Die Arbeitsgruppe Identitätsschutz im Internet (a-i3) lud Anfang Oktober nach Bochum, um den technischen und rechtlichen Rahmen der Online-Durchsuchung zu klären. Ergebnis: Es scheitert an den Begriffen.

“Wenn man die Online-Durchsuchung nicht zulässt, gäbe es eine Diskrepanz zum realen Bereich. Dann hätte ich hier in der Virtualität einen Bereich, der ausgeblendet wäre” – so klingt eigentlich ein Befürworter von Online-Durchsuchungen.

Jürgen Peter Graf, Richter am Bundesgerichtshof, hält seines heimlichen Charakters wegen gleichwohl das Durchstöbern von Computern für nicht konform zur gegenwärtigen Gesetzeslage. Auf der Bochumer Tagung war ihm zudem wichtig zu betonen, dass eine Online-Durchsuchung eine ganz andere Gesetzesgrundlage bemühe, als eine Online-Überwachung. Bei der Überwachung bezweifelte er gar die Verfassungskonformität. Er mahnte darum, die Begriffe streng zu trennen.

Im Kern geht es um Juristisches (Dürfen wir das?), Politisches (Sollten wir das?) und Technisches (Können wir das?). Schon beim technischen Sachverstand offenbarte der 9. Oktober Defizite: Dass zum Beispiel der Lesezugriff Zeitstempel von Dateien beeinflusst, sorgte bei einigen für Schulterzucken.

Ungeklärte Rechtsfragen

Gegen die Online-Durchsuchung spricht bis auf Weiteres die mangelnde juristische Einordnung der Maßnahme. Der Erlanger Strafrechtsprofessor Hans Kudlich stellte fest: “Wir stehen vor neuen, ungeklärten Rechtsfragen. Die rechtliche und vor allem die grundrechtliche Zuordnung des Internets ist unklar. Was ist das Internet?”

Die begrifflichen Unklarheiten legen nahe, dass sich jeder technisch und juristisch unklar äußert, der Durchsuchung (zeitlicher Querschnitt) und Überwachung (zeitlicher Längsschnitt) gleichsetzt und nicht zwischen präventiver(Verfassungsschutz) und repressiver (Strafverfolgung) Zweckbindung unterscheidet (siehe Kasten “Laufendes Verfahren”).

Laufendes Verfahren

Trotz der begrifflichen Unklarheiten hatte das Land Nordrhein-Westfalen im Dezember 2006 die Online-Durchsuchung bereits in sein novelliertes Verfassungsschutzgesetz gegossen [1]. Daraufhin hatten eine Journalistin, ein Mitglied der Linkspartei und drei Rechtsanwälte dagegen Verfassungsbeschwerde eingelegt. Am 10. Oktober fand in Karlsruhe die mündliche Verhandlung mit Experten-Anhörung statt. Berichten zufolge äußerte der Präsident des Bundesverfassungsgerichts, Hans-Jürgen Papier, seine Skepsis, ob der verdeckte Zugriff auf Computersysteme angemessen genau und dem Datenschutzgebot entsprechend kodifiziert wurde. Denn der anwesende Vertreter der nordrhein-westfälischen Landesregierung konnte selbst nicht eindeutig benennen, was das Gesetz in welchem Ausmaß erlaubt. Abbildung 1: Im Bundesverfassungsgericht herrschte am 10. Oktober Rätselraten, was in dem geänderten Verfassungsschutzgesetz von Nordrhein-Westfalen mit Online-Durchsuchung eigentlich gemeint ist.

Stand der Technik

Die technische Machbarkeit allein ist inzwischen keine so offene Frage mehr. In den letzten sechs Monaten haben sich mehrere Techniker und Juristen in Aufsätzen [3] mit der Frage befasst, ob und wie eine Online-Durchsuchung möglich wäre. Christoph Fischer, Experte für Computerviren und -sicherheit, erklärte auf der Tagung frank und frei: “Was Sie hier heute diskutieren, ist bereits Stand der Technik. Weltweit verlieren Millionen Internetnutzer sekündlich Daten.”

Funktional ausgefeilte Remote-Forensik-Software gibt es einfach auf dem Schwarzmarkt zu kaufen. Den Gerüchten zufolge gehen die Einkaufspreise für Exploits bis in den sechsstelligen Bereich, verrät Felix Gröbert vom Horst-Görtz-Institut für IT-Sicherheit an der Universität Bochum. Ihre Halbwertszeit liege bei sechs Monaten. Es ist aber fraglich, ob die Behörden solche Wege einschlagen würden.

Realistische Angriffswege sei- en manipulierte E-Mails und Webseiten. Gröbert und andere hoben als Einfallstor für den Staat vor allem das Unterschieben von manipulierter Software ins Bewusstsein. Per ARP-Spoofing, Routing-Manipulation oder anderen Man-in-the-Middle-Angriffen ließen sich Verbindungen, die für einen anderen Rechner bestimmt sind, auf den eigenen umleiten. Will das Opfer ein Programm herunterladen, ersetzt es der Angreifer durch ein manipuliertes.

Dagegen

Die Gegenmaßnamen fanden ebenso Platz in den Referaten. Am einfachsten sei es – neben sicherheitsbewusstem Umgang mit Web und E-Mail -, Hashwerte für Download-Dateien zu nutzen. Eine clevere Lösung sei Booten von Live-Systemen, weil kein Programm auf diese Weise den Weg auf die Festplatte finden wird. Maximale Sicherheit verspricht die Auftrennung in einen Rechner zum Surfen und einen zum Erstellen und Verschlüsseln der Daten.

Christoph Wegener, ebenfalls IT-Sicherheitsexperte und Mitgründer der a-i3, fasst zusammen: “Jemand, der sein System wirklich schützen möchte, ist durchaus in der Lage, das zu tun.” Wegener stellte aber ebenfalls klar, dass er der Ermittlungsmaßnahme Online-Durchsuchung den Sinn nicht abspricht: “Ich denke schon, dass viele der Täter dumm genug sind.” Auch BGH-Richter Graf sah menschliche Schwäche als Erfolgsfaktor. Sein Resümee: “Wenn man nur die dummen Täter erwischt, erwischt man schon ganz schön viele.”

Staats-Risiken

Wegener, Gröbert und andere (siehe Abbildung 2) brachten den rund 50 Tagungsteilnehmern zu Bewusstsein, welches Risiko die Ermittler mit staatlicher Spyware eingehen. Erstens: Die eingeschmuggelte Software könnte entdeckt werden. Es wäre möglich, dass der Port identifiziert wird, den sich die staatliche Spyware nach außen offen hält, etwa um Daten zu übertragen oder Software nachzuladen. Oder die kontinuierliche Nebenbeschäftigung des Rechners könnte sich in der System- oder Netzwerktätigkeit niederschlagen, sodass der Nutzer auf diese Weise von der heimlichen Durchsuchung Wind bekommt – sie sozusagen in flagranti erwischt.

Abbildung 2: Von links nach rechts: Dr. Jürgen Peter Graf (Richter im 1. Senat des BGH), Prof. Dr. Hans Kudlich (Uni Erlangen), Christoph Fischer (BFK EDV-Consulting), Felix Gröbert (Horst Görtz Institut für IT-Sicherheit an der Uni Bochum), Dr. Christoph Wegener (Wecon IT-Consulting), Dr. Christian Böttger (DN-Systems).

Zweitens: Dritte wären in der Lage, die staatliche Spyware nachzubauen. Wenn sie auf einem System installiert ist, könnte sie der Benutzer – ob wissentlich oder aus Versehen – kopieren, etwa wenn er ein Backup durchführt. Liegt aber erst eine Kopie auf einem nicht vernetzten Rechner und bekommt der Inhaber mit, dass die Software vorhanden ist, kann er sie in aller Ruhe untersuchen und nachbauen.

Drittens: Abgesehen von dem Schaden, der im Namen der Behörden angerichtet würde, stellt sich auch die Haftungsfrage. Sie stellt sich natürlich ebenfalls, wenn etwa Programmierfehler wichtige Daten beschädigen oder das Sicherheitssystem eines mitbetroffenen Firmennetzwerks lahmlegen. Fehler in der Software eignen sich auch als Einfallstor für die Angriffe Dritter, zumal es nicht nur auf die Fähigkeiten der betroffenen Zielpersonen ankommt, sondern auch auf die Geheimhaltung seitens der Mitwisser auf Behördenseite.

Nutzer-Risiken

Ungeklärt ist auch immer noch, wofür die Ermittler die gewonnen Daten nutzen. Sobald man in einen Rechner eindringe, werde das System schon manipuliert, erläuterte Christian Böttger von der DN-Systems GmbH: So könne niemand ausschließen, dass Dritte das System ebenfalls manipulieren. Ob die gefundenen Daten auf dem System dieselben sind wie zum Zeitpunkt vor dem Eindringen oder Lesezugriff, sei nicht gewährleistet. Infrage steht also die Integrität und damit die Beweiskraft der Daten.

Hinzu kommt natürlich das Problem des Datenschutzes. Ein Suchalgorithmus könne persönliche Daten nicht von anderen Daten unterscheiden, ebenso wenig vermag das Suchprogramm zu erkennen, ob es die kritischen Daten Dritter erfasst – zum Beispiel wenn der Rechner in das Netzwerk eines Arbeitgebers eingebunden ist.

Dies gab BGH-Richter Graf zu denken, er sprach sich gegen vollautomatisierte Durchsuchungen aus. Er stellte aber auch fest, dass dieses Problem genauso bei der konventionellen Durchsuchung auftritt. Nicht überall sei Tagebuch drin, wo Tagebuch draufsteht. Die Ermittler müssen im Zweifel das Objekt versiegeln und dem Richter vorlegen, sagte er.

Blinde Flecken

Richter Graf führte zu Bedingungen und Grenzen der Online-Durchsuchung aus, dass ein Zeuge anwesend sein müsse. Ein wesentlicher Unterschied zur konventionellen Hausdurchsuchung bleibt die Heimlichkeit der Maßnahme. Genau dieser Punkt ist es, den die bisherigen Gesetze nicht decken. Darauf gründete sich auch die Ablehnung des Bundesgerichtshofes vom 31. Januar 2007, als die Bundesanwaltschaft einen Ermittlungsantrag auf Online-Durchsuchung stellte [4].

Die Gesetzeslage des Bundes deckt anscheinend weder den Anwendungsfall Online-Durchsuchung noch den der Online-Überwachung. Daher soll so schnell wie möglich ein Gesetz her [5]. Es wäre allerdings gut, bereits vorher zu wissen, wer eigentlich was kann, zu welchem Zweck dürfen soll und welchen Aussagewert die ermittelten Daten hätten. Für die Kodifizierung ist das wesentlich, denn Überwachung und Durchsuchung sind nicht wesensgleich und digitale Daten sind immer veränderbar. Man darf nicht nur sicherheitspolitisch argumentieren.

Denn wenn, wie eingangs Richter Graf sagte, eine Verlängerung der Durchsuchung in den virtuellen Raum notwendig sein sollte, warum kann das gleiche Argument nicht auch für die Überwachung dienen?

Vertrauensfrage

Hans Kudlich äußerte sich ähnlich wie Jürgen Peter Graf prinzipiell offen zur Online-Durchsuchung. Beide argumentierten mit dem Vertrauen in die Justiz. Kudlich sagte: “Blut- oder Genproben hat doch bisher auch keiner gefälscht. Müssten wir nicht einen Tick mehr Vertrauen in das Rechtssystem haben? Das haben sie sich in den letzten Jahrzehnten doch verdient.” Das ist ein Ansatz, der von der Integrität des Rechtssystems ausgeht. Ja, Vertrauen ist gut. Doch manchmal ist Kontrolle besser.