Vorwort
Der Beschluss des 3. Strafsenats des Bundesgerichtshofs zur sogenannten
»Online-Durchsuchung« hat ein lebhaftes Echo gefunden: Während einige der deutlichen Erinnerung des
Senats an die eingriffsbegrenzende Funktion des Gesetzesvorbehalts für grundrechtsrelevante
Ermittlungshandlungen zustimmten, forderten andere, die für das Strafverfahren bisher fehlende
formalgesetzliche Grundlage einer solchen Maßnahme baldmöglichst zu schaffen.
Anders als die engagiert geführte Diskussion in Rechtwissenschaft und Politik
vermuten ließe, handelt es sich bei »der« Online-Durchsuchung jedoch nicht um eine klar definierte
Ermittlungsmaßnahme. Selbst in der bislang noch recht übersichtlichen Rechtsprechung finden sich
unterschiedliche – intendierte oder angeordnete – Eingriffe.
Der folgende Beitrag möchte zur
Begriffsklärung beitragen und darstellen, warum es bei der zutreffender als Online-Überwachung zu
bezeichnenden Maßnahme aus tatsächlicher Sicht geht. Dazu wird zunächst die Terminologie
vorgestellt, die zur Kennzeichnung der allgegenwärtigen – illegalen – Angriffe verwandt wird, mit
denen EDV-Anwender konfrontiert werden. Was ist eigentlich genau ein »Sniffer« oder ein
»Root-Kit«?
Daran anknüpfend wird gegenübergestellt, welche Erkenntnismöglichkeiten sich den
Ermittlungsbehörden bereits heute durch Überwachung des Internet-Verkehrs und Auswertung einer
beschlagnahmten EDV-Anlage bieten und welche technischen und ermittlungstaktischen Vorteile eine
Online-Überwachung bieten könnte. Dabei wird zwischen den unterschiedlichen Zugriffsformen zu
differenzieren sein, die derzeit unter diesem allzu vagen Begriff diskutiert werden: Welche
Zugriffe waren im zuletzt vom 3. Strafsenat des BGH entschiedenen Fall beabsichtigt, liegen anderen
Entscheidungen zugrunde oder wären technisch denkbar?
In einem separaten Beitrag wird dargestellt werden, welche verfassungsrechtlichen
Vorgaben nach der Rechtsprechung des BVerfG zu beachten sein werden, falls sich der Gesetzgeber zu
einer gesetzlichen Regelung entschließen sollte. Doch auch wenn es zu einer solchen Normierung der
Online-Überwachung nicht kommen sollte, ist der verfassungsrechtliche Hintergrund von Bedeutung. Es
handelt sich dabei nämlich keineswegs um – atonale? – Zukunftsmusik: Der nordrhein-westfälische
Gesetzgeber hat im Dezember 2006 in einer mit heißer Nadel gestrickten und auch in der
Fachöffentlichkeit bisher recht wenig beachteten Novelle des Verfassungsschutzgesetzes eine
Eingriffsgrundlage geschaffen. Zwei Verfassungsbeschwerden, die sich unmittelbar gegen dieses
Änderungsgesetz richten, sind seit Februar bzw. März 2007 beim BVerfG anhängig; das Gericht hat sie
»zugestellt«. (D.h. den im Verfassungsbeschwerdeverfahren Äußerungsberechtigten (vgl. § 94
Abs. 1 und 4 i.V.m. § 77 BVerfGG) Gelegenheit zur Äußerung gegeben. Wenn
dem auch keine Präjudizwirkung zukommt, so ist der Zustellung nach den Usancen des Gerichts zu
entnehmen, dass es die Verfassungsbeschwerden jedenfalls nicht für offensichtlich unbegründet
hält.)
A. Die Welt der Viren – Überblick über die Rechtswirklichkeit des illegalen
Fernzugriffs auf Computersysteme
Bereits das vielzitierte Schlagwort vom »Bundestrojaner« als Spitznamen für ein derzeit in
Entwicklung befindliches Computerprogramm zum staatlichen Fernzugriff auf EDV-Anlagen macht
deutlich, dass die Ermittlungsbehörden hier technisch betrachtet kein Neuland betreten: Angriffe
durch »Trojaner« sind jedenfalls für Nutzer von Rechnern mit dem Betriebssystem Microsoft Windows
alltägliche Realität.
(Der Beitrag konzentriert sich im Folgenden auf die Situation unter dem
Betriebssystem Microsoft Windows. Dies beruht darauf, dass Benutzer der Betriebssysteme Linux und
MacOS mit Viren kaum konfrontiert sind. Ausschlaggebend hierfür sind neben der weiten Verbreitung
von Windows-Systemen, die sie für Viren-Programmierer besonders attraktiv machen, vor allem die
Sicherheitskonzepte von Linux und MacOS. Beispielweise arbeiten unter Windows bis zur Version XP
sehr viele Anwender dauerhaft mit vollen Zugriffsrechten (»Administrator-Rechten«), was einem Virus
ebenfalls die Möglichkeit eröffnet, das infizierte System vollständig unter seine Kontrolle zu
bringen. Dies ist bei Linux und MacOS (das seit Version X ebenfalls zur Familie der UNIX-artigen
Systeme gehört) anders: Hier arbeiten Benutzer mit eingeschränkten Rechten, sodass auch Viren in
diesem Kontext zumindest weit weniger Schaden anrichten können. Eine ähnliche Funktion enthält der
XP-Nachfolger Windows Vista.)
Daher lohnt sich ein kurzer Blick auf den gegenwärtigen Stand der Technik auf der dunklen Seite des
Internet: Was zu missbräuchlichen Zwecken technisch möglich ist, könnte auch auf gesetzlicher
Grundlage zu hoheitlichen Zwecken eingesetzt werden.
1. Überblick über den Datenaustausch im Internet
Die Diskussion um die Online-Überwachung setzt ein grundsätzliches Verständnis der
Datenübertragung im Internet voraus, die wie folgt zusammenzufassen ist:
Um mit einem Rechner »ins Netz« zu gehen, ist zunächst ein Anschluss an das Internet nötig. Von
praktischer Bedeutung sind heute vor allem sogenannte DSL (Digital Subscriber Line
– Digitale Teilnehmeranschlussleitung)-Zugänge, der Zugang über das Mobilfunknetz (insbesondere
per UMTS) und immer noch die Einwahl über das klassische Telefonnetz mit einem sogenannten Modem.
Diesen Zugangsformen ist bei allen Unterschieden vor allem bei den Kosten und der Geschwindigkeit
der Übertragung gemeinsam, dass sie zunächst nur den Datenaustausch zwischen der Anlage des
Benutzers und der Infrastruktur des Zugangsanbieters (des »Access-Providers« oder kurz »Providers«)
herstellen. Über diese providereigene Hardware werden die Daten aus dem weltweiten Netz an den
Nutzer weitergereicht und umgekehrt. Aus rechtlicher Sicht ist dabei vor allem bedeutsam, dass der
gesamte Datenverkehr des Nutzers außerhalb seiner Einflusssphäre an einem Punkt – nämlich beim
Provider - »mitgeschnitten« werden kann.
Sobald ein Rechner die Verbindung zur Infrastruktur des Providers herstellt, wird ihm eine
sogenannte IP-Adresse zugeteilt. Jedes System – oder auch jeder »Host«, wie ein Rechner im Netz
bezeichnet wird – benötigt eine solche Adresse, um über das Internet Daten austauschen zu können,
da allein aufgrund der IP-Adresse Absender und Empfänger der Daten bestimmt werden. Diese
Adressierung ist deshalb so wichtig, weil im Internet im Gegensatz etwa zum klassischen Telefonnetz
keine »Leitungen« unmittelbar zwischen den kommunizierenden Systemen geschaltet werden.
Internet-Verbindungen sind vielmehr virtuell: Daten aus verschiedensten Kommunikationsvorgängen
teilen sich dieselben Leitungswege; allein über die Adressierung der Daten lassen sie sich
bestimmten Empfängern zuordnen. Die Informationen werden dabei zum Transport im Internet in relativ
kleine »Pakete« von rund 1.500 Zeichen aufgeteilt, von denen jedes unabhängig von den anderen
übertragen wird; man spricht daher von einer »paketorientierten« Datenübertragung.
Schließlich ist aus Sicht der EDV-Sicherheit von Bedeutung, dass ein Rechner die an seine
IP-Adresse gerichteten Datenpakete prinzipbedingt zunächst empfangen muss – man kann im Internet
»nicht nicht kommunizieren«. Eine andere Frage ist, inwieweit ein einmal empfangenes Paket auch
inhaltlich ausgewertet, ausdrücklich (d.h. unter Mitteilung an den Empfänger) abgelehnt oder
stillschweigend verworfen wird.
2. Viren, Trojanische Pferde und Trojaner
Unerwünschte Eindringlinge plagten bereits in den 80er-Jahren die Nutzer des damals weit
verbreiteten Home-Computers »Commodore 64« und Anwender der ersten PCs. Die schon damals gängige
Bezeichnung unerwünschter Schadprogramme als »Viren« beruht auf einer Analogie zu den gleichnamigen
Krankheitserregern: Ebenso wie diese sind auch Computer-Viren zu ihrer Verbreitung auf »Wirte«
angewiesen, nämlich die betroffenen Computersysteme, auf denen sie sich verbreiten. Und ebenso wie
die Krankheitserreger übernehmen auch Computerviren die Kontrolle über den »Wirt« und missbrauchen
ihn zu ihrer eigenen Reproduktion. Die Bezeichnung »Virus« als Oberbegriff für verschiedenste
Schadprogramme hat sich bis heute gehalten, geändert haben sich jedoch ebenso die Funktionsweise
wie die Art der Weiterverbreitung.
Als »Trojanische Pferde« – bzw. kurz, wenn auch historisch unzutreffend, als »Trojaner« –
bezeichnete die EDV-Fachwelt ursprünglich Programme, die neben ihrer offen erkennbaren Funktion
noch eine versteckte, regelmäßig vom Anwender nicht gewünschte Aufgabe erfüllen. Inzwischen ist die
Bedeutung des Begriffs diffuser geworden, sodass er oft synonym mit der Bezeichnung »Virus« als
generelle Bezeichnung für einen Eindringling verwandt wird.
3. Verbreitungsformen von Schadsoftware
Während in den 80er und 90er Jahren zunächst die Weitergabe von infizierten Disketten die
entscheidende Rolle bei der Verbreitung von Viren spielte, führte der Siegeszug des Internet ab
Mitte der 90er Jahre zu einer nahezu vollständigen Umstellung der Viren-Programmierer auf die
Infektion über Netzwerke. Viren, die sich auf diese Weise verbreiten, werden auch »Würmer« oder
»Internet-Würmer« genannt. Hier dominieren zwei Formen:
a) Verbreitung als Dateianhang einer eMail
Die weitaus meisten Schadsoftware-Programme setzen auf die Weitergabe als Dateianhang in einer
eMail. Dazu enthalten die Viren-Programme eine Funktion, die den befallenen Rechner zum Versand von
eMails nutzt, die wiederum das Virus transportieren. Typischerweise durchsuchen Viren das befallene
System nach eMail-Adressbüchern und versenden sich wahllos an alle gefundenen Adressen unter einem
zufällig gewählten Absender aus dem lokalen Adressbestand. Dies führt zu der besonders gefährlichen
Erscheinung, dass infektiöse eMails häufig vorgeben, von einem bekannten Absender zu stammen.
Dieses vertrauenserweckende Mimikry weist auf die zentrale »Schwachstelle« des
Verbreitungswegs eMail aus der Sicht des Virus-Programmierers hin: In der Regel
(In bestimmten Fällen genügt dagegen bereits das bloße Anzeigen einer infektiösen Mail in dem
Programm Outlook der Firma Microsoft: Intern greift Outlook zur Anzeige von eMails mit HTML-Code
auf Funktionen des WWW-Browsers Internet Explorer zurück und übernimmt damit viele Sicherheitslücken
dieses Programms. Diese wiegen beim Anzeigen von eMails umso schwerer, weil die infektiösen
Botschaften ohne Zutun des Empfängers in seinem Posteingang eintreffen und angezeigt werden,
während er eine infektiöse Webseite ja erst einmal von Hand aufrufen müsste.) führt der bloße
Empfang einer infektiösen Botschaft selbst noch nicht zum Befall des Systems des Empfängers.
Vielmehr muss er dazu den Anhang öffnen, was typischerweise einen »Doppelklick« mit der Maus
erfordert. Aus der Sicht des Virus-Programmierers gilt es also, die – hoffentlich vorhandene –
gesunde Skepsis des Empfängers gegenüber versandten Dateien zu überwinden und ihn zum Öffnen des
Anhangs zu verleiten. Dazu setzen Viren-Programmierer vielfältige Tricks ein. Derzeit beliebt sind
etwa angebliche Rechnungs-eMails mit horrenden Forderungen, wozu sich Details im Anhang finden
sollen. Wer hier seiner Neugier nachgibt, wie es zu einer so hohen Forderung kommen mag, hat schon
verloren, es sei denn, ein leistungsfähiger Virenscanner ist installiert, der vor allem aktuell
genug ist, um den Eindringling in letzter Sekunde zu erkennen und unschädlich zu machen.
b) Verbreitung unter Ausnutzung von Sicherheitslücken des Systems
Einige wenige, dafür aber umso gefährlichere Schadprogramme benötigen keinen eMail-Verkehr,
sondern nutzen Programmierfehler der EDV-Systeme aus, um diese zu infizieren, während sie mit dem
Internet verbunden sind. Daraufhin übernimmt die eingedrungene Software die Kontrolle über das
befallene System und versucht, von dort aus weitere zufällig ausgewählte Rechner über das Internet
zu infizieren.
Zwar ist die Zahl der Sicherheitslücken, die sich als Einfallstor eignen, nur begrenzt.
Andererseits muss der Benutzer zur Infektion – anders als regelmäßig bei Viren in eMail-Anhängen –
nicht überlistet werden. Wird daher in interessierten Kreisen eine solche Lücke bekannt und
reagiert der Anbieter der lückenhaften Software nicht schnell genug, so führt dies typischerweise
zu sehr hohen Infektionsraten binnen kurzer Zeit und mitunter wegen des zusätzlichen Datenverkehrs
zu deutlichen Störungen des Internet.
Ein Beispiel für einen besonders »erfolgreichen« Wurm ist »Sasser«, der die Netzgemeinschaft im
Sommer 2004 heimsuchte) und einige Millionen Windows-Rechner infizierte. Bei Sasser führt der bloße
Empfang eines einzigen Datenpakets, das an eine bestimmte Schnittstelle des Zielrechners gerichtet
ist, aufgrund eines Fehlers des Betriebssystems Windows zur Ausführung eines winziges
Schadprogramms, das in dem zugesandten Datenpaket enthalten ist. Einmal gestartet, lädt es den
eigentlichen Virus-Code vom Absender des infektiösen Datenpakets herunter und führt ihn aus.
Unmittelbar nach der Infektion beginnt der angegriffene Rechner seinerseits damit, zufällig
ausgewählte andere Hosts zu infizieren, indem er ihnen ein infektiöses Datenpaket zusendet und den
eigentlichen Virus-Code zum Abruf bereitstellt, sodass es binnen Minuten zu einem Lawineneffekt mit
zahllosen Neuinfektionen ungeschützter Windows-Rechner kommt.
4. Typische Schadfunktionen
Schließlich soll an dieser Stelle noch ein kurzer Überblick über typische Schadfunktionen
heutiger Schadsoftware – in jüngerer Zeit in Anlehnung an den Begriff »Software«
für Computerprogramme auch als »Malware« bezeichnet – gegeben werden.
Aus der Sicht eines Virus-Programmierers grundlegend ist die möglichst weite Verbreitung seines
Schadprogramms. Bis etwa zum Jahr 2000 wurden Viren überhaupt nur um dieses Selbstzwecks willen
entwickelt und enthielten darüber hinaus keine oder nur »kosmetische« Funktionen, wie etwa der Wurm
»Win32.Melting«, der den Bildschirminhalt scheinbar wie Raclettekäse schmelzen ließ, sodass er am
unteren Bildschirmrand »zusammenfloss«.
Auch heute noch enthalten praktisch alle aktuellen Viren eine Funktion zur automatischen
Weiterverbreitung. Dabei ist zunächst kein Schaden für den Inhaber des Wirtssystems beabsichtigt,
sodass die Reproduktionsfunktion nicht als Schadfunktion im engeren Sinne zu bezeichnen ist.
Allerdings sind »Kollateralschäden« denkbar, etwa wenn der Internet-Zugang nach übertragener
Datenmenge abgerechnet wird, sodass versandte Virus-Kopien unmittelbar zu Buche schlagen, oder
indem die Bandbreite des Netzzugangs durch das Senden zahlloser virenverseuchter eMails verstopft
wird.
a) Sniffer / Keylogger
Die ersten Viren, die nicht nur verbreitet werden sollten, sondern darüber hinaus einen weiteren
Zweck verfolgten, brachten einen sogenannten »Sniffer« (sinngemäß: Schnüffler)
oder auch »Keylogger« (sinngemäß: Tastendruck-Protokollierer) mit, d.h. eine
Funktion, die jede auf der Tastatur gedrückte Taste erfasste und die so gesammelten Daten dem Autor
des Virus zusandte oder ihm zum Abruf zur Verfügung stellte. Auf diese Weise – so die Intention des
Urhebers – können u.a. Zugangsdaten (Benutzernamen und Passwörter) mitgeschnitten und missbraucht
werden, etwa um unter fremdem Namen betrügerische Auktionen auf der Handelsplattform eBay
durchzuführen. Zugleich können Passwörter mitgelesen werden, die der Benutzer eingibt, um z.B. auf
durch Verschlüsselung besonders geschützte Dateien zuzugreifen.
b) Backdoors
Heutige Würmer enthalten häufig eine Komponente, die es dem Autor ermöglicht, den befallenen
Rechner »fernzusteuern«; sie bieten also eine »Backdoor«, eine Hintertür zu dem befallenen System.
Eine grundlegende Funktion dieses Schleichweges besteht darin, dem Angreifer über das Internet
vollen Zugriff auf die gespeicherten Daten zu gewähren, als säße er vor dem angegriffenen Rechner.
Die Möglichkeiten des Missbrauchs sind mannigfaltig – man denke nur an Kreditkartendaten oder
Zugangscodes zu kostenpflichtigen Online-Angeboten, die auf dem Rechner möglicherweise gespeichert
sind.
Ein weiterer typischer Anwendungszweck von »Backdoors« ist das Nachladen neuer Komponenten je
nach Bedarf des Angreifers. Aktuelle Viren sind regelmäßig modular aufgebaut, wobei eine Komponente
für die Infektion und Reproduktion zuständig ist, während weitere Komponenten – aus der Sicht des
Viren-Programmierers die eigentliche »Nutzlast« – erst nach der Infektion aus dem Internet
heruntergeladen werden.
http://www.heise.de/security/artikel/86415 (Heise-Artikel als Bildschiremfoto)
Auf diese Weise lässt sich die Flexibilität einer Schadsoftware steigern, weil lediglich die
Programmteile zur Verbreitung nach der Freisetzung des Schädlings fest definiert sind, während die
darüber hinausgehenden Funktionen beliebig geändert werden können. Der einmal von einem Virus
befallene Rechner verwandelt sich so zum äußerst praktischen, ganz nach Bedarf zu missbrauchenden
»Nutztier«. Eine Gruppe parallel ferngesteuerter Rechner wird als »Bot-Netz« bezeichnet, deren
Mitgliederzahl bisweilen einige Tausend erreicht.
In der Praxis werden befallene Rechner häufig zum massenhaften Versand von Werbe-eMails
(sogenannter »Spam-eMails«) genutzt, indem ihnen über eine Hintertür »Versandaufträge« erteilt
werden. Ein anderes reales Einsatzszenario sind sogenannte »DDOS«-Attacken:
(Distributed denial of service – sinngemäß: verteilter Angriff mit dem Ziel der
Leistungsverweigerung.) Ein Bot-Netz, also eine Vielzahl infizierter Rechner, wird zeitgleich
über die jeweilige »Backdoor« veranlasst, auf denselben Internet-Server zuzugreifen, etwa durch den
Abruf einer Webseite. Die schiere Masse tausender gleichzeitiger Anfragen lässt den betroffenen
Server schließlich zusammenbrechen oder beeinträchtigt zumindest seine vorgesehene Nutzung
erheblich. Damit lassen sich unliebsame Internet-Seiten – etwa von Antivirus-Herstellern –
vorübergehend faktisch lahm legen oder auch Schutzgelder von den Betreibern kommerzieller
Internet-Angebote erpressen, die einen verlustträchtigen Ausfall ihrer Seite unbedingt vermeiden
wollen.
c) Rootkits
In jüngerer Zeit haben einige Virenautoren ihre Programme mit einer besonders perfiden Technik
ausgestattet, damit die Schädlinge nur schwer entdeckt und beseitigt werden können: Sie nutzen
sogenannte »Rootkit«)-Techniken (»Rootkit« – sinngemäß: Handwerkszeug des
Systemverwalters. Ursprünglich bezeichnete dieser Terminus bestimmte Methoden, um einen Einbruch in
ein Serversystem unter den Betriebssystemen Unix bzw. Linux zu verschleiern, indem der Angreifer
sich zunächst die Zugriffsrechte des Systemverwalters (»root«) verschafft und sodann ein aus
bestimmten Programmen bestehendes Handwerkszeug – also ein »kit« – verwendet, um sich selbst
unsichtbar zu machen.). Damit werden Methoden bezeichnet, mit denen das Betriebssystem so
manipuliert wird, dass bestimmte Dateien und aktive Programme dem Benutzer gar nicht mehr angezeigt
werden. Er mag also sein Dateisystem manuell oder mittels einer Antivirus-Software durchsuchen,
soviel er mag – der Virus ist sowohl im Hauptspeicher als auch auf den Datenträgern schlicht
unsichtbar geworden. Für besonderes Aufsehen sorgten vor einiger Zeit Versuche von Unternehmen der
Unterhaltungsindustrie, (nämlich die Firmen Sony BMG und Kinowelt), die PCs ihrer Kunden ungefragt
und verschleiert mittels Rootkit-Technologie so zu manipulieren, dass Kopien von CDs und DVDs
verhindert werden sollten.
5. Schutzkonzepte von Virenscannern
Wichtig ist schließlich ein grundlegendes Verständnis der Technik von Antivirus-Software.
Aktuelle Programme können sowohl Dateien beim Lesen oder Schreiben seitens des Benutzers auf Viren
prüfen (sog. On-Access-Scan (On access – beim Zugriff)) als auch im
Hintergrund Hauptspeicher und Medien nach dort gespeicherten Schädlingen durchsuchen. Dabei
verfolgen sie eine doppelte Strategie, um Schadsoftware zu erkennen:
Zum einen stützen sie sich auf sogenannte Signaturen. Dies sind Kurzbeschreibungen typischer
Kennzeichen von Virusdateien, in etwa vergleichbar ihrem Fingerabdruck. Findet die
Antivirus-Software beim Zugriff auf eine Datei eine Zeichenfolge, die ihr als Virensignatur bekannt
ist, schlägt sie Alarm. Schwäche dieser Erkennungsmethode ist jedoch, dass sie ein Virus
grundsätzlich nur dann erkennen kann, wenn die passende Signatur vorliegt. Dies setzt voraus, dass
der Hersteller des Virenscanners bereits eine Signatur erstellt und der Nutzer sie heruntergeladen
und eingespielt hat.
Zum anderen versuchen Antiviren-Programme, Viren anhand eines typischen Verhaltens, insbesondere
typischer Anweisungen im Programmcode zu erkennen (sogenannte heuristische Verfahren). Die
Heuristik hat den Vorteil, dass sie möglicherweise auch neue, unbekannte Viren anhand verdächtigen
Verhaltens erkennen kann. Andererseits ist die Einschätzung eines Programms als »gut« oder »böse«
relativ heikel: Eine Sicherheitssoftware, die häufig Fehlalarme produziert, wird irgendwann nicht
mehr ernstgenommen; lässt sie aber aufgrund großzügigerer Prüfung Viren passieren, vermittelt sie
eine gefährliche, weil trügerische Sicherheit.
B. Erweiterte Möglichkeiten der verdeckten Online-Überwachung im Gegensatz zu
klassischen Ermittlungsmethoden
Auch nach bisheriger Rechtslage stellt eine EDV-Anlage aus der Sicht der Ermittlungsbehörden
keine terra incognita dar. So unterliegen die Computeranlagen selbst – die sogenannte Hardware –
ebenso der Sicherstellung und Beschlagnahme wie externe Speichermedien, etwa CD-ROMs oder DVDs.
Datenträger – interne, vor allem Festplatten, ebenso wie externe – können gem. § 110
Abs. 1 StPO (»Durchsicht von Papieren«) ausgelesen und auf verfahrensrelevanten Inhalt hin
analysiert werden. Der Datenaustausch eines Rechners über das Internet kann als Telekommunikation
gem. § 100a StPO überwacht werden. (Einzelheiten regeln § 110 TKG
und § 9 Abs. 2 TKÜV) Doch stoßen diese Ermittlungsmaßnahmen an spezifische
Grenzen.
1. Grenzen der Erkenntnisgewinnung bei der »klassischen« Durchsuchung
a) Ermittlungstaktische Nachteile
Die physische Beschlagnahme des Computers setzt eine klassische Durchsuchung voraus. Diese ist
gem. § 106 StPO eine offene Maßnahme, wie der BGH gerade mit seinem Beschluss zur
»Online-Durchsuchung« bekräftigt hat. Der Betroffene erfährt also vom Zugriff und damit von dem
geführten Ermittlungsverfahren. Aus ermittlungstaktischer Sicht kann dies Nachteile haben, weil
dadurch oftmals weitere Ermittlungsansätze verloren gehen werden, etwa indem Kontakte zu noch
unbekannten Mittätern abgebrochen werden oder indem Dritte Gelegenheit erhalten, Beweismittel zu
vernichten.
b) Momentaufnahme des Systems ohne die Inhalte des Hauptspeichers
Naturgemäß kann das System nach dem Zugriff der Ermittlungsbehörden nicht mehr im laufenden
Betrieb beobachtet, sondern lediglich ein bestimmter Endzustand der Datenträger analysiert werden.
Ein Speichermedium bleibt dabei der Beweisgewinnung vollständig entzogen: Der Arbeitsspeicher des
Systems (auch Hauptspeicher oder RAM genannt) wird beim Abschalten der Stromversorgung irreversibel
gelöscht.
Allerdings erscheint eher zweifelhaft, von welchem praktischen Nutzen der Zugriff auf den
Arbeitsspeicher tatsächlich wäre, da praktisch alle auf einem Rechner verarbeiteten Informationen
früher oder später ihren Weg auf die Festplatte finden. Eine Ausnahme mag für Passwörter gelten.
Doch wäre es ein grober Designfehler einer Verschlüsselungssoftware, einmal eingegebene Passwörter
im Klartext im Arbeitsspeicher zu halten. Daher kann ein solcher Fund im Arbeitsspeicher allenfalls
als seltenes Glück, kaum aber als ernsthafter Ermittlungsansatz angesehen werden. Dies gilt zumal
angesichts der Größenverhältnisse: Sucht man auf einem Rechner, der heute typischerweise mehr als
500 Millionen Zeichen (entsprechend 512 MByte) im Hauptspeicher fassen
kann, nach einem vielleicht ein Dutzend Zeichen langen Passwort, so gleicht dies der Suche nach der
sprichwörtlichen Nadel im Heuhaufen.
c) gelöschte Dateien
Ein Problem für die Ermittlungsbehörden stellen vom Betroffenen einmal angelegte, aber bereits
wieder gelöschte Dateien dar. Zwar kann deren Inhalt unter optimalen Bedingungen rekonstruiert
werden, wenn der – unbedarfte – Anwender eine Datei nur mit den Mitteln des Betriebssystems
»löscht«. In diesem Falle werden nämlich nicht die Dateiinhalte als solche von der Festplatte
entfernt, sondern nur der sogenannte Directory-Eintrag, d.h. der Hinweis in Datenstrukturen des
Betriebssystems, dass ein bestimmter Bereich der Festplatte einer Datei unter einem bestimmten
Namen zugeordnet ist – vergleichbar etwa einer Karteikarte im Katalog einer Bibliothek, die den
Standplatz eines Bandes im Regal angibt. Die gezielte Suche nach »gelöschten« Dateien ist bereits
kriminalistische Praxis und führt bisweilen zu bemerkenswerten Erfolgen. (So hat
das BKA in einer Kopie der Festplatte eines Rechners, der im Libanon bei dem Beschuldigten Jihad
Hamad – mutmaßlich einem der Kölner »Kofferbomber« – beschlagnahmt und den deutschen Behörden
übergeben wurde, »gelöschte« Pläne zum Bombenbau rekonstruieren können.)
Allerdings werden die ehemals bereits gelöschten Dateien zugeordneten Festplattenbereiche vom
Betriebssystem als frei angesehen und früher oder später mit neuen Inhalten überschrieben, was die
Rekonstruktion nahezu unmöglich macht. EDV-gewandte und zugleich auf Geheimhaltung bedachte
Benutzer werden zudem spezielle Lösch-Programme einsetzen, (etwa die freie
Software »Eraser« http://eraser.heidi.ie/, die ebenfalls auf den Erkenntnisse von Gutmann
aufbaut), die die Inhalte einer zu löschende Datei auf dem Datenträger unwiederbringlich
überschreiben.
d) externe Datenspeicher
Soweit Daten auf externen Speichern abgelegt sind – etwa auf bestimmten Servern im Internet –
können sie naturgemäß auf einem beschlagnahmten Rechner nicht gefunden und ausgewertet werden. Zum
Zugriff sind regelmäßig Benutzernamen und Passwort notwendig. Der Einsatz solcher Server erfordert
kein besonderes Fachwissen, lässt sich aber auf dem Rechner, von dem aus darauf zugegriffen wird,
kaum nachweisen. Daher stellen externe Speicher auch in der Ermittlungspraxis bereits ein Problem
dar.
e) Einsatz von Verschlüsselungssoftware
Zudem kann der Zugriff der Ermittlungsbehörden auf gespeicherte Daten durch den Einsatz
geeigneter Verschlüsselungssoftware erheblich erschwert und – bei Verwendung entsprechend starker
Software und geeigneter Passwörter (d.h. solcher, die in keinem Lexikon enthalten
sind, weil sonst bloßes automatisches Ausprobieren anhand im Internet frei verfügbarer Wortlisten
genügt (sogenannte brute-force-Attacke), sondern die aus einer möglichst langen Kombination
augenscheinlich sinnloser Buchstaben, Ziffern und sonstigen Zeichen bestehen) – auch gänzlich
vereitelt werden. So bieten Windows-Betriebssysteme ab der Version Windows 2000 die Verschlüsselung
ganzer Festplatten an (genauer: von Partitionen, die mit dem Dateisystem NTFS
verwaltet werden. Partitionen sind logische Verwaltungseinheiten einer physikalischen Festplatte.
Als NTFS wird der Nachfolger des Dateisystems FAT bezeichnet, das die Firma Seattle Computer
Products 1980 einführte und das die Firma Microsoft mit ihrem Betriebssystem MS-DOS weltbekannt
machte. Auch Microsoft Windows setzte lange auf FAT und kann bis heute Datenträger unter FAT
verwalten.) – der Zugriff ist dann nur möglich, wenn sich ein Benutzer mit seinem Benutzernamen
und Passwort am System angemeldet hat, der als zugriffsberechtigt erkannt wird. Ein
systemübergreifendes Beispiel ist das Programm TrueCrypt (vgl.
http://www.truecrypt.org/), das derzeit unter Microsoft Windows und Linux lauffähig ist und
sowohl ganze Festplatten (wiederum genauer: Partitionen einer physikalischen
Festplatte) verschlüsseln als auch »virtuelle Laufwerke« zur Verfügung stellen kann. »Virtuelle
Laufwerke« werden technisch betrachtet in normalen Dateien abgelegt, erscheinen dem Anwender jedoch
unter Windows wie ein »normales« Laufwerk, d.h. können unter einem Laufwerksbuchstaben genau wie
z.B. eine Festplatte oder eine CD-ROM angesprochen werden. TrueCrypt bietet verschiedene
Verschlüsselungsalgorithmen an, die bei richtiger Wahl des Passworts in realistischen Zeiträumen
nach gegenwärtigem Stand der EDV-Technik nicht zu »knacken« sind.
2. Grenzen der Telekommunikationsüberwachung
Auch die Überwachung des Internet-Verkehrs als Telekommunikation gem. § 100a StPO kann
bestimmte Inhalte systembedingt nicht erfassen.
a) verschlüsselte Übertragungskanäle
Durch eine Anordnung gem. §§ 100a, 100b StPO können Internet-Zugangsanbieter verpflichtet
werden, an der Überwachung des Internet-Verkehrs des Betroffenen mitzuwirken. Technisch werden
dabei alle Daten in unsortierter Form zur Verfügung gestellt, die über die Internetverbindung des
Betroffenen empfangen oder gesendet werden. Zwar ist es technisch mit einigem Aufwand möglich, die
abgegriffenen Rohdaten wieder einzelnen Kommunikationsvorgängen – etwa dem Abruf einer WWW-Seite –
zuzuordnen. Allerdings sind die Daten aus der Sicht der Ermittlungsbehörden praktisch wertlos, wenn
der Benutzer eine verschlüsselte Verbindung genutzt hat, etwa zu einer WWW-Seite, die das Protokoll
HTTPS einsetzt. Denn die eingesetzten Verschlüsselungsverfahren gelten nach gegenwärtigem Stand der
Mathematik als nicht zu brechen.
Ein alltägliches Beispiel für den Einsatz verschlüsselter Kommunikation im Internet ist der
schlichte Abruf einer Seite für das Online-Banking. Naturgemäß haben Bank und Kunde ein Interesse
daran, dass niemand die übertragenen Daten »unterwegs« abhören kann, und setzten entsprechend
starke Verschlüsselungsverfahren ein. Damit aber lässt sich mit der Überwachung der
Telekommunikation lediglich noch ermitteln, dass zwischen dem Rechner des Betroffenen und dem
Server der Bank eine Kommunikation stattgefunden hat. Welche Daten jedoch ausgetauscht wurden,
bleibt unbekannt. Vergleichbare Verschlüsselungsverfahren existieren für alle Internet-Protokolle.
(HTTPS statt HTTP für WWW-Seiten, SCP oder SFTP statt FTP zum Dateitransfer, SSH
statt Telnet für den Terminalzugriff, TLS oder SSL statt SMTP für den Mailversand, IMAPS oder POP3S
zum Abrufen von eMails.)
b) Internet-Telefonie
Seit einigen Jahren werden Computer zunehmend für Zwecke der Telefonie über das Internet genutzt.
Dazu werden verschiedene sogenannte VoIP-Verfahren (Voice over IP – Übermittlung
von Sprache über das Internet-Protokoll) eingesetzt. Je nach verwandter Software ist es
technisch nicht möglich, den VoIP-Telefonie-Verkehr auf der Strecke zwischen den beteiligten
Rechnern abzuhören. Auch in diesem Fall laufen Eingriffsbefugnisse wie § 100a StPO derzeit
faktisch leer, wenn die Kommunikationspartner gewisse »Sicherheitsvorkehrungen« treffen. Dazu
genügt es, die weit verbreitete und kostenfreie Software Skype (Das
Verbindungsprotokoll von Skype ist nicht öffentlich dokumentiert, sodass eine unabhängige
Evaluation nicht möglich ist. Die Verfahren, mit denen die Verbindung zwischen den beteiligten
Rechnern nach Herstellerangaben verschlüsselt wird, gelten jedoch ebenfalls als gegenwärtig nicht
in realistischen Zeiträumen zu »knacken«. Denkbar wäre allenfalls, dass der Hersteller eine
Hintertür – für wen auch immer – vorsieht.) zu nutzen. Für dieses Programm werden bereits
handyähnliche Geräte angeboten, die nicht einmal mehr einen Computer benötigen.
3. Vorteile der Online-Überwachung
Demgegenüber bietet der heimliche Zugriff auf eine EDV-Anlage über das Internet aus Sicht der
Ermittlungsbehörden verschiedene Vorteile. Dabei sind unterschiedliche Formen des Zugriffs denkbar:
In der denkbar mildesten Form der Online-Überwachung wird von außen auf das Dateisystem des
betroffenen Computers zugegriffen, um einmal eine Kopie sämtlicher Datenträger oder bestimmter
Teile hiervon herzustellen (unten a). In einer weitergehenden Form der Online-Überwachung wäre
denkbar, das Dateisystem zunächst ebenfalls zu kopieren, sodann aber auf mögliche Änderungen hin zu
überwachen und so einen Einblick in die Aktivitäten des Anwenders zu gewinnen (b). Schließlich wäre
als wesentlich weitergehender Eingriff auch ein Vollzugriff auf den Rechner möglich, der eine Reihe
von Einblicken eröffnet (c).
a) einmaliger Zugriff auf das Dateisystem – Suche nach Dateien und
»Daten-Spiegelung«
Der einmalige Zugriff auf die gespeicherten Daten – ob in Form der Suche nach bestimmten Dateien
oder in Form der Komplettkopie eines Datenträgers, der sogenannten Spiegelung – kommt der
klassischen Beschlagnahme und Auswertung eines Rechners am nächsten: Hier wie dort steht den
Ermittlern eine Momentaufnahme der EDV-Anlage zur Verfügung.
Dennoch bietet bereits die einmalige Kopie eines Teils der gespeicherten Daten oder der gesamten
Datenträger erhebliche technische Vorteile. Von besonderer praktischer Bedeutung dürfte sein, dass
die Durchsuchung des laufenden Rechners einen Zugriff bieten kann, der demjenigen des am Rechner
arbeitenden Anwenders entspricht. Damit behindert der Einsatz von Verschlüsselungssoftware die
Ermittlungen nicht mehr oder zumindest deutlich weniger: Die Verschlüsselung mittels NTFS wird
komplett umgangen, da der Zugriff nach der Anmeldung des Benutzers an seinem Rechner für ihn und
alle aktiven Programme – und damit auch das staatliche Durchsuchungsprogramm – freigeschaltet wird.
Setzt der Anwender andere Verschlüsselungstechnologien ein, hängt es vom Zufall ab, in welchem
Umfang er während des Zeitraums der Spiegelung den Zugriff durch Eingabe des Passworts
freischaltet.
b) kontinuierliche Überwachung des Dateisystems – »Daten-Monitoring«
Hängt der konkrete Erkenntnisgewinn bei der einmaligen Spiegelung der Festplatte noch vom
Zeitpunkt des Zugriffs ab, so kann bei kontinuierlicher Überwachung der gespeicherten Daten, bei
der jede einzelne Änderung mitgeschnitten wird (»Monitoring«), auf die Hilfe von »Kommissar Zufall«
verzichtet werden: Auch wenn Teile der Festplatte verschlüsselt sein mögen, so wird der überwachte
Anwender früher oder später den Zugriff »freischalten«, etwa indem er sein Passwort eingibt, um mit
den verschlüsselten Daten arbeiten zu können. Damit wird zugleich dem staatlichen
Überwachungsprogramm die Möglichkeit eröffnet, die entschlüsselten Daten zu spiegeln. Bei genügend
langer Überwachung des Rechners kann daher mit großer Wahrscheinlichkeit ein komplettes Abbild
aller gespeicherten Daten einschließlich der verschlüsselten oder sonst besonders gesicherten Daten
gewonnen werden.
Hinzu kommt, dass beim Monitoring auch die Inhalte von Dateien »mitgeschnitten« werden können,
die nur für begrenzte Zeit gespeichert werden. Relevant kann dies zum einen werden, wenn der
betroffene Nutzer Daten bewusst löscht. Zum anderen legen Internet-Browser (d.h.
Programme zum Betrachten von WWW-Seiten, die gängigsten Beispiele sind Internet Explorer, Opera und
Mozilla) regelmäßig einen sog. Cache-Speicher einer bestimmten Größe an, in dem sie die Inhalte
der zuletzt aufgerufenen Internet-Seiten hinterlegen und dabei ältere Inhalte löschen, um Platz für
die neuen zu schaffen. Aus den so gespeicherten Daten lässt sich relativ mühelos das
WWW-Nutzungsverhalten rekonstruieren. Auch bei der Spiegelung (vgl. oben a) werden zwar die letzten
besuchten Seiten erfasst. Wird aber das Cache-Verzeichnis über längere Zeiträume überwacht, so
ergibt sich auch bei der bloßen Online-Überwachung mittels Monitoring ein ebenso detailliertes
Profil der Internet-Nutzung des Betroffenen, als wenn der Datenverkehr von und ins Internet
unmittelbar – etwa gem. § 100a StPO – beim Zugangsprovider mitgeschnitten worden wäre. Soweit
der Datenverkehr verschlüsselt ablief (vgl. dazu oben B 2. a) können die
Ermittlungsbehörden überhaupt nur mittels Zugriffs auf einen der beiden Endpunkte der Kommunikation
Kenntnis von den übermittelten Inhalten nehmen, während ein Zugriff auf der Internet-Strecke – also
praktisch beim Zugangsprovider – lediglich unverständliche verschlüsselte Daten liefern würde.
Soweit es um die Kenntnisnahme bestimmter Inhalte der Kommunikation via Internet geht, ist damit
die Online-Überwachung in der Form des Monitoring wesentlich eingriffsintensiver als eine
Überwachung der Telekommunikation.
Analog gilt dies für den eMail-Verkehr: Alle gängigen eMail-Programme legen heruntergeladene
eMail-Nachrichten auf dem Rechner des Anwenders in bestimmten Dateien ab. Erfasst das Monitoring im
Rahmen einer Online-Überwachung diese Dateien, so ergibt sich daraus ein komplettes Abbild aller
empfangenen eMail-Botschaften, und zwar auch derer, die der Benutzer inzwischen längst gelöscht
hat.
Da bei einer kontinuierlichen Online-Überwachung in Form des Monitoring auch solche Dateien
erfasst werden, die der Betroffene nach dem Beginn des Monitoring wieder gelöscht hat und die daher
von einer Spiegelung gerade nicht erfasst wären, verliert der Betroffene insoweit die Hoheit über
den Bestand seiner Daten.
c) Weitere Zugriffsformen
Neben den gespeicherten Dateien können aus technischer Sicht noch wesentlich mehr Informationen
von einem Computersystem aus der Ferne abgerufen werden. Es drängen sich verschiedene Szenarien
auf:
aa) Keylogging
Als relativ schlichte Funktion würde es sich anbieten, einen »Bundestrojaner« mit einer Funktion
auszustatten, die in der Tradition der Sniffer/Keylogger sämtliche Tastatureingaben mitschneidet.
Auf diese Weise könnten eingegebene Passwörter mitgelesen werden, sodass beispielsweise auf
verschlüsselte Daten auf der Festplatte oder auf externe Speicher im Internet mit den Zugangsdaten
des Betroffenen zugegriffen werden könnte.
bb) Mitschneiden von Internet-Telefonie
Vor dem Hintergrund, dass Internet-Telefonie unter Einsatz bestimmter Technologie derzeit nicht
auf der Übertragungsstrecke abzuhören ist, könnte aus der Sicht der Ermittlungsbehörden ein
Bedürfnis entstehen, stattdessen einen der beteiligten Rechner »anzuzapfen«. Denn dort werden die
Audio-Daten notwendigerweise von der Telefoniesoftware in entschlüsselter Form wieder an das
Betriebssystem zur Ausgabe über Lautsprecher oder Kopfhörer übergeben. Dass das Mitschneiden auf
einem der beteiligten Rechner technisch keine besondere Herausforderung darstellt, zeigen Programme
wie TotalRecorder www.totalrecorder.com/, die in der Lage sind, jeden Ton
mitzuschneiden und zu speichern, der von einem Windows-Rechner ausgegeben wird. Was sich speichern
lässt, kann jedoch ebenso gut in Echtzeit an einen Rechner z.B. des Bundeskriminalamts über das
Internet zur dortigen Aufzeichnung übertragen werden.
cc) Aktivieren von Mikrofon und Kamera
Praktisch alle heute gängigen Laptops haben ein eingebautes Mikrofon, leistungsfähigere Modelle
bringen oftmals auch eine eingebaute Kamera (eine sogenannte »Webcam«) mit. Aber auch an viele
ortsgebundene Rechner sind Mikrofone und Kameras angeschlossen. Aus technischer Sicht ist es kein
Problem, diese Aufnahmevorrichtungen aus der Ferne zu aktivieren und die aufgenommenen Audio- und
Video-Daten an Ermittlungsbehörden zu übertragen. Der Anwender würde in diesem Falle unfreiwillig
selbst die Geräte stellen, mit denen gegen ihn eine akustische und optische (Wohnraum-)Überwachung
durchgeführt wird – also ein kumulierter großer Lausch- und Spähangriff über das Internet.
dd) Fernsteuerung des Rechners
Über eine hoheitliche »Backdoor« können schließlich auch alle übrigen Funktionen des Rechners
benutzt werden, die einem Benutzer offen stehen, der unmittelbar am Gerät arbeitet. Dies könnte
realisiert werden, indem die dortige Bildschirmausgabe über die Überwachungssoftware an die
Ermittlungsbehörden übertragen wird, während Tastatureingaben und Mausbewegungen in umgekehrter
Richtung, also aus der Ferne, auf den überwachten Rechner übertragen werden. Technisch ist auch
dies Alltag – jeder Rechner unter Windows XP Professional bietet beispielsweise die Funktion
»Remote-Desktopverbindung« (unter Start / Progamme / Zubehör / Kommunikation),
die genau dies leistet. Damit wäre es etwa möglich, anstelle des Benutzers den Abruf von eMails auf
seinen Rechner zu veranlassen, um sie von dort zu kopieren. Insgesamt werden hier die Grenzen
zwischen der bloßen Überwachung und der Manipulation des Rechners des Betroffenen fließend.
C. Kasuistik bisheriger »Online-Durchsuchungen«
ℹ️ Die auf der Original-Seite an dieser Stelle zitierten Rechtsprechungen habe ich
weggelassen.
D. Technische Umsetzung der Online-Fernüberwachung
Die oben aufgezeigten Zugriffswege mögen verlockend erscheinen – zunächst aber müsste ein
entsprechendes Programm in den Rechner eingeschleust werden. Hierzu bieten sich wiederum
verschiedene Verfahren an.
1. Möglichkeiten der Infiltration
a) Ausnutzen bekannter Sicherheitslücken
Zum einen könnte ein »Bundestrojaner« versuchen, bekannte Sicherheitslücken auszunutzen, um von
außen in ein Computersystem eingeschleust zu werden. Dieses Verfahren brächte jedoch erhebliche
Nachteile mit sich. So ist die Zahl der bekannten Sicherheitslücken begrenzt. Außerdem bemühen sich
die Software-Anbieter, bekannt gewordene Lücken möglichst umgehend zu schließen. Demnach müsste
eine entsprechende Überwachungssoftware ständig aktualisiert werden, was einen ganz erheblichen
Aufwand bedeuten würde.
b) Ausnutzen einer für hoheitliche Zwecke vorgesehenen »Bundes-Backdoor«
Diskutiert wurde im Zusammenhang mit der Entscheidung des Bundesgerichtshofs die Möglichkeit,
Software-Anbieter zu verpflichten, in jedem Betriebssystem eine Schnittstelle vorzusehen, über die
Hoheitsträger unerkannt Zugriff auf Computersysteme erlangen können.
Dieser Weg erscheint jedoch aus mehreren Gründen praktisch kaum gangbar. Zum einen würde es Jahre
dauern, bis alle EDV-Systeme auf ein neues, entsprechend eingerichtetes Betriebssystem umgestellt
wären. Außerdem läge ein Missbrauch nahe: Wer könnte sicherstellen, dass eine »Bundes-Backdoor«
nicht ihrerseits eine Schwachstelle enthielte, die sich nichthoheitliche Software zunutze machen
könnte, um in Computersysteme einzudringen? Schließlich existieren nicht nur Betriebssysteme großer
Softwarehersteller wie Windows von Microsoft oder MacOS der Firma Apple, sondern auch eine Vielzahl
freier Kreationen auf der Basis von Linux oder dem ebenfalls Unix-ähnlichen FreeBSD. Deren weltweit
vernetzt arbeitende Autoren fühlen sich typischerweise dem Datenschutz und dem Schutz der
Privatsphäre besonders verpflichtet, sodass es faktisch als ausgeschlossen gelten kann, dass sie
einer gesetzlichen Verpflichtung in der Bundesrepublik nachkämen, ihre Systeme mit einer Hintertür
auszustatten. Solange aber praxistaugliche Betriebssysteme existieren, die keine Hintertür
enthalten, dürfte eine entsprechende Regelung leer laufen: Eine Online-Überwachung, die sich schon
durch Einsatz bestimmter Betriebssysteme umgehen ließe, würde sich selbst ad absurdum führen. Das
Bundesministerium des Innern teilte schließlich auf eine Kleine Anfrage der Fraktion der F.D.P. im
Deutschen Bundestag mit, dass die Schaffung von Sicherheitslücken nicht geplant sei.
c) Manipulation der Internet-Infrastruktur
Schließlich wird über eine dritte Methode zur Infiltration spekuliert, um eine staatliche
Überwachungssoftware unbemerkt aufzuspielen, nämlich über den unbemerkten Austausch von Dateien,
die der Nutzer selbst herunterlädt. Das Szenario geht davon aus, dass jeder Anwender früher oder
später eine ausführbare Datei aus dem Netz laden wird – sei es ein Update für den Virenscanner,
eine neue Software oder auch eines der vielen Updates für das Betriebssystem selbst, die die Firma
Microsoft nahezu täglich bereitstellt. Schiebt man ihm nun anstelle der eigentlich gewünschten
Datei einen staatlicherseits um das Überwachungsprogramm erweiterten »Zwilling« unter, so wird er
die heruntergeladene Datei ausführen und dabei unbemerkt zugleich den »Bundestrojaner«
einspielen.
Aus technischer Sicht stellt dies keine besondere Herausforderung dar – die unbemerkte Umleitung
von Internet-Verkehr und das gezielte Austauschen von Dateien sind Standardverfahren. Wer etwa
schon einmal per UMTS über ein Mobilfunknetz online war, wird vielleicht die schlechte Qualität von
Grafiken im WWW-Browser bemerken: Sie beruht darauf, dass die Mobilfunknetzbetreiber die vom Nutzer
angeforderten und aus dem Internet eintreffenden Bilddateien stillschweigend vor der Weiterleitung
an den mobilen Surfer komprimieren, um Übertragungskapazität zu sparen. Dies geht allerdings mit
einem deutlichen Qualitätsverlust einher, der dem aufmerksamen Nutzer ins Auge springt.
Auf ähnlichen Techniken beruht die Weiterleitung, die man beim Einbuchen in kommerzielle WLANs
(drahtlose Funknetze) – etwa in vielen Hotels und neuerdings auch in manchen ICE-Zügen
zwischen Köln und Frankfurt am Main – mitunter beobachtet: Auch wenn man Google oder Spiegel online
als Startseite im Browser definiert hat, erscheint dort zunächst völlig ungefragt eine Seite des
WLAN-Betreibers, auf der der Nutzer freundlich, aber bestimmt gebeten wird, sich kostenpflichtig
anzumelden. Anstelle einer Umleitung von einer Webseite auf eine andere wäre natürlich auch der
Verweis auf eine mit einem »Bundestrojaner« angereicherte Datei statt der vom Betroffenen
eigentlich angeforderten möglich.
Vorteil dieser Infiltrationsmethode wäre, dass sie sich automatisieren und per Fernzugriff der
Ermittlungsbehörden auf die Infrastruktur des Providers kurzfristig aktivieren ließe. Auch die
Inanspruchnahme der Provider zur Mitwirkung an der Überwachung des Netzverkehrs ist bereits gängige
Praxis: Seit 2005 verpflichtet sie etwa die Telekommunikations-Überwachungs-Verordnung (TKÜV) in
Verbindung mit einer dazu aufgrund einer Ermächtigung in § 11 TKÜV ergangenen Technischen
Richtlinie, Standardschnittstellen zur Ausleitung bestimmter Daten an die Strafverfolgungsbehörden
bereitzustellen. Es bleibt also abzuwarten, ob sich eine entsprechende Ermächtigungsgrundlage
in einem etwaigen Entwurf eines Online-Überwachungs-Gesetzes finden werden.
Demgegenüber bleibt aber zu bedenken, dass auch diese Infiltrationsmethode trotz ihrer
Komplexität leicht zu umgehen ist: Wer auf das Herunterladen ausführbarer Dateien verzichtet oder
konsequent auf verschlüsselte Übertragungen und Vergleich der verwendeten Zertifikate setzt, dem
kann keine manipulierte Datei untergeschoben werden. Außergewöhnlichen technischen Sachverstand
erfordert beides nicht.
d) »social engineering«
Als realistische Möglichkeit, um einen »Bundestrojaner« anzuwenden, erscheint daher vor allem das
Aufspielen durch den Nutzer selbst, indem ihm in bewährter Manier heutiger Viren eine infektiöse
Datei per Mail zugespielt wird, oder durch einen Dritten, der Zugriff auf die zu überwachende
EDV-Anlage hat. Beides setzt ebenfalls einige Nachlässigkeit beim Betroffenen voraus – er müsste
entweder per Mail empfangene Dateien unbesehen ausführen oder Dritten Zugriff auf den eigenen
Rechner gewähren. Einen wirklich zuverlässigen Weg zur Infiltration stellt auch dies nicht dar.
2. Technische Grenzen der Online-Überwachung
Neben den beschriebenen Schwierigkeiten bei der Installation einer staatlichen
Überwachungssoftware stößt die »Online-Durchsuchung« auch dann noch auf erhebliche technische
Probleme, wenn die Installation einmal gelungen sein sollte. An dieser Stelle kann nur auf die
augenfälligsten hingewiesen werden.
a) Abhängigkeit von der Internet-Verbindung
Eine praktisch bedeutsame Einschränkung ergibt sich aus der Natur der Online-Überwachung selbst:
Der Zugriff auf den überwachten Rechner ist selbstverständlich nur möglich, solange dieser mit dem
Internet verbunden ist. Außerdem begrenzt die Kapazität des verwendeten Internet-Zugangs die
Ermittlungsmöglichkeiten: Wer nur per Modem online geht, dessen Festplatte kann schon wegen der
sehr geringen Bandbreite dieses Zugangs kaum effektiv ausgeforscht werden.
b) Datenvolumen
Eine vollständige Spiegelung und noch mehr ein vollständiges Monitoring der Datenträger des
Zielrechners ist angesichts des dabei zu übertragenden Datenvolumens kaum zu realisieren. Heutige
Rechner enthalten Festplatten in der Größenordnung einiger Dutzend bis mehrerer hundert Gigabyte,
wobei jedes Gigabyte einer Milliarde Zeichen entspricht. Selbst über eine sehr schnelle DSL-Leitung
lassen sich zwar in Empfangsrichtung (»aus dem Internet«) Rohdaten von 16000 kBit, also rund 2000
kByte pro Sekunde, übertragen; in Senderichtung (Fast alle kommerziellen
»DSL«-Anschlüsse bieten technisch präzise ADSL-Leitungen, wobei das A für asymmetrisch steht:
Die meisten Nutzer senden deutlich weniger Daten als sie empfangen, weswegen die ADSL-Anbieter der
Empfangsrichtung deutlich mehr Bandbreite zuweisen als der Senderichtung.) sind es jedoch nur
1024 kBit, also 128 kByte. Wegen des Verlusts (sog. overhead) durch
Verwaltungsinformationen bei der Übertragung können letztlich auch unter günstigen Bedingungen nur
rund 100 kByte pro Sekunde gesendet werden. Die vollständige Kopie einer mittleren Festplatte
von 50 GByte würde damit fast sechs Tage dauern. Außerdem würde eine so umfangreiche
Übertragung die DSL-Leitung des Nutzers in Senderichtung komplett auslasten, was wegen der
Geschwindigkeitsverluste sehr auffällig wäre. (Skeptisch zur Realisierbarkeit der
Komplettkopie äußert sich auch das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein.
Hier der Artikel als Bildschirmfoto.)
Praktisch kommt also nur ein Vorgehen in zwei Schritten in Betracht:
Zunächst müsste die Liste der insgesamt auf den Datenträgern gespeicherten Dateien an die
Ermittlungsbehörden übertragen werden, die sodann die mutmaßlich »relevanten« Dateien und
Verzeichnisse auswählen und sich diese gezielt einmalig (Spiegelung) bzw. kontinuierlich jeweils
bei Änderungen (Monitoring) zusenden lassen könnten.
c) Entdeckung durch Virenscanner
Schließlich droht einem etwaigen »Bundes-Trojaner« Ungemach seitens der Schutzsoftware, die der
Betroffene auf seinem Rechner möglicherweise installiert hat. Zum einen könnten sog. Firewalls,
also Programme, die den Datenverkehr mit dem Internet überwachen, den Benutzer warnen, sobald die
staatliche Überwachungssoftware erfasste Daten »nach Hause« senden möchte. Vor allem aber liegt die
Annahme nahe, dass Antiviren-Programme einen »Bundes-Trojaner« als Schädling erkennen: Wie oben
gezeigt versuchen aktuelle Virenscanner, Schadsoftware anhand ihrer Funktionen zu erkennen. Zwar
wird eine staatliche Software – anders als Viren – keine Funktionen zur Weiterverbreitung
mitbringen, sodass die Heuristik hier nicht anschlagen wird. Umso eher aber dürften Sniffer,
Backdoor-Funktionen oder gar die Verwendung von Rootkit-Techniken zum Verbergen des
»Bundestrojaners« die Aufmerksamkeit eines Heuristik-Virenscanners auf sich ziehen. Und wenn erst
einmal die Warnung »Vorsicht – verdächtige Software entdeckt: Wollen Sie SCHAEUBLE.EXE wirklich
ausführen?« auf dem Bildschirm erscheint, ist der Vorteil der »heimlichen« Online-Überwachung
passé.
Denkbar wäre zwar, mit den Anbietern von Antivirensoftware zu kooperieren, um sie zu veranlassen,
bei staatlicher Überwachungssoftware ein Auge zuzudrücken. Realistisch erscheint dieser Ansatz
jedoch nicht: Zum einen dürften die Hersteller der typischerweise weltweit vermarkteten Programme
kaum ein Interesse haben, ihre Produkte auf deutsche Sonderwünsche einzurichten. Vor allem aber
würde damit ein Sicherheitsleck geschaffen, weil kaum auszuschließen wäre, dass geschickt
programmierte nichtstaatliche Software ebenfalls von der Nachsicht des Virenscanners profitieren
würde. Konsequenterweise teilte das Bundesministerium des Innern auf die bereits genannte Kleine
Anfrage mit, dass eine Zusammenarbeit mit Software-Herstellern zur Realisierung der
Online-Überwachung nicht geplant sei.
E. Zusammenfassung und Ausblick
Hinter dem Schlagwort »Online-Durchsuchung« verbirgt sich ein bunter Strauß verschiedenster
Möglichkeiten des staatlichen Online-Zugriffs auf EDV-Anlagen. Sie bieten einerseits ein
beträchtliches Ermittlungspotential, das teils deutlich über das hinaus geht, was mit dem
klassischen Instrumentarium etwa der StPO zu erreichen ist.
Andererseits erweist sich zwar nicht die technische Realisierung der Überwachungskomponente
selbst, umso mehr aber die Infiltration des ins Visier genommenen Systems als ausgesprochen
komplex. Daher beantwortet sich bereits die Frage nach dem Verhältnis von technischem Aufwand und
tatsächlich zu erwartendem Nutzen keinesfalls von selbst . Dies gilt umso mehr, wenn man
sich vor Augen führt, dass alle Wege der Infiltration wie eben gezeigt schon mit wenig technischem
Sachverstand relativ problemlos zu verstellen sind. Damit erweist sich die Online-Überwachung zwar
als potentiell scharfes Schwert, das aber gerade gegen intelligente Täter – also die eigentlichen
»Gefährder« – kaum wirksam geführt werden kann. So scheiterte die Online-Überwachung im einzigen
bisher vom Ermittlungsrichter des BGH genehmigten Fall an der Unmöglichkeit ihrer praktischen
Durchführung.
Dieser Umstand entlarvt die zur Begründung der Maßnahme stets gern zitierte »Abwehr
terroristischer Gefahren« als Rhetorik: Selbst wenn es legitim sein mag, »die Online-Durchsuchung«
zu fordern, so gebietet es die Redlichkeit des Diskurses, offen zu bekennen, dass die Maßnahme
regelmäßig nur gegen »virtuelle Eierdiebe« vom Schlage eines amateurhaft agierenden eBay-Betrügers
wirksam anzuwenden sein wird. Wer hingegen Anschläge vom Zuschnitt des 11. September 2001
logistisch abwickeln kann, dem ist jedenfalls nach der aktuellen breiten öffentlichen Diskussion
der Online-Überwachung ohne weiteres zuzutrauen, einige wenige Gedanken auf EDV-Sicherheit zu
verwenden, zumal sich zumindest deren Grundbegriffe fast so schlicht wie ein Kochrezept formulieren
lassen. (Nämlich etwa wie folgt: Lade keine Programme aus dem Netz; öffne keine
Dateianhänge, auch nicht, wenn sie scheinbar von Bekannten stammen; installiere einen aktuellen
Virenscanner. Oder noch konsequenter: Sattle daneben auf eine Linux-Variante um, die sich von
CD-Rom starten lässt, wie etwa Knoppix. Wenn nämlich das Betriebssystem von einem
schreibgeschützten Datenträger gestartet wird, laufen alle Versuche dauerhafter Infiltration
notwendigerweise ins Leere.)
Angesichts der beschriebenen Eingriffsdichte und der Bedeutung des Computers für Leben und
Privatsphäre des Einzelnen, für den der PC oftmals die Funktion eines »ausgelagerten Gehirns« hat,
unterliegt schließlich auch die verfassungsrechtliche Zulässigkeit der beschriebenen
Zugriffsoptionen zumindest erheblichen Zweifeln. Dem wird in einem eigenen Beitrag nachzugehen
sein.
Alle Rechte bei:
https://www.hrr-strafrecht.de/hrr/
Herausgeber: Dr. h.c. Gerhard Strate
Redaktion: Rocco Beck, Wiss. Ass. Dr. iur. Karsten Gaede (Schriftleiter),
Ri Ulf Buermeyer, Wiss. Ass. Stephan Schlegel (Webmaster)
|