Die Arbeitsgruppe Identitätsschutz im Internet (a-i3) lud Anfang Oktober nach Bochum, um den technischen und rechtlichen Rahmen der Online-Durchsuchung zu klären. Ergebnis: Es scheitert an den Begriffen.

"Wenn man die Online-Durchsuchung nicht zulässt, gäbe es eine Diskrepanz zum realen Bereich. Dann hätte ich hier in der Virtualität einen Bereich, der ausgeblendet wäre" - so klingt eigentlich ein Befürworter von Online-Durchsuchungen.

Jürgen Peter Graf, Richter am Bundesgerichtshof, hält seines heimlichen Charakters wegen gleichwohl das Durchstöbern von Computern für nicht konform zur gegenwärtigen Gesetzeslage. Auf der Bochumer Tagung war ihm zudem wichtig zu betonen, dass eine Online-Durchsuchung eine ganz andere Gesetzesgrundlage bemühe, als eine Online-Überwachung. Bei der Überwachung bezweifelte er gar die Verfassungskonformität. Er mahnte darum, die Begriffe streng zu trennen.

Im Kern geht es um Juristisches (Dürfen wir das?), Politisches (Sollten wir das?) und Technisches (Können wir das?). Schon beim technischen Sachverstand offenbarte der 9. Oktober Defizite: Dass zum Beispiel der Lesezugriff Zeitstempel von Dateien beeinflusst, sorgte bei einigen für Schulterzucken.

Ungeklärte Rechtsfragen

Gegen die Online-Durchsuchung spricht bis auf Weiteres die mangelnde juristische Einordnung der Maßnahme. Der Erlanger Strafrechtsprofessor Hans Kudlich stellte fest: "Wir stehen vor neuen, ungeklärten Rechtsfragen. Die rechtliche und vor allem die grundrechtliche Zuordnung des Internets ist unklar. Was ist das Internet?"

Die begrifflichen Unklarheiten legen nahe, dass sich jeder technisch und juristisch unklar äußert, der Durchsuchung (zeitlicher Querschnitt) und Überwachung (zeitlicher Längsschnitt) gleichsetzt und nicht zwischen präventiver(Verfassungsschutz) und repressiver (Strafverfolgung) Zweckbindung unterscheidet (siehe Kasten "Laufendes Verfahren").

Laufendes Verfahren

Trotz der begrifflichen Unklarheiten hatte das Land Nordrhein-Westfalen im Dezember 2006 die Online-Durchsuchung bereits in sein novelliertes Verfassungsschutzgesetz gegossen [1]. Daraufhin hatten eine Journalistin, ein Mitglied der Linkspartei und drei Rechtsanwälte dagegen Verfassungsbeschwerde eingelegt. Am 10. Oktober fand in Karlsruhe die mündliche Verhandlung mit Experten-Anhörung statt. Berichten zufolge äußerte der Präsident des Bundesverfassungsgerichts, Hans-Jürgen Papier, seine Skepsis, ob der verdeckte Zugriff auf Computersysteme angemessen genau und dem Datenschutzgebot entsprechend kodifiziert wurde. Denn der anwesende Vertreter der nordrhein-westfälischen Landesregierung konnte selbst nicht eindeutig benennen, was das Gesetz in welchem Ausmaß erlaubt. Abbildung 1: Im Bundesverfassungsgericht herrschte am 10. Oktober Rätselraten, was in dem geänderten Verfassungsschutzgesetz von Nordrhein-Westfalen mit Online-Durchsuchung eigentlich gemeint ist.

Stand der Technik

Die technische Machbarkeit allein ist inzwischen keine so offene Frage mehr. In den letzten sechs Monaten haben sich mehrere Techniker und Juristen in Aufsätzen [3] mit der Frage befasst, ob und wie eine Online-Durchsuchung möglich wäre. Christoph Fischer, Experte für Computerviren und -sicherheit, erklärte auf der Tagung frank und frei: "Was Sie hier heute diskutieren, ist bereits Stand der Technik. Weltweit verlieren Millionen Internetnutzer sekündlich Daten."

Funktional ausgefeilte Remote-Forensik-Software gibt es einfach auf dem Schwarzmarkt zu kaufen. Den Gerüchten zufolge gehen die Einkaufspreise für Exploits bis in den sechsstelligen Bereich, verrät Felix Gröbert vom Horst-Görtz-Institut für IT-Sicherheit an der Universität Bochum. Ihre Halbwertszeit liege bei sechs Monaten. Es ist aber fraglich, ob die Behörden solche Wege einschlagen würden.

Realistische Angriffswege sei- en manipulierte E-Mails und Webseiten. Gröbert und andere hoben als Einfallstor für den Staat vor allem das Unterschieben von manipulierter Software ins Bewusstsein. Per ARP-Spoofing, Routing-Manipulation oder anderen Man-in-the-Middle-Angriffen ließen sich Verbindungen, die für einen anderen Rechner bestimmt sind, auf den eigenen umleiten. Will das Opfer ein Programm herunterladen, ersetzt es der Angreifer durch ein manipuliertes.

Sie können diesen Artikel als PDF für 99 Cent kaufen. Klicken Sie dazu einfach auf eine der beiden Bezahloptionen Paypal oder ClickandBuy.

Die Arbeitsgruppe Identitätsschutz im Internet (a-i3) lud Anfang Oktober nach Bochum, um den technischen und rechtlichen Rahmen der Online-Durchsuchung zu klären. Ergebnis: Es scheitert an den Begriffen.