Warum Vorratsdatenspeicherung überflüssig ist?

Zwei Adjektive relativieren die so sehr von Unionspolitikern und Polizeifunktionären ersehnte Vorratsdatenspeicherung, die glücklicherweise in der zuletzt betriebenen Form vom Bundesverfassungsgericht auf Eis gelegt wurde.

Anlasslos und verdachtsunabhängig lauten diese beiden Begriffe. Dies bedeutet nichts anderes, als dass grundsätzlich alle Bürger unter Generalverdacht stehen, eine Straftat begehen zu wollen. Dies sollten auch CDU/CSU Wähler verstehen können und auch begreifen, dass sie auch damit gemeint sind, egal wie erzkonservativ sie sich auch fühlen mögen. Sich zur richtigen Zeit am falschen Ort aufzuhalten, kann auch im Internet schwerwiegende Folgen haben. Ein unachtsamer Klick mit der Computermouse auf den falschen Link, kann bislang unbescholtene Bürger ins Visier der Ermittlungsbehörden befördern. Identitätsdiebstahl wird für die eigentlichen Opfer zum virtuellen Verhängnis, und zwar nicht allein von Seiten der Betrüger. Anhand von Telefonverbindungsdaten, Emails, Internetnutzung und allein das Mitführen eines eingeschalteten Mobiltelefons lassen das Erfassen kompletter Bewegungsprofile der Betroffenen zu, die zumeist unverschuldet und unbeabsichtigt ins digitale Fahndungsraster rutschen. Denn die Kriminellen, die wirklich vorsätzlich Straftaten begehen möchten oder es längst tun, kennen Mittel und Wege, sich dieser Observierung zu entziehen. Lediglich einige Kleinganoven, die sprichwörtlich „dümmer als die Polizei erlaubt“ sind, werden den Fahndern gleichermaßen ins Netz gehen. Problematisch wird sich letztlich für die Ermittler das Unterscheiden von guten und bösen Buben darstellen, denn in der quasi unüberschaubaren Datenmasse bleibt das Risiko bestehen, die Daten richtig und zeitnah auswerten zu können.

Was bei diesem Sachverhalt nicht unerwähnt bleiben sollte, ist die Tatsache, dass die Vorratsdatenspeicherung ursprünglich und ausschliesslich zur besseren Bekämpfung des internationalen Terrorismus den Ermittlungsbehörden zur Verfügung gestellt wurde. Unter Umständen ließen sich noch schwerwiegende Straftaten dazurechnen, aber Internetbetrügereien und Urheberrechtsverletzungen zählten eigentlich nie zum vorgesehenen Repertoire. Es ist also irgendwie schon recht dreist, zu behaupten, man könne kaum noch ermittlungstechnisch erfolgreich arbeiten, obwohl die Kriminalstatistiken eigentlich das Gegenteil belegen und sowieso aufgrund der Vorratsdatenspeicherung kein ernstzunehmender Erfolg bei denjenigen Taten zu verbuchen ist, für welche sie eigentlich verwendet werden sollte.

Trotzdem nehmen wir einmal an, bei einem lapidaren Internetbetrug in Form von unauthorisiertem Zugriff auf ein Online- Bankkonto, hätte den Ermittlern die Vorratsdatenspeicherung zur Verfügung gestanden. Anhand eines tatsächlich passierten Falles, der aktenkundig vom Landeskriminalamt Saarbrücken erfasst ist und entsprechend verfolgt wurde, möchte ich nun aufzeigen, dass eine angewendete Vorratsdatenspeicherung kein erfolgreicheres Ergebnis hätte herbeiführen können.

Das folgende Beispiel stammt aus der Realität und die aufgeführten Daten sind authentisch, lediglich Daten, die dem deutschen Datenschutz unterliegen, wurden entsprechend ausgelassen:

Am 27. April 2010, 15h24 erhielt ich eine typische Phishing- Mail, worin ich aufgefordert wurde, mein PayPal- Konto zu aktualisieren.

Aus Sicherheitsgründen achten wir stets auf verdächtige Aktivitäten. Kürzlich haben wir eine Unregelmäßigkeit bei Ihrem Konto festgestellt. Unser System hat eine ungewöhnliche Nutzung von Beträgen von einem mit Ihrem PayPal- Konto verbundenen Bankkonto festgestellt.

Die Email wurde von der gefälschten Adresse paypal@sequre.de versendet. Von gleicher gefälschter Emailadresse wurde am 28. April, 12h28 erneut eine Phishing- Mail gesendet, die völlig anderen Charakter besaß. Man kann davon ausgehen, dass womöglich die Domain www.sequre.de für betrügerische Absichten missbraucht wurde. Zum Zeitpunkt der Ermittlungen war die Domain noch zugänglich, inzwischen existiert sie nicht mehr. Betreiber war ein norddeutsches Sicherheitsunternehmen, welches nun unter anderer (ähnlich lautender) Domain eine Internetpräsenz betreibt. Ob und inwieweit das LKA diese Spur verfolgt hat, wurde mir jedoch nie mitgeteilt…

Am 28. April 2010, 22h29 erhielt ich von PayPal dann eine Mitteilung über eine getätigte Transaktion von 49,99€. Damit wurde bei www.gameforge.de  Computerzubehör bezahlt, welches ich nie bestellt hatte. (An dieser Stelle möchte ich ausdrücklich darauf hinweisen, dass meine Computersysteme definitiv nicht mit Schadsoftware, sog. Malware, infiziert sind, die eine clientseitige Manipulation u.U. hätten ermöglichen können. Auch kenne ich mich mit IT- Infrastrukturen bestens aus, sodass ich auch nie auf Phishing- Mails reagieren würde, jedenfalls nicht in der von den Betrügern erhofften Form). Um 22h37 bereits erreichte mich von PayPal (service@paypal.de) die Nachricht, dass man aufgrund verdächtiger Aktivitäten den Zugriff auf mein PayPal- Konto eingeschränkt hätte. Das ist eine rekordverdächtige Reaktionszeit von 8 Minuten. Die Absenderadresse habe ich natürlich anhand des Email- Headers verifiziert und kann bestätigen, dass sie tatsächlich von PayPal gesendet wurde.

Aus Sicherheitsgründen achten wir stets auf verdächtige Aktivitäten. Kürzlich haben wir eine Unregelmäßigkeit bei Ihrem Konto festgestellt. Wir haben den Grund zur Annahme, dass ein Dritter auf Ihr Konto zugegriffen hat. Da die Sicherheit Ihres Kontos unser Hauptanliegen ist, haben wir den Zugriff auf wichtige PayPal- Kontofunktionen eingeschränkt…  

Da ich nun sehr ungeregelmäßig PayPal verwende und meine letzte Transaktion fast ein halbes Jahr zurücklag, war es durchaus überraschend, dass plötzlich soviel Wind um mein bescheidenes Konto gemacht wurde, welches nicht einmal ein nennenswertes Guthaben vorzuweisen hatte. Das konnte nur über mein Referenzkonto entsprechend ausgeglichen werden, wenn es für getätigte Transaktionen notwendig war und ich explizit PayPal als Zahlungsform gewählt hatte. PayPal selbst und die Firma Gameforge Productions GmbH waren übrigens nicht gewillt, mir nähere Informationen über die angeblich von mir getätigte Bestellung mitzuteilen und verwiesen auf die Ermittlungsbehörden.

Ein Schaden ist mir übrigens dadurch nicht entstanden, die Buchungen wurden wieder zurück überwiesen. Da ich jedoch beim LKA Saarland diesbezüglich Anzeige erstattet hatte, waren Ermittlungen im Gange. Ich konnte allein anhand der Email- Header Daten den Ermittlern genaue Angaben an die Hand geben, wie der Betrugsversuch inszeniert wurde. Die Spur führte zunächst zu www.musthighschool.com nach Atlanta (USA), was durch die IP- Adresse 216.247.238.100 in Erfahrung gebracht wurde. Ich konnte sogar bestimmen, dass die Email mit MS Outlook Express 6.00 2600.0000 erstellt und versendet wurde. Die WHOIS- Abfrage konnte sogar die komplette postalische Adresse zur Verfügung stellen.  Es ist schon erstaunlich, welche Informationen man allein aus dem Email- Header herauslesen kann. Ich konnte sogar bestimmen, dass der Rechner, von welchem die Betrugs- Email versendet wurde, kyrillischen Zeichensatz verwendete (charset=“Windows-1251″), was mir bereits aufgefallen war, als ich im Nachrichtentext entsprechend untypische Zeichen für deutsche Umlaute erkennen konnte.

Wäre ich nun Ermittler mit entsprechenden IT- Kenntnissen, könnte ich ziemlich genau feststellen, wo genau in der amerikanischen Firma der Rechner steht, welcher für diesen Betrugsversuch verwendet wurde. Unter Umständen wäre sogar anhand von Mitarbeiterbefragungen und sowohl IT- technischen als auch konventionellen Methoden sehr genau herauszufinden, wer zum relativ genau zu bestimmenden Zeitpunkt an der entsprechenden Maschine den Email- Client zum Versenden der Email genutzt hat…

Nun ist ja kein Mord geschehen, sodass ein adäquat zu den CSI- Helden im TV auftretendes Ermittlerteam, den Fall mit atemberaubender High- Tech Ausrüstung lösen würde. Zweifelsfrei jedoch glaube ich, nachgewiesen zu haben, dass diese Ermittlungen völlig ohne Vorratsdatenspeicherung durchzuführen gewesen wären. Im Grunde fehlte wohl lediglich die nötige Motivation bzw. auch die dazu erforderliche Fachkenntnis von komplexen IT- Zusammenhängen. Was aber ganz bestimmt bei Ermittlungen bei solch unbedeutenden Internetdelikten eine wesentliche Rolle spielt, ist der Aufwand, global mit Kollegen schnell und effektiv zusammen zu arbeiten. Es ist doch völlig klar, dass kein LKA- Beamter wegen einer solchen Bagatelle in die USA fliegt, um dort mit dem zuständigen Sheriff einen Kleinganoven zu überführen. Eine Vorratsdatenspeicherung, ob anlasslos und/oder verdachtsunabhängig, hätte jedenfalls die Erfolgschance in keiner Weise gesteigert. Welche Daten hätte man denn überhaupt auswerten wollen und welche Informationen hätte man zusätzlich daraus gewinnen können, die man noch nicht hatte? Irrsinnigerweise geht es aber beim Großteil der Ermittlungen bei sog. Internetkriminalität um derartige oder vergleichbare Vergehen. Das teilweise in die Diskussion eingebrachte „Quick Freezing“ wäre zwar ebenfalls in diesem Fall nicht erfolgversprechender gewesen, könnte aber in Wiederholungsfällen durchaus nützlich sein. Die größten Erfolgsaussichten beim Einsatz einer Vorratsdatenspeicherung würden sich übrigens und beinahe ausschliesslich für die Verfolgung von Urheberrechtsverletzungen im Tauschbörsensektor ergeben…  

Das Verfahren wurde übrigens von der Staatsanwaltschaft Saarbrücken am 22.09.2010 mit der Begründung eingestellt, dass der Täter nicht ermittelt werden konnte.

Schlagwörter:

6 Antworten to “Warum Vorratsdatenspeicherung überflüssig ist?”

  1. Torsten Says:

    a) Wenn Du nicht auf die Phishing-Mails reagiert hast – was haben sie mit dem Vorgang zu tun? Jemand wollte Dein Paypal-Passwort und hat es nicht bekommen — ergo ist er höchstwahrscheinlich nicht der Täter.

    b) Alle Angaben im Mailheader können gefälscht sein. Die IP-Adresse zu fälschen ist zwar nicht ganz so einfach wie den X-Mailer zu manipulieren — aber es geht. Und wenn die nicht gefälscht ist, würde sich allenfalls herausstellen, dass auf dem betreffenden Server Schadsoftware installiert wurde. Den Täter hättest Du damit nicht.

    Gefällt mir

    • forenwanderer Says:

      Ich habe ja nicht behauptet, dass die Phishing- Mails in direktem Zusammenhang mit dem Betrugsversuch stehen. Aber auch der LKA- Mitarbeiter fand es merkwürdig, dass die Phishing- Versuche zeitlich so nah beim eigentlichen Betrugsversuch waren. Daher äußerte ich auch gegenüber dem LKA den Verdacht, dass wohl bei PayPal ein völlig andere Sicherheitslücke zu vermuten wäre, die natürlich das Unternehmen nie zugeben würde. Bezeichnend ist jedoch, dass seither PayPal mir Email wegen neuen Sicherheitsmaßnahmen, die sie ständig verbessern, zusendet (Augenzwinker).
      Man hätte durchaus herausfinden können, wer nun der Begünstigte der getätigten Transaktion war, denn PayPal sowie die Firma Gameforge besitzen ja die entsprechenden Daten, die sie ja nicht an mich kommunizieren wollten. Das LKA hätte durchaus diese Daten bekommen können, zumal es sich um deutsche Firmen handelte und welche somit bei einer offiziellen Ermittlung zur vollen Unterstützung verpflichtet sind. Ich bezweifele, dass in diesem wenig spektakulären und unbedeutendem Fall, überhaupt vernünftig ermittelt wurde.
      Nicht alle Angaben im Mail- Header können manipuliert werden. Wenn ich z.B. zur Authentifizierung des Namens des ausliefernden Mailservers und die dazugehörige IP- Adresse sowohl eine Vorwärts- als auch eine Rückwärtsauflösung durchführe und das Ergebnis bestätigt sich gegenseitig, kann ich davon ausgehen, dass die Herkunft richtig identifiziert wurde. Natürlich könnte auf dem Client eine Malware anstatt eines echten Benutzers tätig gewesen sein, doch genau das ist ja der Punkt, der zu kritisieren ist. Die Ermittlungsbehörden machen sich ja überhaupt nicht den Aufwand, dies zu überprüfen. Im Gegenteil, sie überprüfen nicht einmal einfachste Spuren. Es spielt auch eigentlich keine Rolle, ob die Phishing- Mails und der Betrugsversuch etwas miteinander zu tun haben mögen, entscheidend ist, dass man es überhaupt nicht erst überprüfte. Wenn dann ein inkompetender BKA- Präsident nach der Vorratsdatenspeicherung schreit, weil damit angeblich die Ermittler bessere Erfolge erzielen könnten, frage ich mich ernsthaft, wie z.B. in diesem Fall die VDS hätte hilfreich sein können. Weil jedoch die meisten Internetdelikte diesem Fall entsprechen, ist VDS völlig sinnfrei. Den Täter hätte ich damit nicht – und das war mir von Beginn an klar – , aber dadurch dass ich die Instanzen ordnungsgemäß durchlaufen habe, kann ich nun nachweisen, dass die VDS kein erfolgreicheres Ergebnis geliefert hätte und sogar noch die Tatsache, dass die Ermittlungstätigkeit nicht fachgerecht durchgeführt wurde. Die IT- relevanten Daten habe allesamt ich selbst beigesteuert und wurde nie danach gefragt. Man wollte von mir lediglich die Emails in schriftlicher Form bzw. als PDF. Die Ermittler hätten daraus nie die Header- Daten herausfinden können, was eigentlich Voraussetzung wäre, richtig und halbwegs erfolgversprechend ermitteln zu können. Ich hoffe, du verstehst, worauf ich eigentlich hinaus will?

      Gefällt mir

  2. Ein Mensch Says:

    In einem ähnlich gelagerten Fall, allerdings Online-Kreditkartenbetrug, wo zusätzlich eine Mobiltelefonnummer involviert war, hatte ich ebenfalls Anzeige erstattet, und die Sache sollte ebenfalls ohne weitere Ermittlungen eingestellt werden. Ich habe dann mit dem entsprechenden Staatsanwalt korrespondiert, auf die Mobiltelefonnummer hingewiesen, und auf die Möglichkeit die Waren zu verfolgen. Die Staatsanwaltschaft hat daraufhin den Inhaber des Mobiltelefons ermitteln können, und die Polizei hat ihn tatsächlich vorgeladen. Ergebnis: Der derzeitige Besitzer des Telefons habe der Polizei glaubhaft versichert, er habe sein Handy vielleicht mal irgendwo liegengelassen. Dieser wisse jedenfalls von nichts. Die Waren waren irgendwo ins Ausland gegangen und eine weitere Ermittlung war der Staatsanwaltschaft wohl aufgrund des geringen Betrags von €300 zu aufwendig. Eingestellt. Fertig aus.

    Was lernt man daraus? Auch die Vorratsdatenspeicherung (die in diesem Fall nicht gebraucht wurde) gäbe einem nur den Besitzer eines Anschlusses, der nicht der Täter sein muss. Der Nachweis ist regelmässig nicht zu führen. Bestenfalls bekommt man einen weiteren Ermittlungsansatz, der bei Profis aber regelmässig ins Leere laufen oder sogar (bei Phishing per Botnetz) zunächst vollkommen Unschuldige treffen dürfte.

    Gefällt mir

    • forenwanderer Says:

      Wäre eigentlich interessant, noch weitere solche Erfahrungsberichte zu hören…

      Gefällt mir

      • rb Says:

        Vor etwa 3 Jahren hat jemand mit meinen Kreditkartendaten bei einem Versand ein Handy bestellt. Einen Ansatz für die Täterermittlung gab es dadurch, daß ich diese Kreditkarte neu erhalten hatte, und den vom Täter verwendeten Datensatz überhaupt nur einmal benützt hatte, für eine Bestellung via Internet bei einem anderen Versender. Den abgebuchten Betrag habe ich zurückbekommen, es ging also für mich ohne Schaden ab , abgesehen von solchen Kleinigkeiten wie einem Crashkurs Internetversandhandel für den anzeigeaufnehmenden Polizeibeamten); dann kamen geraume Zeit später 2 oder 3 Einstellungsbescheide der Staatsanwaltschaft, die damit begründet waren, daß zwar ein Internetanschluß bzw. Rechner ermittelt werden konnte, aber nicht, wer diesen benutzt hatte (die Sache war Teil einer Serie, bei der aber verschiedene Kreditkartendaten verwendet wurden).

        Wer also sowas macht und nicht ganz blöd ist, sorgt dafür, daß von dem verwendeten Rechner nicht bzw. nicht eindeutig auf ihn als ausführende Person zurückgeschlossen werden kann. Und genau an diesem Punkt bringt die VDS exakt garnichts.

        Gefällt mir

  3. Operation “MEnde” oder: Unfug ohne Ende? | TOREXITusers Blog Says:

    […] selbst nach dem Willen der Innenminister sollte die sog. Vorratsdatenspeicherung nur einen Zeitraum von 2 Jahren erfassen. Das wurde bekanntlich vom  BVerfG für verfassungswidrig […]

    Gefällt mir

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s


%d Bloggern gefällt das: