Remote Control System (RCS) “Galileo” – Neuer Staatstrojaner für Handy’s

Sicherheitsspezialist Kaspersky warnt vor einem neuen Smartphone-(Staats-)Trojaner mit dem Namen "Galileo", der von Geheimdiensten und Strafverfolgungsbehörden eingesetzt wird. Die Spionagesoftware lässt sich auf iPhones (mit Jailbreak) und Android-Handys sowie WindowsMobile und Blackberry gleichermassen einsetzen.

Der Staatstrojaner wird den Berichten von Kaspersky zufolge von Ländern in der ganzen Welt verwendet und wurde in der Vergangenheit bereits gegen  Menschenrechtler, Politiker und Journalisten eingesetzt. Der Betrieb erfolgt über ein Netzwerk weltweit verteilter Kommandoserver in den USA, Kasachstan, Ecuador, England und Kanada. Insgesamt sollen es mehrere hundert Server in über 40 Ländern sein.

 

Er ermöglicht die Ortung des Handys, kann Fotos aufnehmen und versendet Informationen über die im Handy genutzte SIM- Karte. "Galileo" kann die gesamte Kommunikation (WhatsApp, Viber, Skype und SMS), die über ein Smartphone läuft, abfangen, und das Gerät sogar zur mobilen Wanze machen. Ja sogar Telefonate kann die RCS des Herstellers ”HackingTeam” abhören.

 

Heise bezeichnet den Funktionsumfang als “erschreckend”. Eine informative Grafik von Spiegel Online zeigt, welche Staaten Software des Herstellers HackingTeam und damit möglicherweise auch das Tool einsetzen.

Strafverteidiger und CCC lehnen Beschlüsse des Deutschen Juristentages zur Strafverfolgung im Internet ab

Die auf dem diesjährigen DJT in München gefassten Beschlüsse aus der Abteilung Strafrecht sind bereits letzte Woche zu Recht kritisiert worden, so z.B. im Blog des Kollegen Hoenig.

 

In seinem Beitrag hat der Kollege zu Recht darauf hingewiesen, dass es unter Juristen “solche und solche” gibt und folgende Vermutung geäußert:

 

Strafverteidiger, also eine Untergruppe der Rechtsanwälte, die die Rechte des (einzelnen) Bürgers gegenüber dem Staatsapparat vertreten, sind mit großer Wahrscheinlichkeit nicht in der Mehrzahl an solchen Entscheidungen beteiligt.

Recht hat er! Das Organisationsbüro der Strafverteidigervereinigungen, der Republikanische Anwältinnen- und Anwälteverein (RAV) und der Chaos Computer Club (CCC) lehnen daher die Vorschläge des Deutschen Juristentages zur Strafverfolgung im Internet in einer gemeinsamen Presseerklärung ab.

 

Dort heisst es unter anderem:

 

… Die Freiheit, unbeobachtet zu kommunizieren, muss daher in Zukunft besser geschützt und nicht etwa abgebaut werden. …

Wissenschaftliche Untersuchungen in jüngerer Zeit stellen den Nutzen beispielsweise der Vorratsdatenspeicherung bei der Bekämpfung von Terrorismus und schweren Straftaten ohnehin in Frage. Erst dieser Tage musste der Bundesdatenschutzbeauftragte erneut darauf hinweisen, dass Telekommunikationsunternehmen weiterhin in großem Umfang persönliche Daten von Kunden speicherten, die weit über das hinausgehen, was zur Abrechnung der Verbindungen erforderlich und zulässig wäre. …

Quelle: https://www.ccc.de/de/updates/2012/juristentag

Dem ist nichts hinzuzufügen. Weiterhin muss erwähnt werden, dass sich der Deutsche Anwaltverein laut Meldung von WinFuture bereits auf dem DJT gegen die Beschlüsse ausgesprochen hatte.

Viviane Reding zur „IT-Persönlichkeit des Jahres“ gewählt

Das Technikmagazin CHIP verleiht auch dieses Jahr wieder die CHIP-AWARDS für herausragende Leistungen der digitalen Welt auf der CeBIT in Hannover. Dieses Jahr geht der Award in der Kategorie „IT-Persönlichkeit des Jahres“ geht an die EU-Kommissarin für Justiz, Grundrechte und Bürgerschaft, Viviane Reding. Viviane Reding war nicht zuletzt massgeblich daran beteiligt, dass das umstrittene ACTA-Vorhaben dem Europäischen Gerichtshof zur Prüfung vorgelegt wurde. In ihrer diesbezüglichen Stellungnahme heisst es unter anderem:

The EuropeanUnion therefore stands for a freely accessible Internet and for freedom of expression and freedom of information via the Internet.

und

Copyright protection can never be a justification for eliminating freedom of expression or freedom of information.

(Quelle: http://ec.europa.eu/commission_2010-2014/reding/pdf/quote_statement_en.pdf)

Auch sonst setzt sich die EU-Kommissarin an vorderster Front für Bürgerrechte, Meinungsfreiheit und Datenschutz ein. Im Vorjahr erhielt übrigens die EU-Wettbewerbskommissarin Neelie Kroes die Auszeichnung für ihren Kampf gegen Monopolstellungen großer Konzerne wie Microsoft und Intel.

Am Rande sei erwähnt, dass die CHIP-Redaktion auch jedes Jahr einen Preis für die „Bremse des Jahres“ verleiht. Dieser ging im Jahr 2011 an die GEMA. Bleibt abzuwarten, wer diesen Preis diesmal erhält …

P.S.: Wem die CHIP zu bunt ist, der erhält auf techfacts.de sehr übersichtlich weitere Computernews aus allen Bereichen.

 

Netzsperren – vom Tisch!

Bereits am 1.12.2011 hat der deutsche Bundestag das umstrittene Zugangserschwerungsgesetz gekippt. Seinerzeit war es auf Betreiben von „Zensursula“ eingeführt worden, kinderpornographische Angebote im Netz sollten damit gesperrt werden.

Ein lobenswertes Ziel, mag man meinen. Wieso das nicht so ist, hatte ich an anderer Stelle bereits vor einiger Zeit beschrieben (Netzsperren – VR China als Vorbild

Mit etwas Abstand vom Thema und angesichts der massiven Proteste aus der Bevölkerung, haben sich unsere Politiker zum Glück eines Besseren besonnen und es dabei belassen, dass Zensur etwas für die VR China ist, aber nicht für die BRD.

Abgesehen davon, dass damit ein schleichender Rückfall in die deutsche Vergangenheit der Bücherverbrennungen gestoppt wurde, ist auch das eigentliche Problem von unseren Politikern erkannt worden. Sperren hilft nicht, es ist eine Alibi-Lösung zur Gewissensberuhigung von Gutmenschen. Löschen ist der konsequente Ansatz, auch wenn es im Einzelfall mit erheblichen Schwierigkeiten und Mühen verbunden sein mag.

Dazu zitiert die taz Justizministerin Leutheusser-Schnarrenberger wie folgt:

„Im Interesse der Opfer werden die Darstellungen auch in Zukunft konsequent und schnellstmöglich an der Quelle gelöscht“, sagte Justizministerin Sabine Leutheusser-Schnarrenberger (FDP). „Eine Scheinlösung durch leicht zu umgehende Stoppschilder wird es nicht geben.“

(taz)

Abschaffen, so einfach kann Gesetzgebung sein !

Freiheit und Sicherheit oder Sicherheit statt Freiheit?

Der nachfolgende Beitrag wurde von mir für die AAV-Mitteilungen 1/2007 geschrieben. Es war das große Modethema des damaligen Innenministers, Wolfgang Schäuble. Verschärfungen der Sicherheitsgesetze war das damalige politische Schlagwort. Nach den Kofferbombenattentätern von Köln folgte im September 2007 die Festnahme der sog. Sauerland-Terroristen. Dieses Verfahren konnte ich damals hautnah miterleben, weil ich zur gleichen Zeit im Prozessgebäude des OLG Düsseldorf  in einem anderen Verfahren als Verteidiger saß.

Mein Fazit von damals, daß sich Online-Durchsuchungen weniger gegen Terrorverdächtige oder hartgesottene organisierte Schwerverbrecher richten würden, als vielmehr hauptsächlich  gegen „unbedarfte“ Täter im Rahmen normaler Kriminalität, hat sich jedenfalls im Fall des „Bayerntrojaners“ bestätigt, wo wegen Verstößen gegen das Arzneimittelgesetz (Vergehen, 5 Jahre Höchststrafe) ermittelt wurde. Jedenfalls ist der Beitrag nach wie vor interessant. Die damals verabschiedeten Gesetze gibt es immer noch. Brauchen wir sie wirklich?

Freiheit und Sicherheit oder Sicherheit statt Freiheit?

 

Liebe Kolleginnen,

liebe Kollegen,

auf dem kürzlich ausgerichteten 58 Deutschen Anwaltstag in Mannheim hat der Vorstand des DAV am 16.05.2007 eine Resolution zur geplanten Verschärfung der Sicherheitsgesetze verabschiedet. (http://www.anwaltverein.de/03/02/2007/dat/resolution.pdf). Kernpunkt der Resolution ist die These:

„Freiheitsrechte dulden grundsätzlich keinen Kompromiss. Die in den letzten Jahren angehäufte Summe der Eingriffe in die Freiheitsrechte ist schon jetzt unerträglich.“

Wenn die Verfasser der Resolution bereits konstatieren, dass die in den letzten Jahren angehäufte Summe der Eingriffe in Freiheitsrechte „schon jetzt“ unerträglich sei, erscheint die Resolution zunächst einmal als verspätet.

Angesichts der breiten öffentlichen Diskussion zu dieser Thematik in den letzten Monaten und Jahren wird daher der ein oder andere sicherlich fragen, wieso jetzt (erst)?

Ich denke, die jetzige Beschlussfassung des DAV zeigt deutlich, dass Aktivitäten gegen die weitere Beschneidung von Freiheitsrechten mittlerweile jenseits parteipolitischer Diskussionen oder politischer „Stimmungsmache“ erforderlich sind. Wollte der DAV möglicherweise zunächst keine klare Stellungnahme abgeben, um sich nicht einem parteipolitischen Lager zuordnen zu lassen, so scheint sich eine Handlungspflicht für uns Anwälte nunmehr – so könnte man sagen – fast zwingend aus §§ 1 BRAO, 1 BORA zu ergeben.

Als unabhängige Organe der Rechtspflege dient unsere Tätigkeit der Verwirklichung des Rechtsstaats. Unsere Mandanten haben wir zwar zunächst vor Fehlentscheidungen im Einzelfall durch Gerichte und Behörden zu bewahren, die tägliche Praxis des Anwaltsberufs.

Darüber hinaus haben wir Anwältinnen und Anwälte gemäß § 1 Abs. 3 BORA jedoch auch die Aufgabe, unsere Mandanten gegen verfassungswidrige Beeinträchtigungen und staatliche Machtüberschreitung zu sichern. Wenn der Staat in seiner Rolle als Gesetzgeber also Freiheiten der Bürger in zunehmenden Maße „zu Gunsten“ ihrer Sicherheit beschneidet, so muss es Aufgabe gerade auch der Anwaltschaft sein, die Freiheitsrechte der Bürger vor dem Gesetzgeber über den konkreten Einzelfall hinaus zu schützen und folgerichtig auch einmal die Frage zu stellen: „Wie viel Sicherheit braucht der Bürger eigentlich?“

Dementsprechend hat der DAV in seiner Resolution scharfe Kritik an den geplanten Gesetzesvorhaben geübt:

„Der DAV ist sich der Schutzpflicht des Staates durchaus bewusst. Er wehrt sich dennoch dagegen, dass die Bundesrepublik Deutschland von einem Freiheits- und Rechtsstaat zu einem Sicherheits- und Überwachungsstaat zu werden droht“.

Deutlichere Worte kann man kaum finden. Auch wenn eine Vertiefung der allgemeinen Problematik im Rahmen des vorliegenden Artikels nicht erfolgen kann, soll im Folgenden anhand eines konkret geplanten „Sicherheitsgesetzes“ aufgezeigt werden, dass der pauschale Ruf nach mehr Sicherheit unter der (falschen) Flagge der Terrorismusbekämpfung gefährlich ist und letztendlich nur zu einer immer weiter gehenden Ausweitung der Befugnisse der Strafverfolgungsbehörden führt, wobei Freiheiten der Bürger zwar nachhaltig beeinträchtigt werden, ein Gewinn an Sicherheit jedoch nicht erreicht wird.

Ein völlig indiskutables (weil nutzloses) Gesetzgebungsvorhaben wird derzeit auf den Weg gebracht, die so genannte „Online-Durchsuchung“ soll den „Schäuble-Katalog“ um weitere Maßnahmen erweitern..

I. Was ist eine Online-Durchsuchung?

Vorbemerkung

Zunächst sollte klargestellt werden, dass eine Ausweitung der Befugnisse der Verfassungsschutzbehörden nicht Gegenstand der Diskussion sein soll. Entsprechende Befugnisse standen dem Verfassungsschutz, dem BND und dem MAD nach Auffassung des Bundesinnenministeriums bereits in der Vergangenheit zu (so jedenfalls die Antwort des parlamentarischen Staatssekretärs im BMI auf eine entsprechende Anfrage, vgl. dazu http://www.heise.de/newsticker/meldung/87316).

Auch das (zum 30.12.2006 geänderte) Verfassungsschutzgesetz NRW sieht in § 5 Abs. 2 Nr. 11 derartige Maßnahmen vor. Gegen dieses Gesetz sind bereits Verfassungsbeschwerden anhängig.

Der gezielte Einsatz von hoch qualifizierten staatlichen „Hackern“ gegen einige wenige Terrorverdächtige mag sinnvoll erscheinen. Angesichts der personellen Kapazitäten der Behörden in diesem Bereich dürften sich solche Maßnahmen regelmäßig auf eine ganz geringe Anzahl von Verdächtigen beschränken. Davon mag man halten was man will.

Gegenstand der aktuellen Diskussion ist daher einzig und allein die Frage, wieso neben den Geheimdiensten die Strafverfolgungsbehörden ebenfalls entsprechende Eingriffsmöglichkeiten erhalten sollen.

Anlass war eine Entscheidung des BGH. Dieser hatte hatte Anfang des Jahres  in einem Beschluss (BGH StB 18/06; abgedruckt in NStZ 2007, 279 ff.) die so genannte „Online-Durchsuchung“ für unzulässig gehalten.

Der Bundesinneminister hatte daraufhin erklärt:

Aus ermittlungstaktischen Gründen ist es unerlässlich, dass die Strafverfolgungsbehörden die Möglichkeit haben, eine Online-Durchsuchung nach entsprechender richterlicher Anordnung verdeckt durchführen können. Hierdurch können regelmäßig wichtige weitere Ermittlungsansätze gewonnen werden. Durch eine zeitnahe Anpassung der Strafprozessordnung muss eine Rechtsgrundlage für solche Ermittlungsmöglichkeiten geschaffen werden“

Mit einer Pressemitteilung vom 2.6.2007 hat der Bundesinnenminister noch einmal bekräftigt, einen entsprechenden Gesetzesentwurf noch vor der Sommerpause vorzulegen.

Der Begriff „Online-Durchsuchung“

Zunächst ist festzuhalten, dass es sich bei dem derzeit geprägten Schlagwort „Online-Durchsuchung“ nicht um eine klar definierte Ermittlungsmaßnahme handelt. Vielfältig wird zutreffender von „Online-Überwachung“ gesprochen (vgl. dazu und insgesamt zum Folgenden den lesenswerten Aufsatz von Buermeyer, HRRS 2007, 154 ff.).

Zusammenfassend kann man aber sagen, dass Ziel dieser Ermittlungsmaßnahme ein Fernzugriff der Ermittlungsbehörden auf Computersysteme von Verdächtigen ist.

Bereits jetzt ist es über Maßnahmen der Telekommunikationsüberwachung möglich, dass Ermittlungsbehörden auf die im Austausch befindlichen E-Mails, Dateien etc. von Internet-Benutzern zugreifen. Als Erweiterung dieser Maßnahme möchten die Ermittlungsbehörden nunmehr sozusagen „live“ auf das im Betrieb befindliche Computersystem eines Verdächtigen zugreifen können.

Im Gegensatz zu einer klassischen Durchsuchungsmaßnahme handelt es sich bei dieser Maßnahme somit nicht um eine offenen, sondern um einen verdeckten Eingriff. Aus diesem Grund hatte auch der Bundesgerichtshof Anfang des Jahres (BGH StB 18/06) die „Online-Durchsuchung“ für unzulässig erklärt. Die Begründung stützte der BGH dabei maßgeblich auf die heimliche Ausführung der Maßnahme, weil ein heimliches Vorgehen von § 102 StPO nicht gedeckt wird.

II. Was soll die Maßnahme?

Ziel des nunmehr bevorstehenden Gesetzgebungsvorhabens ist die Schaffung einer weiteren verdeckten Ermittlungsmethode.

Dabei ist der eigentliche Zweck dieser Maßnahme auf den ersten Blick überhaupt nicht ersichtlich. Die Daten auf der Festplatte eines PC Systems können die Ermittlungsbehörden sich nach geltender Rechtslage bereits verschaffen. Bei einer klassischen Durchsuchungsmaßnahme wird der PC sichergestellt, anschließend die auf den Festplatten befindlichen Daten ausgewertet.

Auch elektronische Kommunikationsmaßnahmen (E-Mail, Datenaustausch über Server etc.) können die Ermittler im Rahmen der geltenden Vorschriften über die Telekommunikationsüberwachung bereits nach geltendem Recht überwachen.

Das augenscheinliche Begehren des Bundesinnenministers ist daher, dass der von einer Durchsuchung seines PC betroffene Verdächtige nicht – wie bisher im Rahmen der klassischen Durchsuchung – vom Zugriff der Ermittlungsbehörden erfährt, und somit nicht von dem gegen ihn geführten Ermittlungsverfahren.

Des Weiteren könnten bei einer Online – Durchsuchung von PC Systemen auch Inhalte des Hauptspeichers (RAM) ausgelesen werden, die naturgemäß beim Ausschalten des Systems gelöscht werden und an die man daher mit klassischen Durchsuchungsmaßnahmen nicht gelangen kann.

Ein anderes Argument der Ermittlungsbehörden ist , dass online übermittelte Kommunikation von Verdächtigen häufig verschlüsselt wird. Die Überwachung des PC Systems im Betrieb könnte dazu beitragen, dass solche Daten noch vor Verschlüsselung durch die Ermittlungsbehörden ausgelesen werden könnten.

Wo wären die Verbesserungen?

Von den Zugriffsmöglichkeiten her betrachtet könnten die Ermittlungsbehörden z. B. über einen Online-Zugriff eine einmalige Datenspiegelung des Zielsystems anfertigen. Dies käme einer Datensicherung wie nach einer klassischen Durchsuchungsmaßnahme gleich. Einziger Vorteil wäre, dass der Betroffene nichts von der Maßnahme bemerkt.

Die zweite (neue Möglichkeit) für die Ermittlungsbehörde bestünde darin, die einmal gespiegelten Daten fortan kontinuierlich auf Veränderungen zu überwachen. So könnte beispielsweise am Tagesende überprüft werden, welche neuen Dateien ein Verdächtiger erstellt hat bzw. verschickt hat.

Angesichts der Tatsache, dass eine entsprechende Fernzugriffsoftware eine komplette Steuerung jedes Zielsystems ermöglicht, wären jedoch auch andere Einsatzmöglichkeiten denkbar. Mittels einer „Keylogger“-Funktion könnten beispielsweise Passwörter (im Klartext) über die Tastatureingabe mitgeschnitten werden. Auch wäre denkbar, dass an ein PC System angeschlossene Mikrofone oder Kameras („Webcam“) aktiviert würden und die sodann aufgezeichneten Daten an die Ermittlungsbehörden übertragen würden. Insbesondere dieses Beispiel der kompletten Fernsteuerung eines Zielrechners zeigt jedoch bereits die Problematik der geplanten Maßnahme. Denn einerseits würde sich über die Aktivierung von Mikrofonen und Kameras der „große Lauschangriff“ eröffnen. Andererseits könnten die Ermittlungsbehörden– ohne Kontrolle des Verdächtigen – Daten anlegen, kopieren oder versenden, ohne dass der Verdächtige davon etwas bemerkt.

Technische Umsetzung der Fernüberwachung

1.

Derzeit ist es jedoch aufgrund technischer Gegebenheiten äußerst fraglich, ob die Behörden überhaupt über die Mittel zur technischen Umsetzung der geplanten Online-Durchsuchung verfügen. Prinzipiell gibt es für die unbemerkte Durchsuchung und Fernsteuerung eines Rechnersystems nur zwei Ansätze, dies technisch umzusetzen.

Zum einen könnten die Sicherheitsbehörden dem Verdächtigen einen „Bundestrojaner“ unterschieben. Dazu müsste das Programm wie herkömmliche Schadsoftware (Virus, Trojaner, „Rootkit“) verbreitet werden. Möglich wäre hier das Ausnutzen bekannter Sicherheitslücken in vorhandener Standardsoftware. Angesichts der ebenfalls standardmäßig vorhandenen Schutzsoftware (Anti-Viren-Software, Firewall etc.), dürfte eine Infiltration von verdächtigen Rechnersystemen auf diesem Wege jedoch scheitern. Dies insbesondere deswegen, da einige namhafte Hersteller von Antiviren-Software bereits plakativ zum Ausdruck gebracht haben, dass ihre Software auch den Bundestrojaner finden würde.

2.

Als zweiter Ansatzpunkt käme daher eine Manipulation der Infrastruktur von Standardsoftware oder des Internets in Betracht. Über gesetzliche Vorschriften könnten die Behörden beispielsweise die Hersteller von Betriebssystemen dazu verpflichten, eine so genannte „Backdoor“ für den Zugriff der Behörden vorzusehen. Diese Möglichkeit ist jedoch nicht praktikabel, da es bereits jetzt frei verfügbare Betriebssysteme gibt, deren Quellcode offen liegt. In solche Software eine „Backdoor“ zu verstecken, ist unmöglich.

Praktikabilität der Online-Überwachung

Sollte es den Behörden dennoch gelungen sein, einem unvorsichtigen Verdächtigen einen „Bundestrojaner“ unterzuschieben, stößt die Online-Überwachung aufgrund der technischen Gegebenheiten schnell an ihre Grenzen.

Die Mehrzahl aller Internet-Nutzer wird als Zugriffmöglichkeit einen DSL-Anschluss verwenden. Mit diesen Anschlüssen kann man zwar relativ hohe Downloadraten erzielen, der Upload (Verbindung von PC in Richtung Internet) geht jedoch sehr viel schleppender voran. Bei einem Standard DSL-Anschluss würde die Kopie einer 50 Gigabyte Festplatte daher fast sechs Tage in Anspruch nehmen. Während dieses Zeitraums könnte der PC Nutzer zudem wegen des hohen Uploads kaum noch seine DSL-Leitung nutzen. Damit dem Verdächtigen eine entsprechende Spiegelung also nicht auffallen kann, wäre es erforderlich, die Online-Spiegelung nicht mit voller Geschwindigkeit vorzunehmen. Somit würde die Zeit für eine Spiegelung noch über die genannten 6 Tage steigen. Wenn man sich vor Augen führt, dass in aktuelle PC Geräte standardmäßig Festplatten mit einer Größe von 80 bis 160 Gigabyte eingebaut werden, zudem in vielen Rechners mehrere Festplatten vorhanden sind, zeigt sich die Absurdität des Gesetzesvorhabens ganz deutlich.

Sicherheit?

 Angesichts der fehlenden Praktikabilität der geplanten Maßnahme wäre ein Sicherheitsgewinn nicht vorhanden. Der gezielte Einsatz von hoch qualifizierten staatlichen „Hackern“ gegen einige wenige Terrorverdächtige mag sinnvoll erscheinen. Angesichts der personellen Kapazitäten der Behörden in diesem Bereich dürften sich solche Maßnahmen jedoch auf eine ganz geringe Anzahl von Verdächtigen beschränken. Dabei würde es sich regelmäßig um solche Verdächtige handeln, die ohnehin von den Geheimdiensten beobachtet werden. Wieso also nebenher die Strafverfolgungsbehörden eine entsprechende Eingriffsmöglichkeit benötigen, ist nicht ersichtlich. Sicherheit würde hier in Form eines falschen Sicherheitsgefühl geschaffen, wie bei vielen anderen Maßnahmen der jüngeren Vergangenheit auch.

Angesichts der technischen Unbedarftheit und Leichtsinnigkeit mit der ein Verdächtiger an das Medium Internet herangehen müsste, um überhaupt in das Visier der Ermittlungsbehörden zu geraten, würde zu nennenswerten Aufklärungserfolgen lediglich im Bereich der Kleinkriminalität führen.

Wer weiß, welche technischen Möglichkeiten professionell agierenden Kriminellen – zu denen Terroristen wohl zählen dürften – zur Verfügung stehen, kann über das Gesetzesvorhaben des Bundesinnenministers nur lachen.

Organisierte Kriminelle aus dem Bereich Terrorismus oder Drogenkriminalität gehen regelmäßig bei ihrer Kommunikation untereinander derart konspirativ vor, dass herkömmliche Maßnahmen der Telekommunikationsüberwachung nicht mehr greifen. Vielmehr kommunizieren solche Verdächtige mittlerweile über Voice over IP (VOIP ), eine Art Telefonersatz per Internet. Aufgrund der Struktur des Internets ist eine Überwachung dieser Kommunikation de facto nicht möglich. Hinzu kommt, dass Verdächtige entsprechende Kommunikation auch noch verschlüsseln. Die zeitaufwendige Entschlüsselung macht eine Überwachung daher sinnlos. Das gleiche gilt für den E-Mail Verkehr. Wer meint, professionell agierende Täter würden E-Mails mit belastendem Inhalt im Klartext versenden, der irrt gewaltig. Zum Einsatz kommt professionelle Verschlüsselungssoftware, die für staatliche Behörden nicht zu knacken ist. Sollte die Verschlüsselung doch zu knacken sein, so nur von Geheimdiensten und dann mit einem immensen Zeitaufwand. Was nützt den Behörden aber die E-Mail mit der – verschlüsselten – Verabredung zu Terroranschlägen am 11. September 2001, die frühestens am 11. September 2002 entschlüsselt wird?

Sofern von Seite der Behörden nunmehr argumentiert wird, genau deswegen braucht man eine Online-Durchsuchung, wird wiederum nur Sand in die Augen der Bevölkerung gestreut. Denn der Schutz gegen die beabsichtigte Maßnahme bzw. deren Umgehung ist ganz simpel: Die Daten müssen lediglich auf einem Computer verschlüsselt werden, der keinen Internet Zugang hat.

Im Übrigen dürfte es bereits heute nicht der Wirklichkeit entsprechen wenn man annähme, Terrorverdächtige oder organisierte Kriminelle würden Verabredungen zu Verbrechen von ihrem heimischen Wohnzimmer-PC treffen. Vielmehr dürfte sich hier die Nutzung eines Internet-Cafés oder eines anderen öffentlich zugänglichen Rechners (z. B. in Universitäten, Schulen, etc.) anbieten. Das gleiche gilt für „verdächtige“ Informationsbeschaffungen (herunterladen von Anleitungen zur Herstellung von Sprengstoff, Bomben, Kampftechniken etc.).

Um die von den Behörden beschriebenen Szenarien wirkungsvoll zu unterbinden und kontrollieren bedürfte es einer Regelung, die eine freie Kommunikation über das Internet verbietet. Ein entsprechendes Praxisbeispiel findet sich derzeit in der – vorbildlichen Demokratie – Nordkorea. Dort gibt es – bis auf wenige Behörden – PCs keinen freien Internet Zugang. Das gesamte Land verfügt über ein de facto „Intranet“, also vergleichbar einem lokalem Unternehmensnetzwerk. Offizielle staatliche Stellen entscheiden, welche Inhalte zugänglich sind und welche nicht.

 

Fazit:

Die geplante Maßnahme einer Online-Durchsuchung richtet sich daher nicht – wie von offizieller Seite behauptet – gegen Terrorverdächtige und organisierte Kriminelle. Diese Personen haben bereits jetzt wirkungsvolle Mechanismen, die geplante Maßnahme zu umgehen.

Die Online-Überwachung könnte also allenfalls die bessere Aufklärung von Bagatellkriminalität zur Folge haben (Internet–Betrug, Urheberrechtsverletzungen etc.). Doch um auf dieser Ebene erfolgreich zu sein, müssten zunächst entsprechende personelle und technische Voraussetzungen mit entsprechenden finanziellen Mitteln bei den Ermittlungsbehörden geschaffen werden.
Mit freundlichen kollegialen Grüßen

Thomas Koll

Rechtsanwalt

Fachanwalt für Strafrecht

Das Original dieses Textes wurde in den AAV-Mitteilungen 1/2007 veröffentlicht.

Das Computergrundrecht – 1 BvR 370/07, 1 BvR 595/07

„Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informations- technischer Systeme“

Seitdem der Staatstrojaner die Debatte um Online-Durchsuchungen neu belebt hat, wird immer wieder auf die Entscheidungen 1 BvR 370/07 und 1 BvR 595/07 Bezug genommen. Dort hatte sich das Bundesverfassungsgericht erstmalig zu Online-Durchsuchungen geäußert. Die Entscheidung ist auch auf JurPC zu finden.

Auf der Seite digital constitution ist heute ein schönes Impulspapier von Julius Weyrauch erschienen, das sich mit dem vom BVerfG geschaffenen Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme – kurz: Computergrundrecht – beschäftigt.

… Die anfängliche mediale Begeisterung, die diesem Vorgehen zuteil wurde, wich sehr schnell einer kontroversen Beurteilung im Schrifttum. Die zahlreichen skeptischen Äußerungen geben Anlass, sich näher mit dem Urteil des Bundesverfassungsgerichts und dem darin entwickelten GVIiS auseinanderzusetzen. Hierbei sollen nach einer kurzen Einführung in die Thematik der Online-Durchsuchung die vom BVerfG festgestellten Lücken im Grundrechtschutz kritisch hinterfragt und der rechtliche Gehalt der neuen Gewährleistung aufgezeigt werden, um im Anschluss der Frage nachzugehen, ob mit der Online-Durchsuchung ein Sachverhalt vorliegt, der tatsächlich die Schöpfung eines neuen Grundrechts erforderlich macht.

Das Bundesverfassungsgericht hat sich in seinem Urteil vom 28.02.2008 mit der Online-Durchsuchung auseinandergesetzt. Dabei haben die Karlsruher Richter den zuvor im rechtswissenschaftlichen Schrifttum geäußerten Behauptungen, die Online-Durchsuchung sei an den Grundrechten aus Art. 10 und 13 GG sowie dem allgemeinen Persönlichkeitsrecht in seiner besonderen Ausprägung als „Recht auf informationelle Selbstbestimmung“ (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) zu messen, hinsichtlich der heimlichen Infiltration von IT-Systemen eine Absage erteilt. Stattdessen hat das Gericht mit dem „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“ (nachfolgend „GVIiS“) einen neuen grundrechtlichen Prüfungsmaßstab geschaffen. …

http://www.uni-muenster.de/Jura.tkr/digitalconstitution/?p=271

Der Beitrag von Julius Weyrauch kommt zu dem richtigen Ergebnis, dass die Prägung eines eigenständigen Grundrechts durch das BVerfG richtig und sachgerecht war und ist.

Justizstatistik zur TKÜ für das Jahr 2010

Spitzenreiter Drogendelikte, Betrug und Steuerhinterziehung im Mittelfeld, Schlusslichter Terrorismus und Völkermord

Das Bundesamt für Justiz stellt jährlich eine Statistik zur Verfügung, aus der sich die Anzahl der Telekommuikationsüberwachunsmaßnahmen im vergangenen Jahr ergibt. Die einzelnen Statistiken finden sich hier.

Wie die Statistik zur TKÜ 2010 zeigt, sind schwerste Straftaten wie Terrorismus, Völkermord und Mord vergleichsweise unterrepräsentiert. Am häufigsten wird bei Drogendelikten gelauscht. Auch vergleichsweise häufig bei Steuerhinterziehung und Betrugsstraftaten. Damit zeigt sich deutlich, dass TKÜ-Maßnahmen heutzutage zum Standardrepertoire der Ermittlungsbehörden auch im Bereich der mittleren bis geringfügigen Kriminalität gehören.

Zur immer weitergehenden Ausweitung des Anwendungsbereichs dieser heimlichen Ermittlungsmaßnahme gibt es einen sehr lesenwerten Beitrag vom Kollegen Dr. Björn Gehrcke. Zur Rechtstatsachenforschung sei auf die Studie „Rechtswirklichkeit und Effizienz der Telekommunikationsüberwachung“ von Albrecht verwiesen, leider aus dem Jahr 2003.

Von Methusalem-Piraten und Möllemännern

FDP – Piratenpartei belebt das Geschäft!

Justizministerin Leutheusser-Schnarrenberger hat im SPIEGEL-Interview eine Aufklärung der Staatstrojaner-Affäre gefordert. Lesen kann man das ganze hier. Dabei mahnt sie zum einen eine wirksamere Kontrolle der Exekutive an, zum anderen eine genauere Kontrolle bei der Auftragsvergabe an private Firmen, der Bayerntrojaner war von der privaten Firma DigiTec entwickelt worden.

Interessant ist, daß die Justizministerin an liberale Persönlichkeiten wie Gerhart Baum und Burkhardt Hirsch erinnert, die in einem weiteren SPIEGEL-Online-Artikel bezeichnenderweise Methusalem-Piraten genannt werden. Diese drei FDP-Politiker sind genau das Gegenteil von unseren Panikmache-Politikern, die sich unter dem Deckmantel von Terrorphantasien und Bedrohungsfiktionen wieder und wieder an den Freiheitsgrundrechten unserer Verfassung vergreifen.

Angesichts von Umfragewerten bei der Sonntagsfrage von 9% für die Piratenpartei derzeit hat jedenfalls unsere Justizminsterin erkannt, dass die FDP vielleicht ein größeres Wählerpotential hat, als die immer kleiner werdende Gruppe der Besserverdiener, wenn sie sich auf Schutz und Verteidigung von Freiheitsgrundrechten zurückbesinnt. Angesichts der Tatsache, daß die FDP bei der gleichen Umfrage nur noch bei 3% liegt, bei der letzten Bundestagswahl immerhin noch bei über 14%, wäre allerdings auch die These „PiratenPartei frißt FDP“ denkbar …

Was wäre eigentlich, wenn Methusalem-Piraten das Ruder des Piratenschiffs übernehmen oder tatkräftige Jung-Piraten an Bord der Freiheitlich Demokratischen Piratenpartei anheuern? 14 + 9 = 23. Mehr als 18 Einkaufswagenchips und für den Hacker eine magische Zahl, klar soweit?

In diesem Sinne: Trinkt aus, Piraten Yo-Ho!

Netzsperren – Volksrepublik China als Vorbild

Zensur im Internet – Sinn und Unsinn von Netzsperren

Seit einiger Zeit ist eine kontroverse politische Debatte über sog. „Netzsperren“ entbrannt. Das nach heißer Debatte und mehrfachen Änderungen mittlerweile vom Bundestag verabschiedete „Gesetz zur Erschwerung des Zugangs zu kinderpornographischen Inhalten in Kommunikationsnetzen“ (Zugangserschwerungsgesetz) ist zwischenzeitlich in Kraft getreten und wurde am 17.02.2010 verkündet (Bundesgesetzblatt Teil I, 2010, S. 78ff).

Wegen der aktuellen Debatte wurde jedoch vom Bundesinnenministerium die Anweisung an das BKA gegeben, derzeit keine Sperrliste zu führen. Mit diesem Gesetz wurde erstmals eine gesetzliche Grundlage geschaffen, Internetzugangsprovider zu verpflichten, gewisse in einer – vom BKA geführten – Sperrliste erfasste Internetan­gebote mit kinderpornographischem Inhalt für den Zugriff der Internet-User zu sperren. Sperrverfügungen im Einzelfall sind jedoch seit langem ein Thema. Insbesondere in NRW sind von Seite der Bezirksregierungen in der Vergangenheit verwaltungsrechtliche Sperrverfügungen gegen Internetprovider ergangen. Gegenstand waren andere rechtswidrige Inhalte im Netz, z.B. rechtsradikale Inhalte, linksextremistische Inhalte, islamistisch-terroristische Inhalte. Das Zugangserschwerungsgesetz ist nun das erste Gesetz, dass die Sperrung von Inter­netangeboten bei den Providern ermöglicht, ohne dass eine einzelfallbezogene Sperrverfügung ergehen muss.

Gegen das Gesetz sind zahlreiche Stimmen laut geworden, von Politikern, Datenschutzbeauftragten und auch von Opferschutzverbänden. Ein sehr umfassender Überblick zum Meinungsstand findet sich unter: http://www.datenschutzbeauftragter-online.de/uberblick-zum-thema-netzsperren/.

Zunächst mag man sich fragen, wieso die Sperrung von kinderpornographischen Seiten für den Zugriff durch Be­nutzer überhaupt diskutiert wird. Sollte es nicht selbstverständlich sein, dass auf derartige illegale Inhalte nicht zugegriffen werden darf? Ist es bereits, denn mit den §§ 184 b ff. StGB existieren bereits jetzt Strafvorschriften, die das Betrachten, Herunterladen, Besitzen usw. von Kinderpornographie unter – drastische – Strafen stellen. Be­reits dadurch wird Kinderpornographie geächtet und bekämpft. Den Zugriff auf solche – rechtswidrigen – Inhalte nun a priori zu verhindern, ist sicherlich ein berechtigtes Ziel des Gesetzgebers. Nur wird das Ziel mit dem vorlie­genden Gesetz nicht erreicht. Zu Recht ist daher Kritik an dem Gesetz geübt worden. Einige Kritikpunkte – neben zahlreichen weiteren – sind:

1.    Die technische Umsetzung der Sperren ist ineffektiv. Jeder Internetnutzer kann sie umgehen (in 30 Sekunden/ Anleitungs-Video auf YouTube zu finden).

2.    Das BKA bestimmt über seine Sperrliste, welche Seiten gesperrt werden. Zensur durch die Polizei im demokratischen Rechtsstaat?

3.    Eine gerichtliche Überprüfung ist für den betroffenen Internet-User nicht möglich.

4.    Sperren heißt „Wegschauen“. Die rechtswidrigen Inhalte bleiben im Netz.

Insbesondere das zweite und das dritte Argument bergen das eigentliche „Potential“ der Debatte.

Technische Sperren einzelner Inhalte sind aufgrund der Struktur des Internets praktisch nicht umzusetzen. Schon der Name des Gesetzes zeigt, dass es technisch gar nicht um eine Sperrung geht, sondern nur um eine „Erschwerung“. Technisch möglich sind Sperren nur bei einer kompletten Umstrukturierung des Internets. Ein „erfolgreiches“ Beispiel liefert die Volksrepublik China. Der Staat erhält eine technisch wirksame Kontrolle, wenn er eine Art „Intranet“ im Internet schafft. Damit wird aber technisch auch die Möglichkeit einer (demokratisch nicht mehr kontrollierbaren) „Totalzensur“ geschaffen. Für viele Aktivisten ist das Zugangserschwerungsgesetz der Vorbote solcher Entwicklungen. Diese Befürchtung ist nicht etwa in den Bereich der Verschwörungstheorien zurückzuweisen.

So weist bereits eine Studie des Wissenschaftlichen Dienstes des Bundestages aus der Zeit des Gesetzge­bungsverfahrens auf die derzeit fehlende technische Realisierbarkeit hin. Dort heißt es dann unter ande­rem:„Gerade am Beispiel China zeigt sich, dass Sperrungen durchaus wirksam durchgesetzt werden können, allerdings mit einem erheblichen Aufwand an Kosten, Zeit und Human Resources. Um Sperrungen effektiv handha­ben zu können, müsste das Internet ganzheitlich umstrukturiert werden und insbesondere seine ursprüngliche Intention, nämliche die dezentrale Vernetzung von Computern, aufgegeben werden.”

Mittlerweile gibt es Bestrebungen zu einer derartigen Internetzensur auch in Australien. Dies wurde insbesondere von der US-Amerikanischen Regierung stark kritisiert. Es ist daher nur eine Frage der Zeit, wann der erste deutsche Politiker angesichts der fehlenden Wirksamkeit des Zugangserschwerungsgesetzes die Schaffung der erforderlichen technischen Voraussetzungen fordern wird. Und es ist auch nur eine Frage der Zeit, bis der nächste Rechtsbruch im Internet auf diese Weise bekämpft werden soll (rechtswidrige politische Inhalte, Urheberrechtsverstöße, Glücksspielseiten etc.).

Entsprechende „Begehrlichkeiten“ sind bereits am Rande der Debatte geäußert worden. Auch wenn sich daher derzeit wohl niemand ernsthaft beschweren kann, dass seine Meinungs- und Informationsfreiheit eingeschränkt würde, wenn der Zugriff auf kinderpornographische Inhalte im Netz gesperrt wird, so wird man das Argument der Einschränkung der Meinungs- und Informationsfreiheit der Bürger bei einer Debatte um Urheberrechtsverstöße und rechtswidrige politische Inhalte nicht außer Acht lassen können. In diesem Zusammenhang muss auch die Ausgestaltung des jetzigen Gesetzes hinsichtlich der Umsetzung der Sperrungen harte Kritik vertragen.

Zunächst dürfen in die Sperrliste nur Seiten aufgenommen werden, die Inhalte nach § 184 b StGB enthalten. Wer sich mit der diesbezüglichen Rechtsprechung auseinandersetzt, der erkennt, dass die Abgrenzung im Einzelfall (selbst bei der relativ eindeutigen Materie Kinderpornographie!) schwierig ist. Für diese Feststellung ist nunmehr aber kein Gericht, sondern das BKA zuständig. Schon unter dem Gesichtspunkt der Gewaltenteilung ist es hochproblematisch, dass eine Polizeibehörde darüber befindet, welche Inhalte den Tatbestand des § 184 b StGB erfüllen. Sofern der Gesetzgeber in Zukunft auf dem Gebiet der oben benannten „Begehrlichkeiten“ tätig würde, läge es nahe, sich bezüglich der gesetzlichen Ausgestaltung am Zugangserschweru ngsgesetz zu orientieren.

Man stelle sich jedoch im politischen Bereich (rechtsextremistisch, linksextremistisch, islamistisch) vor, dass BKA hätte die Entscheidungskompetenz, welche Inhalte rechtswidrig und daher zu sperren sind. Das Prinzip der Gewaltenteilung wäre hinfällig. Daher ist dieser Entwicklung frühzeitig Einhalt zu gebieten. Principiis obsta! Das vorliegende Gesetz gibt den Telemediendiensteanbietern zwar die Möglichkeit, bezüglich der Aufnahme von Inhalten in die Sperrliste den Verwaltungsrechtsweg zu beschreiten. Das Gesetz enthält jedoch keinen – und dies ist Hauptgrund für die starke öffentliche Kritik an dem Gesetz –Rechtsweg für Privatpersonen, die überprüfen wollen, ob ihre Meinungs- und Informationsfreiheit zu Unrecht beschränkt wird. Mit anderen Worten, wie überprüft der Bürger ob ihm das BKA zu Recht einzelne Internetseiten gesperrt hat? Hier muss ein klar definierter Rechtsweg für jeden Bürger geschaffen werden. Denn das Internet steht jedem Bürger zur Nutzung im Rahmen seiner Informations- und Meinungsfreiheit zur Verfügung. Im Sinne der Gewaltenteilung muss zudem sichergestellt sein, dass nur solche Inhalte in Sperrlisten des BKA aufgenommen werden, deren Rechtswidrigkeit ein deutsches Gericht rechtskräftig festgestellt hat. Das vorliegende Gesetz ist daher unbrauchbar. Es ist dringend Nachbesserungsbedarf geboten. Die emotionale Debatte um Kinderpornographie darf nicht dazu füh­ren, dass ein Einfallstor für eine Internetzensur geschaffen wird, welche die Meinungs- und Informationsfreiheit der Bundesbürger einschränkt. Die bestehenden Strafvorschriften reichen völlig aus, das Verbreiten und den Zugriff auf rechtswidrige Inhalte zu ächten und zu bestrafen. Eindeutig (durch Gerichtsurteil) als rechtswidrig qualifizierte Inhalte können auf inländischen Servern schon jetzt gelöscht werden. Der Einwand, Inhalte auf Servern im Ausland könnten im Einzelfall nicht gelöscht werden, deswegen müssten Möglichkeiten der Sperrung bestehen, ist eine Flucht vor dem eigentlichen Problem. Das zeigt sich bereits daran, dass in Finnland, wo eine derartige Sperrliste schon länger existiert, 96% der gesperrten Angebote auf Servern der „westlichen Welt“ lagen. Zensur oder Sperrung ändert nichts an diesem Problem. Es kommt schließlich auch niemand auf die Idee, bei einer rechtswidrigen Demonstration von Verfassungsfeinden die Fenster der betroffenen Anwohner zu vernageln, anstatt den (rechtswidrigen) Demonstrationszug aufzulösen. Sofern es Schwierigkeiten bei der Löschung von rechtswidrigen Inhalten auf ausländischen Servern gibt, müssen diesbezüglich gesetzliche Regelungen zur Erleichterung solcher Löschungen getroffen werden. Dabei wird es sicher-lich Probleme geben, denn was in einem Staat rechtswidrig ist, ist vielleicht in einem anderen Staat legal. Dann muss -politisch- darum gerungen werden, solche Löschungen durchzusetzen. Oder ist es ernsthaft erstrebenswert, den Bürgern in Deutschland die Bildschirme und Augen zu verbinden, damit diese nicht sehen können, dass in anderen Staaten rechtswidrige Inhalte ungestraft auf öffentlich zugänglichen Servern gelagert werden? Können wir beruhigter schlafen und haben Kinderpornographie bekämpft, weil wir Kinderpornoseiten aus dem Ausland nicht mehr im Inland sehen können? Dann sollten wir uns wirklich die Volksrepublik China als Vorbild nehmen, um die Netzsperren zumindest effektiv umzusetzen. In diesem Sinne: Gute Nacht!

 

Dieser Beitrag ist erstmals erschienen in den AAV-Mitteilungen 06/Mai 2010

 

Bundestrojaner – natürlich wird dementiert!

Was zu erwarten war …….

ist nunmehr eingetreten. Auch wenn die Pressemeldungen des BMI und die des BKA sich derzeit in Schweigen hüllen, soll ein Sprecher des Bundesinnenministeriums (BMI) dementiert haben, dass die vom CCC untersuchte Software jemals vom BKA eingesetzt wurde.

Wunderbar! Dann ist ja alles in Ordnung. Gestern hatte ich geschrieben

Besser natürlich noch – und das werden wir am Ende bei soviel Dilettantismus sicherlich hören – Dementis und Distanzierungen. Das ist ja das schöne an geheimen Operationen eines Staates: Wenn etwas an die Öffentlichkeit dringt, dann kann man dieser Öffentlichkeit erzählen, was man will, die Heimlichkeit kennt sie schließlich nicht.

Den Kern dieses Problems haben Ferner und Hecksteden anscheinend übersehen. Bei Ferner findet ich allerdings eine gute Übersicht zu den bisherigen Indizien, die auf eine Urheberschaft der Ermittlungsbehörden an der Spionagesoftware hindeuten.

Sofern Ferner weiterhin schreibt

Die sich seit gestern überschlagenden Pressemeldungen tun der guten Arbeit des CCC leider keinen Gefallen: Sollte sich herausstellen, dass es sich hier um ein Modellprojekt einer einzelnen Abteilung handelt, wird das ganze zur Lachnummer. Es ist zudem erschreckend, dass hier ausgerechnet seitens der Kritiker mit Methoden gearbeitet wird, die sonst den überwachenden Stellen vorgeworfen werden: Andeutungen & Vermutungen werden in Quasi-Fakten umgemünzt.

hat er natürlich Recht, die Sache kann zur Lachnummer werden. Sein Erschrecken kann ich jedoch nicht verstehen, den Feind muss man mit seinen eigenen Waffen bekämpfen. Beweise und Indizien für Geheimoperationen des Staates zu finden, ist nicht leicht. In diesem Bereich zur Praxis unserer Panikmache-Politiker zu greifen, völlig legitim. Und am Ende darf nicht vergessen werden, der einzige Geheimschutz außerhalb des Staatsapparates heißt Quellenschutz bei Journalisten und Whistleblowern!

Zum Schluss führt alles zu der immer wieder gestellten Frage: Wer kontrolliert unsere geheimen Ermittler? Der Bundesdatenschutzbeauftragte Peter Schaar hat sich bereits zu Wort gemeldet, siehe hier. Nur wie bekommt der Datenschutzbeauftragte Zugang zur Geheimpolizei? Die Katze beißt sich in den Schwanz!

Update: Olano hat dem Thema ein schönes Gedicht gewidmet 😉 http://olimano.blog.de/2011/10/10/ccc-vs-bundestrojaner-11991868/