B. WindowsForensicToolchest) zusammen gefasst werden, um dem IT-Forensiker die Arbeit zu erleichtern. Solche Tool-Sammlungen werden auch gerne als “Forensic Suite” oder Arbeitumgebung bezeichnet, bestes Beispiel ist die Software X-Ways Forensics der Firma X-Ways Software Technology AG, welche fast flächendeckend von deutschen Strafverfolgungsbehörden eingesetz wird.

 

Allerdings ist der IT-Forensiker nicht auf kommerzielle Software angewiesen, deren Anschaffung zum Teil mit erheblichen Kosten verbunden ist. Es gibt eine Vielzahl frei erhältlicher Forensic Suites, die neben der EDV-Beweissicherung auch zu anderen Zwecken, wie insbesondere Datenrettung und Sicherheitsanalysen (penetration testing) genutzt werden. Eine gute Übersicht findet sich z.B. hier. Zum Teil basieren diese Forensic Suites auf LINUX als quelloffenem Betriebssystem. Bekanntestes Beispiel dürfte in diesem Zusammenhang die Security-Distribution BackTrack Linux sein.

 

Eine interessante Alternative ist die erst Anfang des Jahres in neuer Version 7.1 erschienene italienische Distribution DEFT Linux,  basierend auf Lubuntu.  DEFT Linux 7.1 ist in Form einer Live-DVD erhältlich und verwendet den Kernel 3.0.0-1, womit auch neueste Hardware und insbesondere Dateisysteme zuverlässig unterstützt werden. Daher kann diese Distribution auf fast allen aktuellen Laptops und Desktop-PCs eingesetzt werden. Nach Angaben der Entwickler wurden insbesondere umfangreiche Tests mit Lenovo Laptops sowie aktueller Hardware von Acer, ASUS, Apple, DELL, IBM.

 

Die Distribution bringt eine große Zahl an Analysewerkzeugen mit. Neben den verbreiteten Linux-Tools werden als Besonderheit jedoch auch zahlreiche Windows-Tools mitgeliefert. Diese werden per WINE-Emulator ausgeführt.  Die Distribution wendet sich nach Herstellerangaben neben Privatanwendern insbesondere an professionelle Nutzer wie Militär, Polizei und andere staatliche Organisationen. Unter anderem nutzt auch die italienische Anti-Mafia-Behörde, die DIA (Direzione Investigativa Antimafia) DEFT Linux.

Professionelle Cyberkriminelle – Trojaner-Programmierer entwickeln eigene Programmiersprache

Veröffentlicht am von
Antworten

Die Programmierer des Duqu-Trojaners haben nach Angaben von Experten von Kaspersky Lab Teile des schädlichen Codes in einer bislang unbekannten Programmiersprache verfasst. Die gleichen Programmierer haben im Übrigen den Stuxnet-Wurm programmiert.

Die Analysen des Anti-Viren-Herstellers Kaspersky haben ergeben, dass die Sprache objektorientiert ist und insbesondere im Bereich der Netzwerkbefehle mit einem eigenen Befehlszeichensatz arbeitet. Nach Angaben der Analysten nannte sich der Teil des Trojaners, der in der bislang unbekannten Programmiersprache abgefasst ist, „Duqu-Framework“.

Laut Chief Security Expert Alexander Gostev zeigt die gesamte Vorgehensweise, wie professionell die Entwickler bei der Programmierung des Duqu-Trojaners vorgegangen sind. Dazu müssen erhebliche technische und auch finanzielle Ressourcen für das Projekt zur Verfügung gestanden haben.

Dies zeigt deutlich, dass Internet-Kriminelle immer professioneller vorgehen. Angesichts des erheblichen Finanzbedarfs, den solche Projekte mit sich bringen, ist zudem davon auszugehen, dass organisierte Strukturen als Auftraggeber hinter solchen Aktivitäten stehen.

Der Duqu-Trojaner wurde erstmals im September 2011 entdeckt. Die Analyse des Programmcodes ergab jetzt jedoch, dass das Stuxnet-Projekt in direkten Zusammenhang mit diesem Trojaner steht.

Duqu war insbesondere bei Angriffen auf industrielle Kontrollsysteme aufgefallen, wurde also im Rahmen von Industriespionage eingesetzt. Populärstes Ziel waren dabei Atomkraftwerke im Iran.

Viviane Reding zur „IT-Persönlichkeit des Jahres“ gewählt

Veröffentlicht am von
3

Das Technikmagazin CHIP verleiht auch dieses Jahr wieder die CHIP-AWARDS für herausragende Leistungen der digitalen Welt auf der CeBIT in Hannover. Dieses Jahr geht der Award in der Kategorie „IT-Persönlichkeit des Jahres“ geht an die EU-Kommissarin für Justiz, Grundrechte und Bürgerschaft, Viviane Reding. Viviane Reding war nicht zuletzt massgeblich daran beteiligt, dass das umstrittene ACTA-Vorhaben dem Europäischen Gerichtshof zur Prüfung vorgelegt wurde. In ihrer diesbezüglichen Stellungnahme heisst es unter anderem:

The EuropeanUnion therefore stands for a freely accessible Internet and for freedom of expression and freedom of information via the Internet.

und

Copyright protection can never be a justification for eliminating freedom of expression or freedom of information.

(Quelle: http://ec.europa.eu/commission_2010-2014/reding/pdf/quote_statement_en.pdf)

Auch sonst setzt sich die EU-Kommissarin an vorderster Front für Bürgerrechte, Meinungsfreiheit und Datenschutz ein. Im Vorjahr erhielt übrigens die EU-Wettbewerbskommissarin Neelie Kroes die Auszeichnung für ihren Kampf gegen Monopolstellungen großer Konzerne wie Microsoft und Intel.

Am Rande sei erwähnt, dass die CHIP-Redaktion auch jedes Jahr einen Preis für die „Bremse des Jahres“ verleiht. Dieser ging im Jahr 2011 an die GEMA. Bleibt abzuwarten, wer diesen Preis diesmal erhält …

P.S.: Wem die CHIP zu bunt ist, der erhält auf techfacts.de sehr übersichtlich weitere Computernews aus allen Bereichen.

 

ComputerStrafrechtBLOG jetzt auch bei JuraBlogs!

Veröffentlicht am von
Antworten

Seit letzten Samstag, den 18.02.2011, ist dieses Blog auch bei den JuraBlogs gelistet. Das freut mich sehr und hoffe, dass sich darüber neue Leser dieses Blogs einfinden, die Interesse am Computerstrafrecht, Datenschutz und IT-Forensik haben.

In den letzten Wochen war es hier auf dem Blog serh ruhig, was sicherlich zum einen an der beschaulichen Stimmung zum Jahreswechsel gelegen hat, aber auch daran, dass ich auf meinem anderen Blog STRAF!Verteidiger etwas aktiver war. Besetzungsrügen am BGH, soviel sei gesagt. Wer Kollege ist, und sich interessiert, der darf sich das andere Blog gerne mal ansehen. Dort finden sich diverse Themen, die einen Strafverteidiger in seinem Alltag beschäftigen. Alles was Computerstrafrecht im weiteren Seinne ist, also alles was mit neuen Medien, Datenbeschlagnahme, IT-Forensik etc. zu tun hat, steht (auch in Zukunft) hier.

Danke an die JuraBlogs für die Aufnahme, ich denke, dies verschafft mir die nötige Motivation, in den nächsten Wochen und Monaten hier einiges an neuem Content zu bloggen!

 

P.S.: Wer den Newsfeed sucht, linke Spalte, ganz unten im Kasten „Meta“…

Guten Rutsch …..

Veröffentlicht am von
Antworten

wünsche ich allen Lesern dieses Blogs. Auch wenn in letzter Zeit die Anzahl der Beiträge etwas spärlich war, wird es im nächsten Jahr in höherer Frequenz weitergehen. Es wird weiterhin Beiträge zu den Themen Computerstrafrecht, Internetstrafrecht, IT-Forensik und Datenschutz geben, auch und insbesondere die Hinweise auf andere Quellen zu diesen Themen im Netz sollen umfangreicher werden als bisher.

Bis dahin wünsche ich allen Lesern ein frohes und glückliches Jahr 2012. Und wer nicht so froh und nicht so glücklich ist, der darf sich mit diesem Artikel aus der ZEIT trösten, der uns zeigt, das zuviel Glück auch nichts ist ;-).

Der Autor Burkhardt Straßmann kommt dort zu folgendem schönen Resümee:

Ich stöberte in meinen Unterlagen. Und siehe, die Berufeneren hatten schon lange alles Entscheidende dazu gesagt. Nietzsche: Glück als Schmerzvermeidung verhindert ein intensives Leben. Schopenhauer: Gäbe es allerorten Glück, würden die Menschen vor Langeweile sterben, sich aufhängen, bekriegen, würgen oder morden. Und natürlich Blaise Pascal: Alles Unglück der Menschen kommt von einem Einzigen – dass sie es nämlich nicht verstehen, in Ruhe in einem Zimmer zu bleiben. Zufrieden melancholisch kam ich zu Hause an.

Also, öfter mal Gedankenanstöße bei unseren Philosophen holen! Aus eigener Erfahrung darf ich allerdings den Tipp geben, Nietzsche und Schopenhauer nicht zu oft zu Rate zu ziehen, es könnte auf das Gemüt schlagen 🙂

Netzsperren – vom Tisch!

Veröffentlicht am von
Antworten

Bereits am 1.12.2011 hat der deutsche Bundestag das umstrittene Zugangserschwerungsgesetz gekippt. Seinerzeit war es auf Betreiben von „Zensursula“ eingeführt worden, kinderpornographische Angebote im Netz sollten damit gesperrt werden.

Ein lobenswertes Ziel, mag man meinen. Wieso das nicht so ist, hatte ich an anderer Stelle bereits vor einiger Zeit beschrieben (Netzsperren – VR China als Vorbild

Mit etwas Abstand vom Thema und angesichts der massiven Proteste aus der Bevölkerung, haben sich unsere Politiker zum Glück eines Besseren besonnen und es dabei belassen, dass Zensur etwas für die VR China ist, aber nicht für die BRD.

Abgesehen davon, dass damit ein schleichender Rückfall in die deutsche Vergangenheit der Bücherverbrennungen gestoppt wurde, ist auch das eigentliche Problem von unseren Politikern erkannt worden. Sperren hilft nicht, es ist eine Alibi-Lösung zur Gewissensberuhigung von Gutmenschen. Löschen ist der konsequente Ansatz, auch wenn es im Einzelfall mit erheblichen Schwierigkeiten und Mühen verbunden sein mag.

Dazu zitiert die taz Justizministerin Leutheusser-Schnarrenberger wie folgt:

„Im Interesse der Opfer werden die Darstellungen auch in Zukunft konsequent und schnellstmöglich an der Quelle gelöscht“, sagte Justizministerin Sabine Leutheusser-Schnarrenberger (FDP). „Eine Scheinlösung durch leicht zu umgehende Stoppschilder wird es nicht geben.“

(taz)

Abschaffen, so einfach kann Gesetzgebung sein !

Freiheit und Sicherheit oder Sicherheit statt Freiheit?

Veröffentlicht am von
3

Der nachfolgende Beitrag wurde von mir für die AAV-Mitteilungen 1/2007 geschrieben. Es war das große Modethema des damaligen Innenministers, Wolfgang Schäuble. Verschärfungen der Sicherheitsgesetze war das damalige politische Schlagwort. Nach den Kofferbombenattentätern von Köln folgte im September 2007 die Festnahme der sog. Sauerland-Terroristen. Dieses Verfahren konnte ich damals hautnah miterleben, weil ich zur gleichen Zeit im Prozessgebäude des OLG Düsseldorf  in einem anderen Verfahren als Verteidiger saß.

Mein Fazit von damals, daß sich Online-Durchsuchungen weniger gegen Terrorverdächtige oder hartgesottene organisierte Schwerverbrecher richten würden, als vielmehr hauptsächlich  gegen „unbedarfte“ Täter im Rahmen normaler Kriminalität, hat sich jedenfalls im Fall des „Bayerntrojaners“ bestätigt, wo wegen Verstößen gegen das Arzneimittelgesetz (Vergehen, 5 Jahre Höchststrafe) ermittelt wurde. Jedenfalls ist der Beitrag nach wie vor interessant. Die damals verabschiedeten Gesetze gibt es immer noch. Brauchen wir sie wirklich?

Freiheit und Sicherheit oder Sicherheit statt Freiheit?

 

Liebe Kolleginnen,

liebe Kollegen,

auf dem kürzlich ausgerichteten 58 Deutschen Anwaltstag in Mannheim hat der Vorstand des DAV am 16.05.2007 eine Resolution zur geplanten Verschärfung der Sicherheitsgesetze verabschiedet. (http://www.anwaltverein.de/03/02/2007/dat/resolution.pdf). Kernpunkt der Resolution ist die These:

„Freiheitsrechte dulden grundsätzlich keinen Kompromiss. Die in den letzten Jahren angehäufte Summe der Eingriffe in die Freiheitsrechte ist schon jetzt unerträglich.“

Wenn die Verfasser der Resolution bereits konstatieren, dass die in den letzten Jahren angehäufte Summe der Eingriffe in Freiheitsrechte „schon jetzt“ unerträglich sei, erscheint die Resolution zunächst einmal als verspätet.

Angesichts der breiten öffentlichen Diskussion zu dieser Thematik in den letzten Monaten und Jahren wird daher der ein oder andere sicherlich fragen, wieso jetzt (erst)?

Ich denke, die jetzige Beschlussfassung des DAV zeigt deutlich, dass Aktivitäten gegen die weitere Beschneidung von Freiheitsrechten mittlerweile jenseits parteipolitischer Diskussionen oder politischer „Stimmungsmache“ erforderlich sind. Wollte der DAV möglicherweise zunächst keine klare Stellungnahme abgeben, um sich nicht einem parteipolitischen Lager zuordnen zu lassen, so scheint sich eine Handlungspflicht für uns Anwälte nunmehr – so könnte man sagen – fast zwingend aus §§ 1 BRAO, 1 BORA zu ergeben.

Als unabhängige Organe der Rechtspflege dient unsere Tätigkeit der Verwirklichung des Rechtsstaats. Unsere Mandanten haben wir zwar zunächst vor Fehlentscheidungen im Einzelfall durch Gerichte und Behörden zu bewahren, die tägliche Praxis des Anwaltsberufs.

Darüber hinaus haben wir Anwältinnen und Anwälte gemäß § 1 Abs. 3 BORA jedoch auch die Aufgabe, unsere Mandanten gegen verfassungswidrige Beeinträchtigungen und staatliche Machtüberschreitung zu sichern. Wenn der Staat in seiner Rolle als Gesetzgeber also Freiheiten der Bürger in zunehmenden Maße „zu Gunsten“ ihrer Sicherheit beschneidet, so muss es Aufgabe gerade auch der Anwaltschaft sein, die Freiheitsrechte der Bürger vor dem Gesetzgeber über den konkreten Einzelfall hinaus zu schützen und folgerichtig auch einmal die Frage zu stellen: „Wie viel Sicherheit braucht der Bürger eigentlich?“

Dementsprechend hat der DAV in seiner Resolution scharfe Kritik an den geplanten Gesetzesvorhaben geübt:

„Der DAV ist sich der Schutzpflicht des Staates durchaus bewusst. Er wehrt sich dennoch dagegen, dass die Bundesrepublik Deutschland von einem Freiheits- und Rechtsstaat zu einem Sicherheits- und Überwachungsstaat zu werden droht“.

Deutlichere Worte kann man kaum finden. Auch wenn eine Vertiefung der allgemeinen Problematik im Rahmen des vorliegenden Artikels nicht erfolgen kann, soll im Folgenden anhand eines konkret geplanten „Sicherheitsgesetzes“ aufgezeigt werden, dass der pauschale Ruf nach mehr Sicherheit unter der (falschen) Flagge der Terrorismusbekämpfung gefährlich ist und letztendlich nur zu einer immer weiter gehenden Ausweitung der Befugnisse der Strafverfolgungsbehörden führt, wobei Freiheiten der Bürger zwar nachhaltig beeinträchtigt werden, ein Gewinn an Sicherheit jedoch nicht erreicht wird.

Ein völlig indiskutables (weil nutzloses) Gesetzgebungsvorhaben wird derzeit auf den Weg gebracht, die so genannte „Online-Durchsuchung“ soll den „Schäuble-Katalog“ um weitere Maßnahmen erweitern..

I. Was ist eine Online-Durchsuchung?

Vorbemerkung

Zunächst sollte klargestellt werden, dass eine Ausweitung der Befugnisse der Verfassungsschutzbehörden nicht Gegenstand der Diskussion sein soll. Entsprechende Befugnisse standen dem Verfassungsschutz, dem BND und dem MAD nach Auffassung des Bundesinnenministeriums bereits in der Vergangenheit zu (so jedenfalls die Antwort des parlamentarischen Staatssekretärs im BMI auf eine entsprechende Anfrage, vgl. dazu http://www.heise.de/newsticker/meldung/87316).

Auch das (zum 30.12.2006 geänderte) Verfassungsschutzgesetz NRW sieht in § 5 Abs. 2 Nr. 11 derartige Maßnahmen vor. Gegen dieses Gesetz sind bereits Verfassungsbeschwerden anhängig.

Der gezielte Einsatz von hoch qualifizierten staatlichen „Hackern“ gegen einige wenige Terrorverdächtige mag sinnvoll erscheinen. Angesichts der personellen Kapazitäten der Behörden in diesem Bereich dürften sich solche Maßnahmen regelmäßig auf eine ganz geringe Anzahl von Verdächtigen beschränken. Davon mag man halten was man will.

Gegenstand der aktuellen Diskussion ist daher einzig und allein die Frage, wieso neben den Geheimdiensten die Strafverfolgungsbehörden ebenfalls entsprechende Eingriffsmöglichkeiten erhalten sollen.

Anlass war eine Entscheidung des BGH. Dieser hatte hatte Anfang des Jahres  in einem Beschluss (BGH StB 18/06; abgedruckt in NStZ 2007, 279 ff.) die so genannte „Online-Durchsuchung“ für unzulässig gehalten.

Der Bundesinneminister hatte daraufhin erklärt:

Aus ermittlungstaktischen Gründen ist es unerlässlich, dass die Strafverfolgungsbehörden die Möglichkeit haben, eine Online-Durchsuchung nach entsprechender richterlicher Anordnung verdeckt durchführen können. Hierdurch können regelmäßig wichtige weitere Ermittlungsansätze gewonnen werden. Durch eine zeitnahe Anpassung der Strafprozessordnung muss eine Rechtsgrundlage für solche Ermittlungsmöglichkeiten geschaffen werden“

Mit einer Pressemitteilung vom 2.6.2007 hat der Bundesinnenminister noch einmal bekräftigt, einen entsprechenden Gesetzesentwurf noch vor der Sommerpause vorzulegen.

Der Begriff „Online-Durchsuchung“

Zunächst ist festzuhalten, dass es sich bei dem derzeit geprägten Schlagwort „Online-Durchsuchung“ nicht um eine klar definierte Ermittlungsmaßnahme handelt. Vielfältig wird zutreffender von „Online-Überwachung“ gesprochen (vgl. dazu und insgesamt zum Folgenden den lesenswerten Aufsatz von Buermeyer, HRRS 2007, 154 ff.).

Zusammenfassend kann man aber sagen, dass Ziel dieser Ermittlungsmaßnahme ein Fernzugriff der Ermittlungsbehörden auf Computersysteme von Verdächtigen ist.

Bereits jetzt ist es über Maßnahmen der Telekommunikationsüberwachung möglich, dass Ermittlungsbehörden auf die im Austausch befindlichen E-Mails, Dateien etc. von Internet-Benutzern zugreifen. Als Erweiterung dieser Maßnahme möchten die Ermittlungsbehörden nunmehr sozusagen „live“ auf das im Betrieb befindliche Computersystem eines Verdächtigen zugreifen können.

Im Gegensatz zu einer klassischen Durchsuchungsmaßnahme handelt es sich bei dieser Maßnahme somit nicht um eine offenen, sondern um einen verdeckten Eingriff. Aus diesem Grund hatte auch der Bundesgerichtshof Anfang des Jahres (BGH StB 18/06) die „Online-Durchsuchung“ für unzulässig erklärt. Die Begründung stützte der BGH dabei maßgeblich auf die heimliche Ausführung der Maßnahme, weil ein heimliches Vorgehen von § 102 StPO nicht gedeckt wird.

II. Was soll die Maßnahme?

Ziel des nunmehr bevorstehenden Gesetzgebungsvorhabens ist die Schaffung einer weiteren verdeckten Ermittlungsmethode.

Dabei ist der eigentliche Zweck dieser Maßnahme auf den ersten Blick überhaupt nicht ersichtlich. Die Daten auf der Festplatte eines PC Systems können die Ermittlungsbehörden sich nach geltender Rechtslage bereits verschaffen. Bei einer klassischen Durchsuchungsmaßnahme wird der PC sichergestellt, anschließend die auf den Festplatten befindlichen Daten ausgewertet.

Auch elektronische Kommunikationsmaßnahmen (E-Mail, Datenaustausch über Server etc.) können die Ermittler im Rahmen der geltenden Vorschriften über die Telekommunikationsüberwachung bereits nach geltendem Recht überwachen.

Das augenscheinliche Begehren des Bundesinnenministers ist daher, dass der von einer Durchsuchung seines PC betroffene Verdächtige nicht – wie bisher im Rahmen der klassischen Durchsuchung – vom Zugriff der Ermittlungsbehörden erfährt, und somit nicht von dem gegen ihn geführten Ermittlungsverfahren.

Des Weiteren könnten bei einer Online – Durchsuchung von PC Systemen auch Inhalte des Hauptspeichers (RAM) ausgelesen werden, die naturgemäß beim Ausschalten des Systems gelöscht werden und an die man daher mit klassischen Durchsuchungsmaßnahmen nicht gelangen kann.

Ein anderes Argument der Ermittlungsbehörden ist , dass online übermittelte Kommunikation von Verdächtigen häufig verschlüsselt wird. Die Überwachung des PC Systems im Betrieb könnte dazu beitragen, dass solche Daten noch vor Verschlüsselung durch die Ermittlungsbehörden ausgelesen werden könnten.

Wo wären die Verbesserungen?

Von den Zugriffsmöglichkeiten her betrachtet könnten die Ermittlungsbehörden z. B. über einen Online-Zugriff eine einmalige Datenspiegelung des Zielsystems anfertigen. Dies käme einer Datensicherung wie nach einer klassischen Durchsuchungsmaßnahme gleich. Einziger Vorteil wäre, dass der Betroffene nichts von der Maßnahme bemerkt.

Die zweite (neue Möglichkeit) für die Ermittlungsbehörde bestünde darin, die einmal gespiegelten Daten fortan kontinuierlich auf Veränderungen zu überwachen. So könnte beispielsweise am Tagesende überprüft werden, welche neuen Dateien ein Verdächtiger erstellt hat bzw. verschickt hat.

Angesichts der Tatsache, dass eine entsprechende Fernzugriffsoftware eine komplette Steuerung jedes Zielsystems ermöglicht, wären jedoch auch andere Einsatzmöglichkeiten denkbar. Mittels einer „Keylogger“-Funktion könnten beispielsweise Passwörter (im Klartext) über die Tastatureingabe mitgeschnitten werden. Auch wäre denkbar, dass an ein PC System angeschlossene Mikrofone oder Kameras („Webcam“) aktiviert würden und die sodann aufgezeichneten Daten an die Ermittlungsbehörden übertragen würden. Insbesondere dieses Beispiel der kompletten Fernsteuerung eines Zielrechners zeigt jedoch bereits die Problematik der geplanten Maßnahme. Denn einerseits würde sich über die Aktivierung von Mikrofonen und Kameras der „große Lauschangriff“ eröffnen. Andererseits könnten die Ermittlungsbehörden– ohne Kontrolle des Verdächtigen – Daten anlegen, kopieren oder versenden, ohne dass der Verdächtige davon etwas bemerkt.

Technische Umsetzung der Fernüberwachung

1.

Derzeit ist es jedoch aufgrund technischer Gegebenheiten äußerst fraglich, ob die Behörden überhaupt über die Mittel zur technischen Umsetzung der geplanten Online-Durchsuchung verfügen. Prinzipiell gibt es für die unbemerkte Durchsuchung und Fernsteuerung eines Rechnersystems nur zwei Ansätze, dies technisch umzusetzen.

Zum einen könnten die Sicherheitsbehörden dem Verdächtigen einen „Bundestrojaner“ unterschieben. Dazu müsste das Programm wie herkömmliche Schadsoftware (Virus, Trojaner, „Rootkit“) verbreitet werden. Möglich wäre hier das Ausnutzen bekannter Sicherheitslücken in vorhandener Standardsoftware. Angesichts der ebenfalls standardmäßig vorhandenen Schutzsoftware (Anti-Viren-Software, Firewall etc.), dürfte eine Infiltration von verdächtigen Rechnersystemen auf diesem Wege jedoch scheitern. Dies insbesondere deswegen, da einige namhafte Hersteller von Antiviren-Software bereits plakativ zum Ausdruck gebracht haben, dass ihre Software auch den Bundestrojaner finden würde.

2.

Als zweiter Ansatzpunkt käme daher eine Manipulation der Infrastruktur von Standardsoftware oder des Internets in Betracht. Über gesetzliche Vorschriften könnten die Behörden beispielsweise die Hersteller von Betriebssystemen dazu verpflichten, eine so genannte „Backdoor“ für den Zugriff der Behörden vorzusehen. Diese Möglichkeit ist jedoch nicht praktikabel, da es bereits jetzt frei verfügbare Betriebssysteme gibt, deren Quellcode offen liegt. In solche Software eine „Backdoor“ zu verstecken, ist unmöglich.

Praktikabilität der Online-Überwachung

Sollte es den Behörden dennoch gelungen sein, einem unvorsichtigen Verdächtigen einen „Bundestrojaner“ unterzuschieben, stößt die Online-Überwachung aufgrund der technischen Gegebenheiten schnell an ihre Grenzen.

Die Mehrzahl aller Internet-Nutzer wird als Zugriffmöglichkeit einen DSL-Anschluss verwenden. Mit diesen Anschlüssen kann man zwar relativ hohe Downloadraten erzielen, der Upload (Verbindung von PC in Richtung Internet) geht jedoch sehr viel schleppender voran. Bei einem Standard DSL-Anschluss würde die Kopie einer 50 Gigabyte Festplatte daher fast sechs Tage in Anspruch nehmen. Während dieses Zeitraums könnte der PC Nutzer zudem wegen des hohen Uploads kaum noch seine DSL-Leitung nutzen. Damit dem Verdächtigen eine entsprechende Spiegelung also nicht auffallen kann, wäre es erforderlich, die Online-Spiegelung nicht mit voller Geschwindigkeit vorzunehmen. Somit würde die Zeit für eine Spiegelung noch über die genannten 6 Tage steigen. Wenn man sich vor Augen führt, dass in aktuelle PC Geräte standardmäßig Festplatten mit einer Größe von 80 bis 160 Gigabyte eingebaut werden, zudem in vielen Rechners mehrere Festplatten vorhanden sind, zeigt sich die Absurdität des Gesetzesvorhabens ganz deutlich.

Sicherheit?

 Angesichts der fehlenden Praktikabilität der geplanten Maßnahme wäre ein Sicherheitsgewinn nicht vorhanden. Der gezielte Einsatz von hoch qualifizierten staatlichen „Hackern“ gegen einige wenige Terrorverdächtige mag sinnvoll erscheinen. Angesichts der personellen Kapazitäten der Behörden in diesem Bereich dürften sich solche Maßnahmen jedoch auf eine ganz geringe Anzahl von Verdächtigen beschränken. Dabei würde es sich regelmäßig um solche Verdächtige handeln, die ohnehin von den Geheimdiensten beobachtet werden. Wieso also nebenher die Strafverfolgungsbehörden eine entsprechende Eingriffsmöglichkeit benötigen, ist nicht ersichtlich. Sicherheit würde hier in Form eines falschen Sicherheitsgefühl geschaffen, wie bei vielen anderen Maßnahmen der jüngeren Vergangenheit auch.

Angesichts der technischen Unbedarftheit und Leichtsinnigkeit mit der ein Verdächtiger an das Medium Internet herangehen müsste, um überhaupt in das Visier der Ermittlungsbehörden zu geraten, würde zu nennenswerten Aufklärungserfolgen lediglich im Bereich der Kleinkriminalität führen.

Wer weiß, welche technischen Möglichkeiten professionell agierenden Kriminellen – zu denen Terroristen wohl zählen dürften – zur Verfügung stehen, kann über das Gesetzesvorhaben des Bundesinnenministers nur lachen.

Organisierte Kriminelle aus dem Bereich Terrorismus oder Drogenkriminalität gehen regelmäßig bei ihrer Kommunikation untereinander derart konspirativ vor, dass herkömmliche Maßnahmen der Telekommunikationsüberwachung nicht mehr greifen. Vielmehr kommunizieren solche Verdächtige mittlerweile über Voice over IP (VOIP ), eine Art Telefonersatz per Internet. Aufgrund der Struktur des Internets ist eine Überwachung dieser Kommunikation de facto nicht möglich. Hinzu kommt, dass Verdächtige entsprechende Kommunikation auch noch verschlüsseln. Die zeitaufwendige Entschlüsselung macht eine Überwachung daher sinnlos. Das gleiche gilt für den E-Mail Verkehr. Wer meint, professionell agierende Täter würden E-Mails mit belastendem Inhalt im Klartext versenden, der irrt gewaltig. Zum Einsatz kommt professionelle Verschlüsselungssoftware, die für staatliche Behörden nicht zu knacken ist. Sollte die Verschlüsselung doch zu knacken sein, so nur von Geheimdiensten und dann mit einem immensen Zeitaufwand. Was nützt den Behörden aber die E-Mail mit der – verschlüsselten – Verabredung zu Terroranschlägen am 11. September 2001, die frühestens am 11. September 2002 entschlüsselt wird?

Sofern von Seite der Behörden nunmehr argumentiert wird, genau deswegen braucht man eine Online-Durchsuchung, wird wiederum nur Sand in die Augen der Bevölkerung gestreut. Denn der Schutz gegen die beabsichtigte Maßnahme bzw. deren Umgehung ist ganz simpel: Die Daten müssen lediglich auf einem Computer verschlüsselt werden, der keinen Internet Zugang hat.

Im Übrigen dürfte es bereits heute nicht der Wirklichkeit entsprechen wenn man annähme, Terrorverdächtige oder organisierte Kriminelle würden Verabredungen zu Verbrechen von ihrem heimischen Wohnzimmer-PC treffen. Vielmehr dürfte sich hier die Nutzung eines Internet-Cafés oder eines anderen öffentlich zugänglichen Rechners (z. B. in Universitäten, Schulen, etc.) anbieten. Das gleiche gilt für „verdächtige“ Informationsbeschaffungen (herunterladen von Anleitungen zur Herstellung von Sprengstoff, Bomben, Kampftechniken etc.).

Um die von den Behörden beschriebenen Szenarien wirkungsvoll zu unterbinden und kontrollieren bedürfte es einer Regelung, die eine freie Kommunikation über das Internet verbietet. Ein entsprechendes Praxisbeispiel findet sich derzeit in der – vorbildlichen Demokratie – Nordkorea. Dort gibt es – bis auf wenige Behörden – PCs keinen freien Internet Zugang. Das gesamte Land verfügt über ein de facto „Intranet“, also vergleichbar einem lokalem Unternehmensnetzwerk. Offizielle staatliche Stellen entscheiden, welche Inhalte zugänglich sind und welche nicht.

 

Fazit:

Die geplante Maßnahme einer Online-Durchsuchung richtet sich daher nicht – wie von offizieller Seite behauptet – gegen Terrorverdächtige und organisierte Kriminelle. Diese Personen haben bereits jetzt wirkungsvolle Mechanismen, die geplante Maßnahme zu umgehen.

Die Online-Überwachung könnte also allenfalls die bessere Aufklärung von Bagatellkriminalität zur Folge haben (Internet–Betrug, Urheberrechtsverletzungen etc.). Doch um auf dieser Ebene erfolgreich zu sein, müssten zunächst entsprechende personelle und technische Voraussetzungen mit entsprechenden finanziellen Mitteln bei den Ermittlungsbehörden geschaffen werden.
Mit freundlichen kollegialen Grüßen

Thomas Koll

Rechtsanwalt

Fachanwalt für Strafrecht

Das Original dieses Textes wurde in den AAV-Mitteilungen 1/2007 veröffentlicht.