Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

January 23 2013

Generalbundesanwaltschaft hält Quellen-TKÜ für unzulässig

Über die Frage der rechtlichen Zulässigkeit der sog. Quellen-TKÜ – die auf die Überwachung der Internettelefonie abzielt – wird seit Jahren gestritten. Teile der Rechtsprechung halten sie für zulässig, weshalb sie auch immer wieder richterlich angeordnet wird. Nach der überwiegenden Ansicht der Rechtswissenschaft enthält die Strafprozessordnung aber derzeit keine ausreichende Rechtsgrundlage für die Anordnung einer Quellen-TKÜ. Vor einem Jahr habe ich diese Frage in einem Aufsatz für die Zeitschrift MMR untersucht.

Der Generalbundesanwalt hat bereits 2010 in einem Papier, das allerdings mit dem Vermerk “Nur für die Handakten” versehen war und jetzt veröffentlicht wurde, vermerkt, dass eine Anordnung einer Quellen-TKÜ aus Rechtsgründen nicht in Betracht kommt und man deshalb eine solche – entgegen der Anregung des BKA – seitens der Bundesanwaltschaft auch nicht beantragt.

January 17 2013

BKA kauft wieder kommerzielle Trojanersoftware

Netzpolitik.org hat ein als “VS – nur für den Dienstgebrauch” eingestuftes Dokument des Bundesministeriums des Innern veröffentlicht, in dem über die Arbeit des beim BKA eingerichteten Kompetenzzentrums Informationstechnische Überwachung berichtet wird.

Aus dem Dokument ergibt sich u.a., dass eine eigenentwickelte Software für die sog. Quellen-TKÜ nach Einschätzung des BKA bis zum Jahr 2014 fertiggestellt werden kann. Bis dahin will man sich (weiterhin) am Markt mit kommerzieller Software eindecken, konkret mit einem Programm des Herstellers Elaman/Gamma.

Wie man immer wieder hört, sollen bei verschiedensten Behörden, insbesondere auch der Länder, noch andere Programme für eine Online-Durchsuchung / Quellen-TKÜ im Einsatz sein.

Dass für die sog. Quellen-TKÜ derzeit keine ausreichende Rechtsgrundlage vorhanden ist, wird von der Bundesregierung und vom Bundestag ganz offensichtlich hartnäckig ignoriert. Darüber hinaus hat der vom CCC öffentlich gemachte Fall eines Bayerntrojaners gezeigt, dass derartige Programme auch dazu geeignet sind, eine grundrechtswidrige Onlinedurchsuchung durchzuführen und die Behörden von dieser Funktionalität auch Gebrauch gemacht haben.

August 02 2012

Prüfbericht des Bayerischen Datenschutzbeauftragten zur Quellen-TKÜ

Der bayerische Datenschutzbeauftragte hat seinen Prüfbericht zur Quellen-TKÜ und damit auch zum Einsatz des sog. Bayerntrojaners vorgelegt.

In rechtlicher Hinsicht teilt der Datenschutzbeauftragte die Rechtsansicht der Konferenz der Datenschutzbeauftragten, wonach die Strafprozessordnung weder für die Quellen-TKÜ noch für die Onlinedurchsuchung eine ausreichende Rechtsgrundlage vorsieht.

Was den Bereich der Quellen-TKÜ angeht, bringt der Datenschutzbeauftragte allerdings zum Ausdruck, dass er die anderslautende Rechtsauffassung der bayerischen Strafgerichte zu respektieren hat. Im Hinblick auf darüberhinausgehende Maßnahmen, macht der Datenschützer allerdings deutlich, dass er diese für klar rechtswidrig hält. Soweit die Software über die Funktion verfügt, über eine Softwareliste alle Namen der auf dem überwachten Rechner installierten Programme auszulesen, ist das nach Einschätzung des Datenschutzbeauftragten ebenso unzulässig wie die Anfertigung und Übermittlung von Browserscreenshots.

Ob die Politik aus dieser rechtlichen Einschätzung des Bayerischen Datenschutzbeauftragten Konsequenzen ziehen wird, bleibt abzuwarten. Vermutlich wird man aber in altbekannter Manier darauf setzen, sämtliche rechtlichen Bedenken zu ignorieren.

Warum die heimliche Installation von Überwachungssoftware nach geltendem Recht nicht zulässig ist, habe ich in einem älteren Beitrag erläutert.

March 15 2012

Das Positionspapier des CSU-Netzrates

Wie einige andere auch, habe ich heute das Positionspapier des Netzrats der CSU gelesen und dort viele Positionen gefunden, die ich teile, die andererseits aber z.T. noch weit von der Mehrheitsmeinung der Union entfernt sind.

Man findet dort ein Plädoyer für ein bereits existierendes Grundrecht auf Internetnutzung, das mit einer Ablehnung von Netzsperren und einem Three-Strikes-Modell einhergeht.

Kritik am geplanten Leistungsschutzrecht für Verleger findet man in dem Papier ebenso wie eine kritische Haltung zu ACTA und eine zumindest zweifelnde zum Thema Vorratsdatenspeicherung.

Unter dem Strich ein durchaus beachtliches Papier, das auch den Willen zeigt, gegen die sicherlich noch überwiegenden Widerstände in der eigenen Partei anzukämpfen.

February 19 2012

Bundesdatenschutzbeauftragter kritisiert Bundestrojaner deutlich

Der Bundesdatenschutzbeauftragte Peter Schaar hat den Einsatz einer Überwachungssoftware der Fa. DigiTask (“Bundestrojaner“) durch Bundesbehörden in seinem “Bericht gemäß § 26 Abs. 2 Bundesdatenschutzgesetz über Maßnahmen der Quellen-Telekommunikationsüberwachung bei den Sicherheitsbehörden des Bundes“ erheblich beanstandet.

Für besonders interessant halte ich die Ausführungen Schaars im Hinblick auf die technischen Anforderungen an derartige Überwachungssysteme.

Bei der technischen Umsetzung sind laut Schaar aus rechtlichen Gründen eine Reihe technischer Maßnahmen durchzuführen, die weit über die Anforderungen an gängige Überwachungssoftware hinausgehen.

In dem Papier des Bundesbeauftragten heißt es u.a., dass Software für Maßnahmen der Quellen-TKÜ technisch nicht wie Schadsoftware, Viren, Spionageprogramme und Hackerprogramme funktionieren kann. Sie muss vielmehr die gesetzlichen Vorgaben und Standards des Datenschutzes und der IT-Sicherheit erfüllen. Hierzu gehören Maßnahmen zu Gewährleistung der Transparenz, Vertraulichkeit, Verfügbarkeit und Unversehrtheit, aber auch zu Revisionssicherheit und Löschbarkeit.

Schaar hält hierzu die Vorlage des Quellcodes und einer umfassenden Dokumentation für unerlässlich.

Außerdem müsse laut Schaar sichergestellt sein, dass die Daten auf dem Weg zur Sicherheitsbehörde nicht verändert oder verfälscht werden können, woraus sich strenge Anforderungen an die Daten- und Instanzauthentisierung ergeben. Da aufgrund verfassungsrechtlicher und gesetzlicher Vorgaben der Kernbereich privater Lebensgestaltung besonders geschützt ist, muss die für die Maßnahme eingesetzte Software außerdem in der Lage sein, nach der Speicherung der Informationen jederzeit eine gezielte Löschung kernbereichsrelevanter Inhalte durchzuführen.

Um eine Kontrolle durch den Betroffenen oder eine Datenschutzbehörde zu ermöglichen, ist eine Protokollierung der wichtigsten Rahmenbedingungen und zu den übermittelten Daten erforderlich. Schaar merkt außerdem an, dass in der Software keine Funktionen vorhanden sein dürfen, die über die gesetzlich vorgesehenen Überwachungsmaßnahmen hinaus gehen. Es müsse sichergestellt werden, dass keine über die Überwachung der laufenden Telekommunikation hinausgehende Überwachung stattfindet.

Schaar weist schließlich darauf hin, dass beim Bundestrojaner weder der Quellcode noch eine hinreichende Programmdokumentation vorliegt, weshalb die notwendige und vom BKA vorzunehmende Prüfung der Software, erst gar nicht möglich sei.

Der Bundesdatenschutzbeauftragte kommt insoweit zu dem Ergebnis,dass ein schwerwiegender Verstoß gegen die Regelungen des § 9 BDSG und § 20k BKAG vorliegt.

 

January 10 2012

Zulässigkeit der heimlichen Installation von Überwachungssoftware

Unter dem Titel “Zulässigkeit der heimlichen Installation von Überwachungssoftware” ist gerade ein Aufsatz von mir in der Zeitschrift MultiMedia und Recht (MMR 2012, 18) erschienen, der nicht online verfügbar ist. Es wird dort der Frage nachgegangen, ob die sog. Quellen-TKÜ oder noch weitergehende Maßnahmen der Onlinedurchsuchung nach geltendem Recht zulässig sind.

Meine Thesen lauten zusammengefasst:

1. Die sog. Quellen-TKÜ ist zwar in rechtlicher Hinsicht eine Telefonüberwachung, stellt aber in technischer Hinsicht eine Onlinedurchsuchung dar, weil sie zwingend die heimliche Infiltration eines Computers mit einer Spähsoftware voraussetzt.

2. Dieses Spannungsverhältnis hat das BVerfG  in seiner Entscheidung zur Onlinedurschsuchung erkannt und versucht, eine verfahrensrechtliche Lösung zu finden. Diese setzt allerdings voraus, dass der Gesetzgeber tatsächlich in der Lage ist, die Gefahr, die die Installation eines Trojaners mit sich bringt dahingehend zu beherrschen, dass die Maßnahme trennscharf auf die Quellen-TKÜ begrenzt werden kann. Es stellt sich insoweit die Frage, ob die vom Bundesverfassungsgericht vorgenommene juristisch nachvollziehbare Differenzierung zwischen Onlinedurchsuchung und Quellen-TKÜ in technischer Hinsicht überhaupt praktikabel und zuverlässig möglich ist. Ist das nicht der Fall, dann wäre das Gericht von unzutreffenden tatsächlichen Annahmen ausgegangen. Das würde wiederum bedeuten, dass eine gesetzliche Regelung der Quellen-TKÜ nicht an den Vorschriften der TK-Überwachung, sondern vielmehr an den deutlich engeren Vorgaben einer Onlinedurchsuchung zu messen wäre.

3. Um die Anforderungen des BVerfG auch für die sog. Quellen-TKÜ zu erfüllen, muss der Gesetzgeber konkrete Vorgaben bzgl. der Funktionalität der einzusetzenden Software machen. Der Einsatz multifunktionaler Programme ist grundsätzlich problematisch, da bei solchen Programmen nie ausgeschlossen werden kann, dass im Einzelfall mehr gemacht wird als zulässig ist. Genau dies muss der Gesetzgeber aber verhindern. Erforderlich ist in jedem Fall eine ausreichende Qualitätssicherung und Überprüfung. Die derzeitige Praxis des Ankaufs von Computerprogrammen, bei denen die Behörden noch nicht einmal in Besitz des Quellcodes sind und die nach den Feststellungen des CCC auch erhebliche programmiertechnische Mängel aufweisen, entspricht nicht ansatzweise den Vorgaben des Verfassungsgerichts und ist zu unterbinden.

Fazit:
Die Quellen-TKÜ ist nach geltendem Recht nicht von der Vorschrift des § 100a StPO gedeckt. Es ist Aufgabe des Gesetzgebers eine spezifische gesetzliche Regelung zu schaffen, die die Vorgaben des Bundesverfassungsgerichts aus der Entscheidung zur Onlinedurchsuchung umsetzt und die insbesondere sicherstellt, dass Maßnahmen, die über eine Überwachung der Internettelefonie hinausreichen, ausgeschlossen sind. Die derzeitige Praxis des Einsatzes von multifunktionaler Software ist durch entsprechende gesetzliche Vorgaben zu verhindern.

Mit dem Themenkreis Staatstrojaner und Quellen-TKÜ setzen sich auch (erneut) Florian Albrecht und Sebastian Dienst in einem lesenswerten Aufsatz für JurPC auseinander. Die Autoren bezweifeln die technische Realisierbarkeit einer verfassungskonformen Quellen-TKÜ und sind darüber hinaus der Ansicht, dass auch die Regelung des § 20a BKA-G, die dem BKA eine Onlinedurchsuchung in engen Grenzen erlaubt, verfassungswidrig ist.

Reposted byurfin urfin

November 29 2011

Update zum Bayerntrojaner

Die Grünen im bayerischen Landtag berichten über weitere Details zum Einsatz des sog. Bayerntrojaners. Interessant ist u.a., dass der Einsatz des Trojaners, insbesondere auch mit der Screenshot-Funktion, in mindestens einem Fall auch noch nach dem Beschluss des Landgerichts Landshut fortgesetzt worden ist.

Diese Form der Onlinedurchsuchung ist offensichtlich rechtswidrig. Ob die sog. Quellen-TKÜ – also die Überwachung der IP-Telefonie – zulässig ist, ist juristisch umstritten, aber nach richtiger Ansicht ebenfalls derzeit nicht mit den Vorgaben des BVerfG vereinbar.

Dass Bayern allein für die Softwarebeschaffung fast 400.000 EUR aufgewendet hat, ist ebenfalls äußerst instruktiv. Hier stellt sich dann auch die Frage, ob dieses Geld nicht besser in eine vernünftige IT-Ausstattung der Polizeibehörden gesteckt worden wäre, denn da liegt einiges im Argen.

Gegen die Weigerung der Staatsanwaltschaft München I gegen die Verantwortlichen des Trojanereinsatzes zu ermitteln, habe ich für die Piratenpartei Bayern übrigens zwischenzeitlich Sachaufsichtsbeschwerde zur Generalstaatsanwaltschaft München eingelegt.

November 16 2011

Staatsanwaltschaft will wegen des Bayerntrojaners nicht ermitteln

Vor einigen Wochen habe ich für die Piratenpartei Bayern Strafanzeige gegen den bayerischen Innenminister, den LKA-Präsidenten sowie weitere Personen erstattet, die an der Anordnung und Durchführung des Einsatzes des sog. Bayerntrojaners beteiligt waren.

Die Staatsanwaltschaft beim Landgericht München I hat, im Ergebnis wenig überraschend, die Einleitung eines Ermittlungsverfahrens und damit auch einen Antrag auf Aufhebung der parlamentarischen Immunität des Ministers mit Verfügung vom 26.10.11 abgelehnt.

Zur Begründung führt die Staatsanwaltschaft im Wesentlichen aus, dass es mit Blick auf die Straftatbestände der §§ 202a und 202c StGB bereits an einer Tatbestandsmäßigkeit fehle, weil insbesondere auch unter Berücksichtigung einer Entscheidung des Landgerichts Landshut, ein gerichtlicher Beschluss nach § 100a StPO vorgelegen habe, der den Trojanereinsatz gerechtfertigt habe. Sowohl die Installation der Software, als auch die anschließende Ausleitung der Daten seien deshalb nicht tatbestandsmäßig.

Wörtlich heißt es in der Verfügung:

Denn die Installation der betreffenden Software erfolgte gerade nicht unter Überwindung einer besonderen Sicherung, sondern auf der Grundlage der vorgenannten Gerichtsbeschlüsse

Man sollte sich nochmals vor Augen führen, was u.a. in dem Landshuter Verfahren geschehen ist. Die Staatsanwaltschaft beantragt auf Betreiben des LKA eine richterliche Anordnung für eine sog. Quellen-TKÜ, also eine Überwachung der IP-Telefonie. Hierbei lässt man den Ermittlungsrichter bewusst im Unklaren darüber, dass die eingesetzte Software weit mehr kann und im konkreten Fall zusätzlich auch eine Onlinedurchsuchung durchführt, für die es evident keine Rechtsgrundlage gibt.

Anschließend beruft man sich zur Rechtfertigung der Onlinedurchsuchung auf den richterlichen Beschluss. Man belügt also zuerst den Ermittlungsrichter, um sich anschließend darauf berufen zu können, dass man ja nur auf Basis einer richterlichen Anordnung gehandelt habe.

Diese rabulistische Argumentation hat allerdings einen entscheidenden Schwachpunkt. Die richterliche Anordnung des Amtsgerichts Landshut hat sich zu keiner Zeit auf die Durchführung einer Onlinedurchsuchung (Browser-Screenshots) erstreckt, sondern war explizit auf eine Quellen-TKÜ beschränkt. In dem Beschluss des Amtsgerichts hieß es wörtlich:

Unzulässig sind die Durchsuchung eines Computers nach bestimmten auf diesem gespeicherten Daten sowie das Kopieren und Übertragen von Daten von einem Computer, die nicht die Telekommunikation des Beschuldigten über das Internet mittels Voice-over-IP betreffen

Der Ermittlungsrichter hatte also sogar ausdrücklich klargestellt, dass eine Übertragung von Daten vom Computer des Beschuldigten, die nicht die IP-Telefonie betreffen, unzulässig sind.

Hierüber haben sich die Behörden dann gezielt hinweggesetzt und eine Software installiert, die zehntausende von Browser-Screenshots an das LKA – und das noch dazu über den Umweg eines US-Servers – geschickt hat.

Davon, dass das LKA auf Grundlage einer richterlichen Gestattung tätig geworden wäre, kann bei dieser Sachlage wahrlich nicht die Rede sein.

Die Verfügung der Staatsanwaltschaft enthält des weiteren die bemerkenswerte Aussage, dass dahingestellt bleiben kann, ob die Einzelfallentscheidung des Landgerichts Landshut zur zusätzlichen Anfertigung von Screenshots allgemein übertragbar sei und deshalb von eine grundsätzliche Rechtswidrigkeit auszugehen sei. Denn obergerichtliche Rechtsprechung existiert, so die Staatsanwaltschaft, zu dieser Frage bislang jedenfalls noch nicht.

Diese Aussage ist erstaunlich, wenngleich sachlich und juristisch falsch. Zwischen der Entscheidung des Ermittlungsrichters und der des Landgerichts besteht kein Widerspruch. Der Ermittlungsrichter hatte eine Onlinedurchsuchung ausdrücklich verboten, das LKA hat dennoch eine durchgeführt. Das Landgericht hat anschließend lediglich festgestellt, dass die durchgeführte Onlinedurchsuchung rechtswidrig war.

Dass man die Einleitung eines Ermittlungsverfahrens deshalb ablehnt, weil noch keine obergerichtliche Entscheidung vorliegt, ist ein interessantes Novum.

Zu dieser Frage mag in der Tat keine obergerichtliche Rechtsprechung existieren, aber es existiert eine des Bundesverfassungsgerichts, die sehr klar darstellt unter welchen Voraussetzungen eine Onlinedurchsuchung überhaupt in Betracht kommt. Nachdem es in der Strafprozessordnung aber noch nicht einmal eine formelle Rechtsgrundlage für eine Onlinedurchsuchung gibt, ist eine solche nach einhelliger juristischer Ansicht unzulässig.

Wenn es also noch eines Beweises bedurft hat, dass die bayerischen Staatsanwaltschaften in bestimmten Fällen nach politischen Kriterien ermitteln, dann ist er spätestens jetzt erbracht. Oder um es mit Benjamin Franklin zu sagen: “Nur die Lüge braucht die Stütze der Staatsgewalt, die Wahrheit steht für sich alleine”.

Das Internet ist in der Tat gelegentlich ein rechtsfreier Raum und zwar dann, wenn es um die Ahndung rechtswidriger und strafbarer Ermittlungsmethoden geht.

Update:
Wegen der vielen Nachfragen noch eine ergänzende Bemerkung. Die Piratenpartei Bayern wird in den nächsten Tagen den (formlosen) Rechtsbehelf der Sachaufsichtsbeschwerde zur Generalstaatsanwaltschaft erheben. Mehr ist derzeit nicht möglich, da förmliche Rechtsbehelfe, wie ein Klageerzwingungsverfahren, nur einem Betroffenen zur Verfügung stehen. Nur wenn sich also ein Betroffener findet, auf dessen Rechner heimlich der Bayerntrojaner installiert worden ist, wird es möglich sein, die Verweigerungshaltung der Staatsanwaltschaft gerichtlich überprüfen zu lassen.

October 22 2011

Innenminister Friedrich diskutiert auf Google+ über den Bundestrojaner

Bundesinnenminister Friedrich hat ein Profil auf Google Plus und diskutiert dort auch über den Trojaner. Der Account dürfte echt sein, nachdem er auch auf seiner Website verlinkt ist. Ob er selbst schreibt oder nur ein Mitarbeiter, ist eine andere Frage.

Aktuell wird dort über ein Interview Friedrichs mit der Mitteldeutschen Zeitung “Es geht nicht gegen den Bürger” diskutiert. Ich habe dort zusammen mit einigen anderen bereits kommentiert. Vielleicht wollt Ihr / wollen Sie ja auch noch einsteigen?

October 09 2011

O’zapft is: Überwachungsrepublik Deutschland

Dem Chaos Computer Club (CCC) wurde der Quellcode (Korrektur: es lagen wohl nur die Binärdateien vor) des sog. Behördentrojaners zugespielt, den man aus der öffentlichen Diskussion als Bundestrojaner und aus der Strafrechtspraxis auch als Bayern-Trojaner kennt.

Die Analyse des CCC ist ebenso erschreckend wie vorhersehbar. Das Tool ermöglicht eine umfassende Onlinedurchsuchung, die weit über das hinausgeht, was bislang offiziell bekannt war.

Man wusste bereits aus einer Entscheidung des Landgerichts Landshut, dass das bayerische LKA das Programm einem Verdächtigen während der Sicherheitsüberprüfung am Münchener Flughafen auf sein Notebook gespielt hatte und, dass das Tool immer dann, wenn der Verdächtige mit seinem Browser online war, alle 30 Sekunden einen Screenshot angefertigt hat, der dann an das LKA geschickt wurde. Im konkreten Fall waren es über 60.000 Screenshots, die das bayerische Landeskriminalamt auf diese Weise erlangt hat.

Die Analyse des CCC zeigt nun, dass die Software neben der Überwachung der Skype-Telefonie und der Aufzeichnung und Weiterleitung von Browser-Screenshots noch eine Reihe weiterer Überwachungsfeatures enthält. In der Pressemitteilung des CCC heißt es hierzu:

So kann der Trojaner über das Netz weitere Programme nachladen und ferngesteuert zur Ausführung bringen. Eine Erweiterbarkeit auf die volle Funktionalität des Bundestrojaners – also das Durchsuchen, Schreiben, Lesen sowie Manipulieren von Dateien – ist von Anfang an vorgesehen. Sogar ein digitaler großer Lausch- und Spähangriff ist möglich, indem ferngesteuert auf das Mikrophon, die Kamera und die Tastatur des Computers zugegriffen wird.

Zusätzlich bedenklich ist es, dass der Staatstrojaner die ausgespähten Daten zunächst an einen Server eines kommerziellen Providers in Ohio (USA) übermittelt. Offenbar ist den deutschen Behörden die Rechtswidrigkeit ihres Tuns bewusst, weshalb man es vermeidet, den Datenaustausch über einen deutschen, evtl. sogar behördlichen Server abzuwickeln.

Wenn man immer wieder hört – z.B. vom BKA – dass dieser Behördentrojaner nicht zum Einsatz kommt, sollte man dem keinen Glauben schenken. Die Strafverfolgung ist in Deutschland Ländersache, weshalb auf das BKA vermutlich tatsächlich die niedrigste Anzahl von Einsätzen entfallen dürfte. Demgegenüber scheinen die Landeskriminalämter und damit auch die Staatsanwaltschaften durchaus regelmäßigen Gebrauch von diesem Programm zu machen. In Bayern hat die Staatsregierung eingeräumt, dass der Trojaner in fünf Fällen zu Zwecken der Strafverfolgung eingesetzt worden ist. Man darf annehmen, dass die Situation in anderen Bundesländern ähnlich ist.

Die rechtliche Bewertung ist übrigens sehr eindeutig. Für eine (heimliche) Onlinedurchsuchung existiert in Deutschland derzeit überhaupt keine Rechtsgrundlage – und es wäre auch fraglich ob eine solche verfassungskonform ausgestaltet werden könnte – weshalb der Einsatz des Behördentrojaners evident rechtswidrig ist.

Lediglich im Bereich der Überwachung der IP-Telefonie sind einige Gerichte der Ansicht, dass sich eine sog. Quellen-TKÜ auf § 100a StPO stützen lässt. Aber auch insoweit ist in der juristischen Literatur überzeugend dargelegt worden – vgl. z.B. Albrecht und Buermeyer/ Bäcker – dass § 100a StPO keine tragfähige Grundlage für eine derartige Maßnahme bietet und auch die Quellen-TKÜ nach geltendem Recht rechtswidrig ist.

Aber selbst wenn man das anders sieht, ist der Einsatz des Tools, das der CCC analysiert hat, für Zwecke der Überwachung von Voice-Over-IP rechtswidrig, denn das Programm ist ja nicht auf derartige Maßnahmen beschränkt, sondern ermöglicht vielmehr eine umfassende und weitreichende Überwachung, für die unstreitig noch nicht einmal eine formelle Rechtsgrundlage besteht.

Die Analyse des CCC zeigt, dass sich die Polizeibehörden und Staatsanwaltschaften gerade im Bereich der Telekommunikationsüberwachung wenig darum schweren, ob ihre Maßnahmen rechtswidrig sind oder nicht und vielmehr die Neigung besteht, alles zu praktizieren, was technisch möglich ist.

Besonders bedenklich ist aber auch die Erkenntnis des CCC, dass das Programm keineswegs von fähigen Experten programmiert worden ist und deshalb Fehler und Sicherheitslücken enthält, die es ermöglichen, dass ein beliebiger Dritter die Kontrolle über einen von deutschen Behörden infiltrierten Computer übernehmen kann.

Die ausführliche Analyse des CCC war eines der meistdiskutierten Themen im Netz in den letzten 24 Stunden und zahlreiche Medien, u.a. die FAS in einem Leitartikel von Frank Schirrmacher, haben sich des Themas angenommen.

Und weil ich auf tagesschau.de folgendes lese,

Doch es ist unklar, ob tatsächlich deutsche Ermittlungsbehörden oder Nachrichtendienste – oder überhaupt staatliche Stellen – hinter dem Programm stecken.

noch eine ergänzende Anmerkung zur Seriosität der Enthüllung des CCC. Es sollte gerade Journalisten klar sein, dass der CCC schlecht mitteilen kann, aus welchem Verfahren die Software stammt, die dem CCC zugespielt worden ist, weil man sonst den Informanten ans Messer liefern würde. Man darf allerdings getrost annehmen, dass die Information nicht aus obskuren Quellen stammt, sondern aus einem polizeilichen Verfahren.

July 27 2011

Experimentelle Gesetzgebung

Der Deutsche Anwaltverein (DAV) fordert die Schaffung eines institutionalisierten Expertengremiums zur Evaluierung von Polizei- und Sicherheitsgesetzen unter Federführung des Bundestages.

Eingriffsbefugnisse, die sich in der täglichen Praxis als nicht erforderlich, ungeeignet, ineffizient oder unverhältnismäßig erweisen, müssen wieder zurückgenommen werden heißt es in einer Pressemitteilung des DAV. Besonders die Instrumente, deren Tauglichkeit zur Verbrechensbekämpfung noch völlig offen sind, wie die Online-Durchsuchung oder die Vorratsdatenspeicherung müssten nach Ansicht des DAV kritisch begutachtet werden.

In dem dazugehörigen Eckpunktepapier des DAV findet sich folgender beachtenswerter Hinweis:

Wenn aber der Gesetzgeber solche noch unerprobte Instrumente legalisiert, muss er die Wirksamkeit der entsprechenden Regelung nach ihrem Inkrafttreten laufend beobachten. Dies ist ein zwingendes Gebot der Verfassung. Eine „experimentelle“ Gesetzgebung gebietet eine Evaluationspflicht, die eine Nachbesserung oder Rücknahme von gesetzlichen Ermächtigungen zu Grundrechtseingriffen ermöglicht.

Der Appell des DAV ist vor dem Hintergrund der unlängst beschlossenen weiteren Verlängerung der sog. Anti-Terror-Gesetze von besonderer Bedeutung. Obwohl in der dortigen gesetzlichen Regelung eine Evaluierung ausdrücklich vorgesehen und vorgeschrieben war, wurde die Verlängerung ohne fundierte Überprüfung der Praxistauglichkeit der Regelungen beschlossen.

Wer die Diskussion um die innere Sicherheit verfolgt, kann ständig beobachten, dass es sich hierbei um das Politikfeld handelt, in dem mit am emotionalsten und unsachlichsten argumentiert wird. Da die Politik die gebotene Sachlichkeit vermissen lässt, ist eine Evaluierung durch ein institutionalisiertes Expertengremium sicherlich ein guter und begrüßenswerter Vorschlag.

July 26 2011

Wie die Ermittlungsbehörden die Telekommunikation überwachen

Die Anschläge in Norwegen haben die deutsche Diskussion über die Wiedereinführung der Vorratsdatenspeicherung, sowie generell eine stärkere TK- und Internetüberwachung, erneut angeheizt. Von Innen- und Sicherheitspolitikern wird hierbei gerne der Eindruck erweckt, den Ermittlungsbehörden stünden keine ausreichenden Instrumentarien zur Verfügung.

Tatsächlich existiert eine Fülle von gesetzlichen Überwachungsbefugnissen, deren Umfang und Reichweite den meisten Menschen vermutlich gar nicht bewusst ist und die in der Gesamtschau bereits ein bedenkliches Ausmaß angenommen haben.

Ich möchte deshalb einmal einen Überblick über die Ermittlungsmaßnahmen geben, die deutsche Staatsanwaltschaften und Polizeibehörden im Bereich der Telekommunikation tatsächlich praktizieren. Für die meisten dieser Maßnahmen existieren gesetzliche Regelungen, deren Anwendbarkeit auf die jeweilige Maßnahme aber nicht immer völlig zweifelsfrei zulässig ist. Gelegentlich werden von den Behörden aber auch evident rechtswidrige Maßnahmen ergriffen, wie der vieldiskutierte Einsatz des Bayern-Trojaners zeigt.

Überblick über Ermittlungsmaßnahmen im Bereich der Telekommunikation und des Internets:

  • Überwachung und Aufzeichnung des Inhalts eines Telekommunikationsvorgangs (§ 100a StPO)
  • Auswertung von Daten aus Gerätespeicher oder SIM-Karten (§ 94 StPO)
  • Auskunft über Bestandsdaten von TK-Anbietern (§§ 161 Abs.1, 163 Abs. 1 StPO i.V.m. § 113  Abs. 1 TKG) und von Telemedienanbietern (§ 14 Abs. 2 TMG)
  • Personenauskunft zu einer vorhandenen Rufnummer (§§ 112,  113 TKG) und zu vorhandenen dynamischen oder statischen IP-Adressen sowie E-Mail-Adressen (§ 113 TKG)
  • Ermittlung von Standortdaten von Mobiltelefonen über Mobilfunknetze (§§ 100a oder 100g StPO)
  • Ermittlung von Standortdaten von Mobiltelefonen in Echtzeit (§ 100g Abs. 1 S. 3 StPO)
  • Auskunft über Rechnungsdaten (§§ 96, 97 TKG, 100g StPO)
  • Auskunft über künftig anfallende Verkehrsdaten (§ 100g Abs. 1 StPO)
  • Auskunft über in der Vergangenheit angefallene Verkehrsdaten. Derzeit faktisch eingeschränkt dadurch, dass keine Verpflichtung zur Vorratsdatenspeicherung mehr besteht. Da einige Provider aber auch ohne Vorratsdatenspeicherung bis zu 3 Monaten speichern, kann auch hier oftmals noch erfolgreich ermittelt werden
  • Ermittlung von PIN/PUK  (§§ 113 Abs. 1 S. 2 TKG, 161, 163 StPO)
  • Aufzeichnung des E-Mail-Verkehrs während der Übertragungsphase (§ 100a StPO)
  • Kontrolle/Sicherstellung des E-Mail-Verkehrs während der Zwischenspeicherung auf dem Mail-Server des Providers (§§ 94 ff. bzw. § 99 StPO)
  • Sicherstellung von E-Mails auf dem Computer des Empfängers (§§ 94 ff. StPO)
  • Ermittlung der sog. IMSI zur Identifizierung oder Lokalisierung durch sog. IMSI-Catcher (§ 100i StPO). Die IMSI (International Mobile Subscriber Identity) ist eine Kennung mit der ein Mobilfunkteilnehmer in den Funknetzen eindeutig identifiziert werden kann
  • Ermittlung der sog. IMEI (§ 113 TKG). IMEI (International Mobile Equipment Identity) bezeichnet die Hardwarekennung des Mobiltelefons
  • Feststellung, welche Mobiltelefone zu einer bestimmten Zeit in einer bestimmten Funkzelle eine Netzverbindung aufgebaut hatten, sog. Funkzellenabfrage (§ 100g Abs. 2 S. 2 StPO)
  • Einsatz von GPS-Technik zur Observation Verdächtiger (§ 100h Abs. 1 Nr. 2 StPO)
  • Zugriff auf Daten in geschlossenen Internetforen mithilfe von  Zugangsdaten, die ohne oder gegen den Willen der Kommunikationsbeteiligten erlangt wurden (§ 100a StPO bei Liveüberwachung  über Netzbetreiber; §§ 94, 98 StPO gegenüber Telemediendiensten nach Abschluss des Telekommunikationsvorgangs, betrifft z.B. Chatprotokolle, Bilder etc.)
  • Kfz-Ortung bei Fahrzeugen mit SIM-Modul, z.B. BMW-Assist/ConnectedDrive oder Audi-Ortungsassistent Cobra (bei Katalogstraftaten: § 100a StPO, fraglich wenn keine Katalogtat)
  • Ermittlung von Nachrichten, die auf einer Mailbox gespeichert sind (§§ 94, 98 bzw. 99 StPO analog)
  • Online-Durchsuchung und Einsatz/Installation von Spionagesoftware wie Trojaner, Keylogger u.a. (derzeit keine gesetzliche Grundlage, wird in Bayern dennoch praktiziert)
  • Stille SMS, auch Silent Message oder stealthy ping; dient der Ermittlung des Aufenthaltsortes sowie der Erstellung von  Bewegungsprofilen von Personen, die Mobiltelefone nutzen. Die Ermittler schicken einen ping an eine ihnen bekannte Handynummer. Beim Mobilfunkbetreiber wird dadurch ein Datensatz mit Verbindungsdaten erzeugt, u.a. mit Angaben zur Funkzelle, in der sich das Handy befindet. Auf entsprechende Anordnung werden diese Daten vom Mobilfunkbetreiber an die Ermittlungsbehörde weitergeleitet (rechtlich zweifelhaft)
  • Aufzeichnung von Internettelefonie (Voice over IP) unter Verwendung entsprechender Überwachungssoftware, sog. Quellen- TKÜ (§ 100a StPO, streitig)
  • W-LAN-Catcher (WiFi-Catcher); ein Gerät zur Erfassung kabelloser Datenströme. Dient der Ermittlung der exakten geographischen Ausbreitung des versorgten Bereichs eines W-LANs und der Identifizierung aller eingeloggten Endgeräte sowie der Überwachung/Aufzeichnung des Datenverkehrs (§§ 161, 163 StPO; § 100i StPO; § 100a StPO)
  • Zielwahlsuche; ermöglicht die Ermittlung von Rufnummern, von denen Verbindungen zu einem bekannten Anschluss hergestellt werden (§ 100g Abs. 1 StPO)

June 26 2011

Bayern-Trojaner kam fünfmal zum Einsatz

Unter Berufung auf die morgen erscheinende Print-Ausgabe des Spiegel berichtet Heise-Online, dass der sog. Bayern-Trojaner insgesamt fünfmal zum Einsatz gekommen sei, um Straftaten aufzuklären.

Dieses Vorgehen ist im Bereich der Strafverfolgung, anders als der insoweit missverständlich Heise-Artikel nahelegt, keineswegs rechtlich umstritten, sondern evident rechtswidrig. In der StPO existiert noch nicht einmal eine rechtliche Grundlage für eine derartige Onlinedurchsuchung.

In einem lesenswerten Aufsatz führt Albrecht hierzu ergänzend aus, dass sich die Beamten, die die Online-Durchsuchung durchführen bzw. veranlassen, regelmäßig auch nach § 202a Abs. 1 StGB strafbar machen. Straftaten, die freilich von bayerischen Staatsanwaltschaften nicht verfolgt werden.

Der nach Art. 34d BayPAG – allerdings unter sehr engen Voraussetzungen – zulässige,  verdeckte Zugriff auf informationstechnische Systeme (Onlinedurchsuchung), der im Bericht von Heise ebenfalls erwähnt wird, bietet für den Bereich der Strafverfolgung ohnehin keine einschlägige Rechtsgrundlage, sondern betrifft vielmehr nur den (präventiven) Bereich der Gefahrenabwehr.

Reposted byfreundeundhelfermondkroetebrightbytesciphexsofiascoloredgrayscaleMadMaid

April 05 2011

Rechtswidrige Onlinedurchsuchungen

Vor einiger Zeit hatte ich hier über rechtswidrige Methoden der Onlineüberwachung berichtet, die vom bayerischen Landesakriminalamt praktiziert wurden bzw. werden. Mein damalige Vermutung, dass das LKA diese Technik nicht zum ersten Mal zur Anwendung gebracht hat, hat sich mittlerweile ebenfalls bestätigt.

Florian Albrecht hat sich des Themas nun aus wissenschaftlicher Sicht angenommen und beleuchtet die sich stellenden juristischen Fragen in einem lesenswerten Aufsatz für JurPC. Sein Fazit ist eindeutig. Der Einsatz des “Bayern-Trojaners” stellt eine unzulässige Onlinedurchsuchung dar. Albrecht erläutert zudem in überzeugender Art und Weise, dass die Vorschrift des § 100a StPO generell keine ausreichende Rechtsgrundlage für eine sog. Quellen-TKÜ bietet, also für eine TK-Überwachung direkt am Endgerät des Nutzers. Die derzeit wohl h.M. sieht dies allerdings noch anders.

Der Autor weist in seiner Zusammenfassung auch völlig zu Recht darauf hin, dass Ermittlungsbehörden derzeit die Zurverfügungstellung sämtlicher Überwachungsinstrumente fordern, die technisch verfügbar sind, gleichzeitig aber eine Effizienzkontrolle nicht stattfindet.

Update:
Ergänzend der Hinweis auf Buermeyer/ Bäcker, Zur Rechtswidrigkeit der Quellen-Telekommunikationsüberwachung auf Grundlage des § 100a StPO.

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl