Ich weiß, was du letzten Sommer getan hast!

Der Titel lässt auf den gleichnamigen Horrorfilm von 1997 schließen, doch das Remake findet in Form der anlasslosen Vorratsdatenspeicherung aktuell 2011 im bundesdeutschen Parlament statt. Lobbygruppen, allen voran das Bundeskriminalamt, drängen auf die baldige Widereinführung der digitalen Gesamtüberwachung aller Bürger. Dafür ist BKA- Präsident Ziercke und Konsorten offenbar jedes Mittel recht. Anhand von angeblich realen Fallbeispielen wollte man einflussreiche Politiker und darüber hinaus auch die Bevölkerung von der Notwendigkeit dieses Strafverfolgungsinstruments überzeugen.

Für IT- Laien wirkt das Dokument mit 21 Fallbeispielen aus verschiedenen Kriminalitätsbereichen durchaus plausibel. Die Überzeugung darüber schwindet jedoch schnell, wenn eine entsprechende Analyse jedes Falles beigefügt wird. Genau dies wollte ich rein aus Sicht der IT beisteuern, wobei ich aufgrund fehlender Kompetenz auf juristische oder moralische Aspekte weitgehend verzichten wollte.

Fallbeispiel 1 (Kinderpornografie):

Der Fall eines Kindesmissbrauchs sowie die Verbreitung von Kinderpornografie wurden in einem Chatroom offen thematisiert. In allen Fällen stellten die IP-Adressen der Beschuldigten die einzigen Ermittlungsansätze dar. Aufgrund der fehlenden Datenspeicherung beim Provider blieben keine weiteren Ansätze für die Strafverfolgung. Weitere mutmaßliche Missbrauchstaten konnten nicht verhindert werden.

In einem anderen Internetforum konnten vor der geänderten Rechtslage zahlreiche Personen wegen des umfangreichen Tausches von kinderpornografischem Bild-  und Filmmaterial festgestellt werden. Anhand der IP-Adressen gelang bei den Providern die Identifizierung über die Anschlussinhaberdaten. Der Großteil der 145 Mitglieder dieses Internetboards wurde über die Bestandsdaten der IP –Adressen identifiziert. 17 potentielle Kindesmissbraucher wurden ermittelt.

Man muss zur objektiven Beurteilung die technischen Gegebenheiten und die juristischen Sachverhalte berücksichtigen. Dazu ein Auszug aus den AGB’s eines Chatroom- Betreibers:

1.1

Zur Nutzung der Knuddels-Dienste ist das Registrierungsformular mit Nickname, Passwort und eigener E-Mail-Adresse auszufüllen. E-Mail-Adresse, Alter und Geschlecht haben, sofern sie angegeben werden, der Wahrheit zu entsprechen. Nach der Registrierung ist das registrierte Mitglied der Knuddels-Community Nutzer der Knuddels-Dienste.

4.1

Knuddels.de respektiert die Privatsphäre seiner Nutzer. Ohne vorherige Zustimmung werden keine persönlichen Nutzerangaben weitergegeben oder anderweitig verwertet sowie keine Aktivitäten eines Nutzers überwacht.

4.2

Knuddels.de darf vorgenannte Daten jedoch dann weitergeben oder verwerten, wenn dies nach begründeter Annahme von Knuddels.de oder Knuddels.com erforderlich ist

• zum rechtlichen Schutz der übrigen Nutzer,
• zur Erfüllung gesetzlicher Anforderungen,
• zur Verteidigung oder zum Schutz der Rechte von Knuddels.de oder Knuddels.com,
• zur Einhaltung dieser Nutzungsbedingungen,
• zur Behebung technischer Schwierigkeiten, der Wartung oder der Erweiterung der Knuddels-Dienste.

4.3

Zum Schutz minderjähriger Nutzer vor Menschen mit pädophilen Neigungen, sowie zur Optimierung technischer Abläufe und besseren Fehlerkontrolle und -korrektur, dürfen Inhaltsdaten zeitlich beschränkt gespeichert werden.

4.5

Zum Schutz von Knuddels.de und dessen Nutzern vor Missbrauch, sowie zum Schutz vor strafbaren Handlungen, werden beim Login in den Knuddels.de-Chat Loginzeit sowie die IP-Adresse des Nutzers gespeichert. Die IP-Adresse der letzten Logins können von den Ehrenmitgliedern und den ehrenamtlich gewählten Admins (Punkt 8 der AGB) eingesehen werden.

Enge Zusammenarbeit mit Strafverfolgungsbehörden

Knuddels.de wird bei Gesetzesverstößen im Bereich Jugendschutz kooperativ und zeitnah mit ermittelnden Polizeibehörden bzw. der Staatsanwaltschaft zusammenarbeiten. Durch diese Zusammenarbeit ist die Identifizierung von möglichen Straftätern fast immer möglich.

Auch zukünftig werden wir weitere, erfolgsversprechende Maßnahmen im Bereich Jugendschutz auf unseren Webseiten einführen. Bei sorgfältiger Beachtung der Hinweise unserer Ratgeber ist das Risiko einer Gefährdung im Sinne des Jugendschutzes sehr gering.

Nun sind diese Sicherheitsvorkehrungen nicht gerade überwältigend, aber zumindest geht daraus hervor, dass neben der IP- Adresse auch ein sog. Nickname zur Verfügung steht. Leider hat mein Test ergeben, dass die Registrierung mit einer falschen Emailadresse möglich war, da keine Registrierungsaktivierung versendet bzw. nicht als notwendig erachtet wird. Es gibt aber immerhin ein weiteres Indiz zur Identifizierung anstatt nur die IP- Adresse, wie behauptet wird. Freilich ist ein Nickname nicht wirklich hilfreich im ersten Moment, jedoch beruht das Prinzip eines Chats darauf, dass die Teilnehmer nicht nur einmalig kommunizieren. Der Sinn für die Teilnahme an Chats ist ja der Austausch von Informationen und Meinungen. Wie genau der Kindesmissbrauch und die Verbreitung von Kinderpornografie thematisiert wurden,  geht aus der knappen Beschreibung des Fallbeispiels nicht hervor. Kinderpornografie lässt sich jedoch nicht über Chatrooms verbreiten, sodass maximal entsprechende Links zu externen Websites kommuniziert werden könnten. Laut Betreiber werden Inhalte dieser Art gespeichert, sodass unter Umständen weitere Spuren zur Verfügung stünden. Ohne große Unterscheidung zwischen Chat und Internetforum wird zu einem anderen Fall übergegangen, der durch vorhandene Vorratsdatenspeicherung offensichtlich zum Erfolg führte. Es bestehen jedoch essentielle Unterschiede zwischen beiden Online- Kommunikationsplattformen, wobei ein Forum wesentlich mehr Features bietet. Mir ist derzeit kein Forum bekannt, welches nicht eine restriktive Accountaktivierung über eine gültige Emailadresse verlangen würde. Lässt der Betreiber anonyme Gäste mit Schreibberechtigung zu, kann es rechtliche Folgen für diesen haben, wenn dann strafrechtlich relevante Inhalte entdeckt werden. Ich kann es nicht ausschließen, dass trotzdem Foren auf diese Art betrieben werden, es ist aber dann davon auszugehen, dass der Betreiber mindestens mitverantwortlich ist, wenn Straftatbestände entdeckt werden. Ansonsten besitzen die Strafverfolgungsbehörden einen weiteren Anhaltspunkt für ihre Ermittlungen, eine gültige Emailadresse. Selbst wenn diese gefälscht sein sollte und über einen kostenlosen Freemail- Dienst registriert wurde, kann man durch die Verknüpfung der inzwischen mindestens 3 Ansatzpunkte den Straftäter quasi virtuell observieren und in der Folge identifizieren, ohne auf eine Vorratsdatenspeicherung zurückgreifen zu müssen. Es wird auch auf den Aspekt der Verbreitung von Kinderpornografie hingewiesen, was mindestens in Form von Up/Downloads oder Links geschehen muss, was erneut wichtige Erkenntnisse für die weitere Ermittlungsarbeit liefern würde. Bei begründetem Verdacht auf Straftaten ist ein Betreiber von Internetdiensten, auch ein Provider, dazu verpflichtet, die relevanten Daten zu speichern. Darunter fallen auch die aktuellen Verbindungsdaten, die völlig dazu ausreichen, den betreffenden Verdächtigen zu identifizieren. Verbindungsdaten, in diesem Falle ausschließlich die IP- Adressen, die länger zurück liegen, bringen keine weiteren Erkenntnisse. Merkwürdig an diesem Fallbeispiel ist aber die Feststellung, dass offensichtlich trotz Vorratsdatenspeicherung nicht alle 145 Mitglieder des Internetforums identifiziert werden konnten. Genau hierbei hätte eine Vorratsdatenspeicherung doch ihre Vorzüge gegenüber der Echtzeitermittlung ausspielen können? Darauf wird nicht eingegangen, wobei dies sicher von großer Bedeutung wäre…

Fallbeispiel 2 (DDoS- Attacke):

Über eine Distributed Denial of Services- Attacke durch ein Botnetz wurde eine Webseite im Internet attackiert. Diese war daraufhin im Internet nicht mehr erreichbar. Über die Auswertung der Logdaten der angegriffenen Seite konnte ein Command&Control- Server identifiziert werden, der das zum Angriff genutzte Botnetz steuerte. Im Zuge der Auswertung wurden täterseitige Zugriffe auf den Command&Control- Server festgestellt. Die hierbei genutzten IP- Adressen lieferten Anhaltspunkte zur Identifizierung der Täter.

Dem BKA wurden in einem solchen Fall beispielsweise aus Luxemburg insgesamt 218.703 deutsche IP- Adressen übersandt. Allein in Hessen und Nordrhein- Westfalen wurden im weiteren Verlauf zu insgesamt 169.964 Auskunftsersuchen mangels vorhandener Daten keine Auskünfte erteilt. Die betroffenen Internetnutzer konnten somit nicht davor gewarnt werden, dass sie Teil eines kriminellen Botnetzes sind.

Dieses Fallbeispiel spiegelt im Prinzip eine gewisse Inkompetenz im Bezug auf IT- Recherche wider. Zur Identifizierung des sog. Command&Control- Servers genügten offensichtlich die Logfiles des betroffenen Webservers. Dies allein genügt im Prinzip, den Täter zu ermitteln, die mehr als 200.000 Nutzer der infizierten Rechner waren sowieso selbst unwissende Opfer. Welchen Sinn würde es ergeben, anhand einer Vorratsdatenspeicherung die Identität so vieler Personen ausfindig zu machen, nur um diesen mitzuteilen, dass ihr PC mit Malware verseucht ist? Diesen Aufwand würde das BKA sicher nicht betreiben, zumal ohne den Command&Control- Server die „Zombie“- Rechner (vorübergehend) ungefährlich sind. Im Übrigen besitzen die Provider deutlich bessere Methoden, völlig unabhängig von einer Vorratsdatenspeicherung, „Zombie- Rechner“ in ihrem Netz aufzuspüren und die entsprechenden Anschluss- Inhaber zu informieren. Es genügt hierzu auch allein die Auswertung entsprechender Logfiles. Da eine DDoS- Attacke ein aktuell auftretendes und womöglich auch wiederkehrendes Ereignis darstellt, sehe ich keinerlei Sinnhaftigkeit auf Vorratsdaten zurückgreifen zu müssen. Mindestspeicherfristen sind für die Ermittlung für die Provider sowieso legitimiert, jedoch nicht pauschal ohne Grund und über das verhältnismäßig Notwendige hinaus. Man benötigt für diese Form der Internetkriminalität absolut keine anlasslose, verdachtsunabhängige Vorratsdatenspeicherung.

Fallbeispiel 3 (Betrug):

Der Täter eröffnete mit mehreren falschen Personalausweisen 11 Konten bei 6 verschiedenen Banken und wickelte darüber in 1.700 Fällen betrügerische Finanztransaktionen ab. Den einzigen Ermittlungsansatz stellten die Anschlussinhaberdaten hinter den dynamischen IP- Adressen dar, die allerdings mangels Mindestspeicherpflicht nicht mehr vorhanden waren.

Zunächst sei festgestellt, dass der Betrug überhaupt erst wegen der Leichtfertigkeit der entsprechenden Geldinstitute möglich war. Außerdem ist anzumerken, dass der oder die Täter offensichtlich im großen Stil Finanzbetrug betrieben haben. Allein die Beschaffung von falschen Personalausweisen erfordert enorme kriminelle Energie und Planung. Um allein mit Kontoeröffnungen 1700 betrügerische Transaktionen durchzuführen, offenbart einerseits erhebliche Sicherheitslücken bei den betreffenden Kreditinstitutionen und andererseits professionelle Umsetzung seitens der Täter. Es ist wenig überzeugend, zu glauben, dass ausgerechnet so professionell agierende Täter dafür die eigenen privaten Internetanschlüsse verwendet haben sollten. Entweder wurden VPN- Tunnel oder Proxy- Server zur Verschleierung der Identität verwendet oder öffentliche oder gekaperte WLAN- Netze. Eine Vorratsdatenspeicherung würde keinerlei erfolgsversprechende Ermittlungsansätze in diesem Fall beisteuern. Rein spekulativ wird die Vorratsdatenspeicherung hier als Erfolgsgarant vorgeschoben.

Fallbeispiel 4 (Ausspähen von Daten):

Das BKA ermittelte gegen ein deutschsprachiges Underground- Forum, in dem insbesondere die genannten Straftaten so wie der missbräuchliche Einsatz von Kreditkartendaten im Internet verabredet wurden. Hierbei konnten insbesondere über die richterlich angeordnete Überwachung einer Webseite Zuordnungen zwischen relevanten Usern (in Bezug auf Straftaten) und den genutzten IP- Adressen getroffen werden. Ohne das kontinuierliche Speichern von Verkehrsdaten wären heute ca. 80% der Hauptbeschuldigten nicht identifiziert worden.

Dieser Fall hat nichts mit einer anlasslosen und verdachtsunabhängigen Vorratsdatenspeicherung zu tun. Es wurden im Rahmen einer Ermittlung aufgrund eines Richterspruchs verdachtsabhängige Daten gespeichert. Das ist völlig in Ordnung und entspricht der derzeitigen Gesetzeslage und erfordert keinerlei Gesetzesänderungen.

Fallbeispiel 5 (Carding):

Über den missbräuchlichen Einsatz von Kreditkartendaten kaufte eine Tätergruppe hochwertige Elektronikartikel bei einem Webshop. Durch diesen Shop erfolgte eine Speicherung der IP- Adresse zum Kauf des Artikels. Diese IP- Adresse wurde der Polizei im Rahmen des Ermittlungsverfahrens mitgeteilt. Über eine Zuordnung der IP- Adresse zum Inhaber können somit erste Anhaltspunkte zur Ermittlung des Bestellers der Ware und damit zum Täter erlangt werden. Andere Ermittlungsmaßnahmen wären hier wesentlich eingriffsintensiver gewesen (Erhebung und Auswertung von Zahlungsvorgängen/Transaktionen/Konten).

Auch in diesem Fall fehlt jeglicher Bezug zur Vorratsdatenspeicherung. Die Ermittlungen konnten auf Basis der gegebenen Gesetzeslage völlig ohne anlasslose und verdachtsunabhängige Vorratsdatenspeicherung durchgeführt werden. Die VDS hätte sowieso nichts bewirkt. Damit man mal eine Vorstellung davon bekommt, wie schnell im Finanzdienstleistungssektor bei Betrugsversuchen reagiert wird, kann ich glücklicherweise auf einen real aufgetretenen Fall zurückgreifen, der in meinem direkten Umfeld aufgetreten ist und polizeilich erfasst wurde. Der Online- Finanzdienstleister PayPal konnte ungewöhnliche bzw. vermutlich unberechtigte Zugriffe auf ein Konto feststellen. Bereits 8 Minuten nach Zugriff, ohne dass der legitime Benutzer davon Kenntnis erlangte, wurde das Konto gesperrt und die Transaktion eingefroren. Reagiert man gleichermaßen zügig bei der Kommunikation mit dem Provider, dessen IP- Range als Herkunft der Täter- IP festgestellt wurde, gehen definitiv keine Verkehrsdaten verloren, die zu Ermittlungszwecken notwendig wären. Dass nach Abbruch der Online- Verbindung auch die IP- Adresse des Täters direkt gelöscht würde, ist ein Irrglaube, der nur für wenige Anschlüsse zutrifft (z.B. öffentliche Hotspots), bei welchen auch der Einsatz einer VDS versagen würde. Gängige DSL- Flatrate Anschlüsse benutzen die aktuelle IP- Adresse bis zur Zwangstrennung 24 Stunden lang…

Fallbeispiel 6 (Schadsoftware)

Über eine Webseite wurde Schadsoftware verteilt. Diese diente primär dem Ausspähen von Daten. Über eine Auswertung der Webseite konnte festgestellt werden, durch welche täterseitigen IP- Adressen die Schadsoftware auf dem Server der Webseite platziert wurde.

Auch in diesem Fall kamen die Ermittler völlig ohne anlasslose und verdachtsunabhängige Vorratsdatenspeicherung aus. Zur Auswertung wurden wohl die Logfiles des Webservers ausgewertet. Auch dies ist erneut ein missglückter Versuch, die VDS herbei argumentieren zu wollen.

Fallbeispiel 7 (Datenmissbrauch):

Täter nutzten bekannte Daten anderer Personen wie Rechnungsadresse bzw. Vor- und Nachname, um sich bei kostenpflichtigen Internetdiensten anzumelden. Hierbei konnte die Identifizierung der Täter nur über die beim Internetdienst registrierten IP-Adressen erfolgen.

Auch in diesem Fall wurden nicht die providerseitigen Verkehrsdaten für die Ermittlungen herangezogen, sondern die serverseitig beim Dienstanbieter registrierten Daten. Leider ist dieses Beispiel sehr dürftig beschrieben, sodass man wenig daraus entnehmen kann. Man darf jedoch annehmen, dass dieses Betrugsszenario dem Täter nur nutzt, wenn er den Dienst auch entsprechend nutzt. Man muss quasi nur abwarten, bis der Täter das nächste Mal online diesen Dienst verwendet. Nur so kann ich mir die Ermittlungsarbeit in diesem Fall vorstellen und hat weder etwas mit VDS zu tun noch hätte sie mehr Erfolg versprechen können.

Fallbeispiel 8 (Zugangsberechtigung):

Täter loggten sich mit fremden oder gefälschten Zugangsdaten bei Internet-Providern ein, entsperrten unbefugt sog.„SIM-Locks“ bei Mobiltelefonen und erschlichen sich Zugang zu Telefonanschlüssen, um illegal mit hohen Kosten verbundene 900er- Nummern anzuwählen. Bei der Zugangserschleichung zu Telefonanschlüssen/- anlagen konnte eine Auswertung von Logdaten der entsprechenden Anlage erfolgen, um so den täterseitigen Zugriff fest zu stellen. Die hierbei fest zu stellenden IP- Adressen dienten der Identifizierung der Täter. Ohne ein Vorhalten der Daten ist eine Ermittlung der Täter in derartigen Fällen regelmäßig nicht möglich.

Festzuhalten wäre hierbei, dass man sich wohl kaum mit gefälschten Zugangsdaten bei einem Internetprovider einloggen kann. Mit fremden, womöglich gestohlenen Zugangsdaten hingegen ist das natürlich möglich. Auch in diesem Fall wurden serverseitig aufgrund von ausreichend begründetem Verdacht Logfiles ausgewertet und keine VDS beansprucht, die anlasslos und verdachtsunabhängig gewesen wäre. Was hier mit „Vorhalt der Daten“ bezeichnet wird, hat recht wenig mit einer anlasslosen und verdachtsunabhängigen Vorratsdatenspeicherung zu tun. Es werden technische Instrumente angewendet, die nach wie vor juristisch und technisch zur Verfügung stehen.

Fallbeispiel 9 (Amoklaufankündigung): 

In einem Onlinespiel wurde von einem User die Ankündigung gepostet, am   folgenden Tag einen Amoklauf in München durchführen zu wollen. Über US- amerikanische Behörden wurden umgehend die IP- Adressdaten mitgeteilt. Durch den deutschen Provider wurde jedoch mitgeteilt, dass die für eine Identifizierung des Anschlussinhabers erforderlichen Verkehrsdaten bereits gelöscht wurden.

Wichtig zu wissen wäre, um welches Onlinespiel es sich handelte und welche Möglichkeiten dieses Onlinespiel zu Identifizierung des Spielers bietet. Die Zeitangaben werden vage mit „umgehend“ beschrieben. Da Onlinespiele in Echtzeit gespielt werden, muss die IP- Adresse auch zurückverfolgbar gewesen sein oder die Zeitangabe „umgehend“ ist schlicht zu unpräzise gewesen. Abgesehen davon würden die Ressourcen aller deutschen Ermittlungsbehörden nicht ausreichen, wenn sie jeder Aussage dieser und ähnlicher Art derart viel Bedeutung beimessen würden. Meines Wissens gab es in München keine nennenswerte Amoklaufanzeichen, dass in diesem Fall wohl eine Falschmeldung (Fake) zugrunde lag. Es ist ja bemerkenswert und lobenswert, wenn die Ermittler so aufmerksam sind, doch will man offensichtlich versuchen, eine Profilaxe zu etablieren, deren Umsetzung eigentlich aussichtslos erscheint. In der Tat hätte in diesem Fall eine VDS weiter helfen können, fraglich wäre jedoch geblieben, ob die Reaktionszeit im Zweifelsfall ausgereicht hätte. Immerhin hätte der Täter durch die Zeitverschiebung (USA) einige Stunden Vorlauf gehabt. Ob nun ein solch kaum rational einzustufender Fall die notwendige Verhältnismäßigkeit für die Wiedereinführung der Vorratsdatenspeicherung begründet, darf angezweifelt werden.

In einem anderen Fall wurde in einem Internet- Forum die Ankündigung eines Amoklaufs an einer bestimmten Schule festgestellt. Über die IP zum Eintrag konnte unlängst der Provider festgestellt werden. Erste Ermittlungen zur Person des Absenders anhand der IP- Adresse verliefen jedoch negativ, da der Provider keine  Verbindungsdaten mehr speichert. Der Absender/ Täter konnte später nur zufällig durch Ermittlungen zu seinen Nickname identifiziert werden, da er sich in einem anderen Forum Bruchstücke seines Namens und seiner Adresse angegeben hatte. Beim Täter wurde ein hohes Maß an tatsächlicher Amok- Bereitschaft festgestellt. Ort und Datum des Amok- Laufs waren bereits fest gelegt. Darüber hinaus hatte er bereits versucht, sich eine Schusswaffe zu verschaffen. Wenn die Ermittlungen nicht zufällig erfolgreich gewesen wären, wäre es wegen fehlender Verkehrsdaten womöglich zu einer Katastrophe gekommen.

In diesem Fall trifft wieder zu, dass weitere Anhaltspunkte, die ein Internetforum in der Regel bietet, nicht berücksichtigt wurden. Man kennt bereits den Provider, man kennt sein Pseudonym und konnte sogar ermitteln, dass er damit auch andere Internetdienste beanspruchte. Wenn man hierbei von „zufällig“ redet, hat man schlicht die Funktionsweise des Netzes und seiner Benutzer nicht richtig verstanden. Ich denke nicht, dass die Ermittler daraufhin rein zufällig auf diesen Nickname gestoßen sind, sondern ganz bestimmt zielgerichtet danach gesucht haben. Im Übrigen hätte man seinen Provider ja parallel für diesen Fall sensibilisieren können, um dem merkwürdigen Zufall etwas auf die Sprünge zu helfen. Die Accountdaten des Forums hätten sicherlich weitere Anhaltpunkte geliefert…

 Fallbeispiel 10 (Suizidandrohung):

 Ähnliches gilt für viele im Internet angedrohte Selbsttötungen. Werden diese Drohungen beispielsweise in einem Chat ausgesprochen, kann die Polizei lediglich über den Provider des Chats die genutzte IP- Adresse in Erfahrung bringen. Ohne vorhandene Verkehrsdaten ist die polizeiliche Gefahrenabwehr in diesen Fällen fast immer unmöglich.

Ich bin hierfür sicher kein Experte, doch inwieweit es sich dabei um eine Gefahrenabwehr im Aufgabenbereich der Polizei handelt, vermag ich nicht abzuschätzen. Ich hätte mir vorgestellt, dass als erste Präventivmaßnahme ein Psychologe direkt online mit dieser Person in Kontakt treten sollte. Da solche Ankündigungen nur in Echtzeit zu verfolgen sind, muss die Person möglichst zeitnah ermittelt werden. Eine Vorratsdatenspeicherung käme dann sowieso zu spät und die aktuellen Verkehrsdaten liegen noch vor, mindestens solange die Person online ist. Auch danach lässt sich immer noch bei den gängigen Flatrate- Anschlüssen für bis zu 24 Stunden anhand der IP- Adresse eine Identifizierung durchführen. Je nach Provider ist das sogar noch einige Tage danach möglich. Ich greife daher mal den klassischen Fall auf, dass jemand eine Suizidankündigung im Beichtstuhl offenbart…

Ist es verhältnismäßig, in solchen Fällen nach einer anlasslosen und verdachtsunabhängigen Vorratsdatenspeicherung zu rufen? Die Schreibweise dieses Fallbeispiels lässt darauf schließen, dass es sowieso nur ein konstruiertes Beispiel und kein realer Fall ist. Eigentlich sollte ich fiktive Beispiele, die natürlich in ähnlicher Weise geschehen können, nicht in diese Analyse einbeziehen. Und eigentlich sollte man auch nicht mit fiktiven Beispielen für eine VDS argumentieren, zumal das so oder so nicht beweist, dass dadurch solche Fälle eher verhindert werden könnten.

 Fallbeispiel 11 (Erpressung):

Seit dem 19.12.2009 verschickte ein unbekannter Täter über ein Briefzentrum mehr als 100 Briefe, adressiert an Schulen, Universitäten und Privatpersonen im gesamten Bundesgebiet. Er droht darin mit Sprengstoffanschlägen für den Fall der Nichtzahlung einer geforderten Geldsumme. Die Ermittlung des Täters verlief bisher ergebnislos. Mit E-Mail  vom 22.04.2010 trat der unbekannte Verfasser erstmals mit einem Opfer über dessen Profil im Netzwerk „studiVZ“ in Kontakt. Der Betreiber des Netzwerkes konnte zwar die genutzte IP- Adresse des Absenders mitteilen. Eine Zuordnung über den verantwortlichen Provider war jedoch mangels gespeicherter Verkehrsdaten nicht mehr möglich. Der Erpresser konnte bisher nicht ermittelt werden.

Dies ist bisher das lächerlichste Fallbeispiel, um für die Wiedereinführung der Vorratsdatenspeicherung zu argumentieren und offenbart die Verlogenheit der Befürworter oder zumindest deren Inkompetenz. Für einen solch gelagerten Fall bieten sich doch konventionelle Ermittlungsmethoden geradezu an. Ein Erpresser muss auch eine Geldübergabe vereinbaren. Meines Wissens ist dies immer der kritischste Zeitpunkt für den Täter und der erfolgversprechendste für die Ermittler. Wenn man jedoch den Täter bereits vorher fassen könnte, wäre das natürlich noch bequemer. Doch wozu soll hierbei eine anlasslose und verdachtsunabhängige Vorratsdatenspeicherung helfen? Offensichtlich hat der Täter an einem bestimmten Tag, der bereits bekannt ist, mit seiner Erpressung begonnen. Fast ein halbes Jahr später, nutzt er erstmals den Emailverkehr innerhalb eines Social Network für die Kontaktaufnahme. Hat man darauf gewartet und die Ermittlungen ruhen lassen, weil dummerweise der Täter sich nicht in der Onlinewelt zeigte? Erst ab diesem Zeitpunkt könnte eine digitale Spurensuche beginnen, da erst ab diesem Zeitpunkt bekannt war, dass der Täter auch das Internet nutzt. Die Account- und Verkehrsdaten können vom Betreiber (studiVZ) ausgewertet werden und können Rückschlüsse auf den Täter liefern. Einer Speicherung von Verkehrsdaten steht rechtlich bei begründetem Verdacht nichts entgegen und kann gezielt auf die Verknüpfung von Account- und Verkehrsdaten angewendet werden. Sollte der Täter nicht ausschließlich über öffentliche oder gekaperte Netze das Internet verwenden, würde man ihn bei seiner nächsten Onlineaktivität, unabhängig von Erpressungsversuchen, ausfindig machen können. Eine VDS würde keine zusätzlichen Informationen bieten, die zur Identifizierung beitragen könnten, sie hätte lediglich den Aufwand der Ermittler dahingehend minimiert, dass sie nicht abwarten müssten, bis der Täter sich nochmals online meldet, was jedoch im Übrigen bei Erpressungen durchaus zu erwarten wäre. Man muss jedoch auch in Erwägung ziehen, dass eine VDS keine Erkenntnisse liefern würde, wenn der betreffende Täter bislang kein Internetnutzer war…

Fallbeispiel 12 (Mord):

Die polnischen Behörden fahnden gegenwärtig europaweit nach einem Mörder. Nach bisherigen Erkenntnissen meldete sich der Flüchtige regelmäßig bei seinem Account eines polnischen Sozialen Netzwerks an. Eine Liste der festgestellten IP- Adressen wurde mit der Bitte um Ermittlung der Kundendaten an die deutschen Behörden übermittelt. Eine Zuordnung war ohne die erforderlichen Verkehrsdaten jedoch nicht mehr möglich. Da die deutschen IP- Adressen bislang den einzigen Fahndungsansatz darstellten, konnte der Mörder bisher nicht festgenommen werden.

Wenn doch bereits bekannt ist, dass der Täter Mitglied eines sozialen Netzwerkes im Internet ist, besitzt er auch einen Account, der anhand einer verifizierten Emailadresse angelegt wurde. Es spielt überhaupt keine Rolle, ob die Accountdaten sowie die Emailadresse nicht die wahre Identität des Täters wiedergeben, man kann jedoch aus der Verknüpfung all dieser Daten den Wirkungsspielraum des Täters so einschränken, dass seine nächste Onlineaktivität per Email oder im sozialen Netzwerk seine Identität verrät. Da er sich regelmäßig im sozialen Netzwerk anmeldete, verstehe ich nicht, wieso die Ermittlungsbehörden diesen Account nicht überwachten…?

Fallbeispiel 13 (Videoverlautbarung):

In einem Internetforum wurde eine Videobotschaft einer Terrororganisation über verschiedene Links zur Verfügung gestellt. Einer dieser Links wurde von einer unbekannten Person unter Registrierung der eigenen E- Mailadresse erzeugt. Eine Abfrage der E-Mail- Adresse beim zuständigen Provider ergab, dass die Adresse nur einen Tag vor der Veröffentlichung der Verlautbarung registriert wurde. Die bei der Registrierung vergebene IP- Adresse gehörte zum Kontingent eines deutschen Internetproviders. Bei der Abfrage der Kundendaten zu dieser IP- Adresse teilte dieser unter Hinweis auf das Urteil des BVerfG mit, dass die Speicherfrist bereits abgelaufen sei. Ein möglicher Unterstützer der Terrororganisation konnte somit nicht identifiziert werden.

Hier muss man zwei unterschiedliche Aspekte unterscheiden. Zunächst geht es um die Identifizierung einer Person über deren Emailadresse. Aufgrund der Tatsache, dass diese Emailadresse speziell für diese Tat registriert wurde, lässt erahnen, dass der Täter Vorsichtsmaßnahmen ergriffen hat, um unerkannt zu bleiben. Es handelte sich sicher um einen Freemail- Anbieter, der anonyme Emailadressen aufgrund § 13 Abs. 6 TMG zur Verfügung stellen muss. Meiner Ansicht nach, ein unglücklich formulierter Paragraph, dessen Sinn ich nicht so wirklich verstehe. Man kann vermutlich auch davon ausgehen, dass der Täter aus Sicherheitsgründen auch nicht seinen eigenen Internetanschluss benutzt hat. Mit oder ohne VDS gibt es in einem Fall, wo der Täter offensichtlich bewusst, Daten zu verschleiern vermag, keine großen Aussichten auf Erfolg. Man kann dieses Beispiel also auch nicht als Argument für die Wiedereinführung der VDS verwenden.

Fallbeispiel 13 (Bombendrohung):

Bei einer Klinik ging im letzten Jahr, zum Zeitpunkt, als noch Verkehrsdaten gespeichert wurden, anonyme eine telefonische Bombendrohung ein. Nachdem zweiten Anruf wurde die Klinik mit erheblichem Aufwand geräumt. Mehrere schwere Tumoroperationen mussten abgesagt werden. Es entstanden Kosten in Höhe von rund 90.000 EUR. Die Anschlüsse, von denen die Drohanrufe erfolgten, konnten damals auf Grund der noch vorhandenen Daten zeitnah ermittelt werden. Die Täterin wurde festgenommen. In ähnlich gelagerten Fällen wäre dies unter den aktuellen Bedingungen kaum noch möglich.

Angenommen, der mutmaßliche Täter hätte zufälligerweise oder bewusst ein fremdes Mobiltelefon verwendet oder aus einer öffentlichen Telefonzelle angerufen oder gar ein Prepaid- Wegwerf- Handy verwendet? Man kann nicht einfach darauf schließen, dass ähnlich gelagerte Fälle ohne VDS, nicht oder kaum noch zu ermitteln wären. Im Bewusstsein einer wieder installierten Vorratsdatenspeicherung würden sich die Täter den neuen Bedingungen anpassen, das steht doch wohl außer Frage…?

Nach einer telefonischen Bombendrohung gegen die Ulmer Justiz musste beispielsweise das Justizhochhaus abgesperrt werden. Tausende Bürger und Beschäftigte waren betroffen. Es wurde ein Zielsuchlauf zur Ermittlung des eingehenden Anrufes durchgeführt. Die Ermittlungen ruhen allerdings zurzeit aufgrund der vom Bundesverfassungsgericht erlassenen einstweiligen Anordnung. Der Täter konnte bisher nicht zur Rechenschaft gezogen werden.

Mal ehrlich – ob nun mit oder ohne VDS, man hätte das Gebäude so oder so abgesperrt. Ich wiederhole mich: es kann nicht zweifelsfrei behauptet werden, dass eine VDS unter allen Umständen zum Erfolg bei der Identifizierung eines Anschlusses führt. Man kann aber bei begründetem Verdacht, auch ohne VDS, Daten erheben und auswerten.

Fallbeispiel 14 (Mord):

Eine allein stehende Rentnerin wurde von ihrer Tochter tot in ihrer Wohnung aufgefunden. Bei der Leichenschau wurden deutliche Hinweise auf Fremd-bzw. Gewalteinwirkung festgestellt. Die Verstorbene hatte in der zurückliegenden Zeit immer wieder verdächtige Telefonanrufe von einer bislang unbekannten männlichen Person erhalten, bei denen eine sexuelle Motivation im Vordergrund gestanden haben soll. Um den unbekannten Anrufer und möglichen Mörder zu ermitteln, wurde eine Auskunft zu allen auf dem Festnetz des Opfers eingegangenen Anrufen beantragt. Solche Daten werden allerdings nach dem Urteil des BVerfG nicht mehr gespeichert. Ein Täter konnte bis heute nicht ermittelt werden.

Man will allen Ernstes aufgrund von Vermutungen, dass jemand mit obszönen Anrufen die Frau belästigt hatte, eine anlasslose und verdachtsunabhängige Vorratsdatenspeicherung rechtfertigen? Besteht überhaupt ein Zusammenhang zwischen dem Mord und den angeblich sexuell motivierten Anrufen? Woher stammen überhaupt diese Vermutungen, das Opfer konnte sich dazu ja schlecht geäußert haben? Übrigens besteht die Möglichkeit, eingehende Telefonate bei Stalking überwachen zu lassen. Womöglich hätte man so das Leben der Frau retten können, angenommen, der Täter war auch gleichzeitig der Anrufer…

Ansonsten gilt nach wie vor die Möglichkeit, dass auch trotz VDS ein Anruf nicht so zurückverfolgt werden kann, dass man dadurch den Anrufer zwangsläufig identifizieren könnte.

Fallbeispiel 15 (Ebay- Betrug):

Durch organisierte Banden gestohlene PKW und hochwertigen Baumaschinen werden aktuell im Internet über Ebay veräußert. Im Rahmen eines Ermittlungsverfahrens wegen gewerbsmäßiger Bandenhehlerei wurden zwischenzeitlich Beschlüsse zur Herausgabe der Verbindungsdaten von Mobil- und Festnetzanschlüssen der Tatverdächtigen erlassen. Retrograden Verkehrsdaten konnten jedoch nicht mehr mitgeteilt werden. Der Tatnachweis anhand von Standortkoordinaten (Tatorte) ist somit nicht mehr möglich.

Abgesehen davon, dass in diesem Fallbeispiel die Rechtschreibung nicht so ernst genommen wurde, benötigt man bei EBAY- Betrug weniger die Verbindungsdaten zu Mobil- und Festnetzanschlüssen, sondern eher die Account- Daten bei EBAY, die ja nicht so ohne Weiteres verschleiert werden können. Da man offensichtlich die Mobil- und Festnetzanschlüsse der mutmaßlichen Täter kennt, könnte man sie ja auf frischer Tat ertappen. Die Verkehrsdaten könnten im Übrigen nur weitere Indizien liefern, ob die mutmaßlichen Täter auch tatsächlich in der Nähe der Tatorte waren. Man muss sie also überführen, was ja im Prinzip möglich wäre, da man ja fortan die Anschlüsse überwachen könnte. In diesem Fall ist das Erheben von Vorratsdaten eher ein zusätzlicher Aufwand, der überhaupt nicht mehr nötig ist. Die Verkehrsdaten dienen ja eigentlich nur zur Identifizierung?

 Fallbeispiel 16 (Ermordung eines Hamas-Funktionärs in Dubai):

In Deutschland „wird“ gegen einen Beschuldigten wegen des Verdachts geheimdienstlicher Agententätigkeit und mittelbarer Falschbeurkundung ermittelt. Über gezielte Finanzermittlungen wurde bekannt, dass retrograd noch für ca. 4- 6 Monate Gespräche eines Mobiltelefons abgerechnet wurden. Das Auskunftsersuchen ging ins Leere, da die Verkehrsdaten nicht mehr vorhanden waren. Eine Aufhellung der konspirativen Strukturen ist somit bis heute nicht möglich gewesen.

Entschuldigung, die Beschreibung dieses Fallbeispiels ist derart wirr, dass ich leider keine Zusammenhänge zwischen Überschrift und Text erkennen kann. Inhaltlich ist alles zu wenig erläutert…

Fallbeispiel 17 (Ausspähen von Zahlungskarten):

2007 bis 2008 konnten durch die Auswertung retrograd erhobene Funkzellendaten entscheidende Ermittlungsansätze für die Aufklärung von Ausspähungen im Umfeld von Geldautomaten gewonnen werden. Die von der Täterseite genutzten Mobiltelefone waren zu tatkritischen Zeiten an den verschiedenen Tatorten in der jeweiligen Funkzelle ein gebucht. Mittels dieser Daten gelangen die Identifizierung einer Vielzahl von Beschuldigten sowie die Zuordnung von insgesamt 37 Straftaten

Wenn auch erneut die Rechtschreibung zu wünschen übrig lässt und Zusammenhänge nicht besonders deutlich dargestellt wurden, muss ich zum wiederholten Mal feststellen, dass man eine Vorratsdatenspeicherung hauptsächlich wegen einer nicht zu übersehenden Bequemlichkeit zurückbekommen möchte. Sicherlich war hierbei die VDS hilfreich, doch ebenso können bei der Zuordnung dieser verdachtsunabhängigen Daten auch Unschuldige ins Fahndungsraster geraten. Ebenso hätte man die Tatverdächtigen auch seit Beginn der Ermittlungen auf gleiche Weise gezielt und verdachtsabhängig überwachen können, um zum gleichen Ergebnis zu gelangen. Es ist bestimmt noch nicht strafbar, zum Tatzeitpunkt ebenfalls mit dem Mobiltelefon in der gleichen Funkzelle ein gebucht zu sein oder irre ich mich da? Somit ist dieses Indiz nicht relevant, um den Täter damit überführen zu können.

Fallbeispiel 18 (nochmal Mord):

Nach dem Mord flüchtete /n der/die Täter mit dem PKW des Opfers. Die Tatortarbeit erbrachte keine weiterführenden Hinweise zu Tatverdächtigen, Augenzeugen wurden nicht bekannt. Für einen bestimmten Funkzellenbereich bestand die Annahme, dass der/die Täter das Fluchtfahrzeug nach dem Abstellen verlassen und eine Beförderungsmöglichkeit(z.B.Taxi) per Handy anforderte/n. Eine Auswertung der Funkzellendaten war allerdings nicht möglich, da die Daten nach Auskunft des Betreibers nicht mehr vorhanden waren. Diese hätten den aussichtsreichsten Ermittlungsansatz geboten. Der Mörder konnte bis heute nicht ermittelt werden.

Hier wird suggeriert, dass man mit hoher Wahrscheinlichkeit den Fall hätte lösen können, wenn entsprechende Verkehrsdaten zur Verfügung gestanden hätten. Das will ich gar nicht abstreiten, stellt aber wieder das gleiche Problem dar, wie bereits zuvor so oft bemängelt wurde. Es ist niemals auszuschließen, dass unschuldige Personen damit in die Fahndung einbezogen werden, nur weil sie zufällig zum gleichen Zeitpunkt dieselbe Funkzelle benutzten. Aufgrund einer vagen Vermutung, dass womöglich der Täter per Handy ein Taxi gerufen haben könnte, sollte man nicht die gesamte Bevölkerung unter Generalverdacht stellen.

Fallbeispiel 19 (Schleusung):

In einem Ermittlungsverfahren wegen banden- und gewerbsmäßiger Schleusung konnten weder der Zielort noch die möglichen Täter bzw. Tatfahrzeuge festgestellt werden. Insgesamt wurden bisher ca. 100 Personen nach Deutschland eingeschleust. Mittels retrograder Verkehrsdaten des mutmaßlichen LKW- Fahrers einschließlich der geografischen Standortdaten zu Beginn einer Verbindung hätte dessen Telekommunikationsmuster analysiert, Kontaktpersonen ermittelt und hieraus Hinweise zu Tatorten, zu weiteren Opfern, Tatzeiten, Routen sowie möglichen Mittätern erlangt werden können. Dies war mangels verfügbarer Verkehrsdaten nicht möglich.

Technisch gesehen wiederholt sich der Sachverhalt regelmäßig. Man möchte anhand der Verkehrsdaten, Bewegungsprofile erstellen, die Rückschlüsse auf diverse Sachverhalte ergeben könnten. Es ist nicht sicher, ob es auch so funktionieren würde, man möchte aber diese Möglichkeit einfach nicht missen wollen. Verständlich aus der Perspektive der Ermittlungsbehörden, dennoch überaus kritisch zu bewerten, da nie ausgeschlossen werden kann, Unschuldige in Tatverdacht zu drängen. Unter Berücksichtigung einer sensiblen Verhältnismäßigkeit sollte man die konventionellen Ermittlungsmethoden nicht zu Gunsten einer bequemen Datenauswertung vernachlässigen. Man hat Tatverdächtige und könnte diese auch schlicht auf altbewährte Weise überwachen. Im Übrigen spricht auch nichts dagegen, die Verkehrsdaten des Verdächtigen fortan überwachen zu lassen.

Fallbeispiel 20: (Mafia- Mord):

Unmittelbar an einer Straßenböschung wurde ein zunächst nicht identifiziertes Mordopfer aufgefunden. Nach wenigen Tagen konnte der Mann als 43- jähriger italienischer Staatsangehöriger ermittelt werden, der sich unangemeldet in Köln aufgehalten hatte. Durch italienische Behörden wurde im weiteren Verlauf mitgeteilt, dass das Opfer der Mafia nahegestanden habe. Im Rahmen der Ermittlungen gelang es drei Monate nach der Tat, den möglichen Tatort und vier mögliche Tatbeteiligte zu ermitteln. Für die Beweisführung wäre es erforderlich, die retrograden Verkehrsdaten aller Verdächtigen auswerten zu können. Das Auskunftsersuchen wurde jedoch nicht gestellt, da die Staatsanwaltschaft Köln die Stellung eines Antrags mangels Erfolgsaussicht unter Hinweis auf das Urteil des Bundesverfassungsgerichts abgelehnte. Der vermutliche Mafia-Mord bleibt dadurch weiterhin unaufgeklärt.

Dieser Fall greift  nun die Mindestspeicherfrist von Vorratsdaten auf. Womöglich genügt den Ermittlungsbehörden nicht einmal eine zeitliche Begrenzung der Datenspeicherung. In diesem Fall benötigte man immerhin schon 3 Monate, womöglich gibt es Fälle, wo 1 Jahr nicht einmal genügen würde. Es lässt sich keine klare Trennlinie ziehen, wo die Verhältnismäßigkeit überschritten werden würde. Immer wieder wird argumentiert, dass Vorratsdaten entscheidend die Ermittlungen in diesen Fällen begünstigt hätten, seltsamerweise war jedoch die Erfolgsquote während die VDS noch angewendet werden durfte, keinesfalls höher als zuvor oder danach. Das belegen die Kriminalstatistiken. Somit werden Vermutungen geäußert und als Argumente verpackt.

Fallbeispiel 21 (Bandendiebstahl):

Aktuell wird ein Verfahren wegen schweren Bandendiebstahls im Zusammenhang mit Wohnungseinbruchsdiebstählen gegen reisende Straftäter geführt. Die Auftraggeber halten sich überwiegend im Ausland auf. Der Bande können momentan 42 Taten zugeordnet werden. Für die Aufklärung der Straftaten sowie die Ermittlung der Hehler und der Bandenstruktur wären die retrograden Verbindungsdaten bis zu 6 Monaten erforderlich, da etliche Taten der Serie länger zurückliegen. Ein Auskunftsersuchen wurde jedoch nicht gestellt, da die zuständige Staatsanwaltschaft mit Verweis auf das Urteil des Bundesverfassungsgerichts die Stellung eines Antrages ablehnte. Die Aufklärung weiterer Straftaten im Bundesgebiet(z.B. durch Funkzellenauswertung) ist damit wesentlich erschwert bzw. unmöglich.

Wenn die Taten nun bis zu 20 Jahre zurückliegen würden, wäre ein Auskunftsersuchen für so lange Zeit definitiv unmöglich. Wie kommt man gerade darauf, dass 6 Monate ausreichend wären? Wie kommt man zu der Einschätzung, dass ausgerechnet die Verbindungsdaten der letzten 6 Monate die Aufklärung dieses Falles entscheidend voranbringen könnten? Nicht ansatzweise wird hier erwähnt, dass überhaupt eine Kommunikation stattgefunden hat. Es werden keinerlei Anhaltspunkte offenbart, die ein solches Vorgehen rechtfertigen würden. Wenn sogar die Staatsanwaltschaft diesen Antrag ablehnt, muss ja wirklich wenig Plausibles vorliegen, dass man überhaupt nicht erst den Versuch zu unternehmen wagt. Beschränkt man sich nur noch auf Funkzellenauswertung bei der Ermittlungsarbeit? Andererseits scheint aber die konventionelle Ermittlungsarbeit immerhin weitreichende Zusammenhänge erbracht zu haben. Aufgrund der Angaben ist jedoch jede technische Analyse unmöglich…

 Fazit:

Ausnahmslos alle Fallbeispiele versuchen zu suggerieren, dass ohne VDS eine erfolgreiche Ermittlungstätigkeit, kaum durchführbar wäre. In den meisten Fällen kann jedoch nachgewiesen werden, dass eine VDS kein besseres Ergebnis erbracht hätte oder der Erfolg oder Misserfolg abhängig davon gewesen sei. In manchen Fällen hätte eine VDS durchaus die Ermittlungen beschleunigen oder zumindest bequemer gestalten können. In der Verhältnismäßigkeit zum Generalverdacht aller Bürger und daraus entstehenden Kollateralschäden, genügt jedoch auch das zeitnahe Einfrieren notwendiger Verbindungsdaten. Die gesamte Argumentationskette des BKA stützt sich auf den Konjunktiv. Es wird behauptet, „man hätte mit VDS besser ermitteln können“, was jedoch aus wissenschaftlicher Sicht völlig inakzeptabel ist. Ich verweise nochmals auf die Kriminalstatistiken der letzten Jahre, woran zweifelsfrei nachzuvollziehen ist, dass keine höhere Erfolgsquote erzielt werden konnte, als die VDS noch zur Verfügung stand.

Schlagwörter: BKA, Fallbeispiele, VDS, Vorratsdatenspeicherung