Wiefelpützen’s Kauderwelsch & Neues aus Uhlenbusch

Was ist eigentlich ein Innenexperte ? Die Wikipedia weiß das nicht. Die wissen doch sonst immer alles? Dr. Dieter Wiefelspütz von der SPD ist zum Beispiel einer und auch Dr. Hans- Peter Uhl (CSU) wird oft damit betitelt.

Volker Kauder von der CDU ist zwar kein Innenexperte, sondern Fraktionschef, ist aber der gleichen Auffassung wie die Innenexperten, dass aufgrund der aktuellen Bedrohungslage und überhaupt, eine  verdachtsunabhängige und anlasslose Vorratsdatenspeicherung unverzichtbar für die Sicherheit unseres Landes und die Kriminalitätsbekämpfung sei.

Man bekommt irgendwie den Eindruck, als hätte man nur darauf gewartet, dass eine Terrorwarnung ausgesprochen wird oder ein Sack Reis in China umkippt, damit man endlich wieder nach schärferen Sicherheitsgesetzen rufen kann.

Angeblich reale Fallbeispiele des BKA sollen nachweisen, dass die Vorratsdatenspeicherung unverzichtbar sei, um Straftaten, die mithilfe des Internets verübt werden, erfolgreich bekämpfen zu können. Dank Herrn Dr. Uhl liegt mir eines dieser Fallbeispiele vor. Zunächst die Aussage des BKA:

Grundsätzlich ist es regelmäßig im Rahmen der Identifizierung von Tätern und Opfern im Bereich der Bekämpfung von Kinderpornografie sowie des sexuellen Missbrauchs von Kindern erforderlich, auf der Grundlage richterlicher Beschlüsse gemäß § 100g StPO bei den Providern Verkehrsdaten nach § 113a Telekommunikationsgesetz (TKG) sowie auf Basis von (polizeilichen) Auskunftsersuchen nach § 113 TKG Bestandsdaten zu E-Mail-Adressen und IP-Adressen zu erheben. Seit der Entscheidung des BVerfG zur Vorratsdatenspeicherung konnten in einer Vielzahl der Fälle des sexuellen Missbrauchs von Kindern bzw. der Verbreitung von Kinderpornografie, in denen lediglich eine IP-Adresse als Identifizierungsansatz bekannt ist, die jeweiligen Tatverdächtigen nicht identifiziert werden.

 Und nun ein angeblich authentisches Beispiel:

Das Bundeskriminalamt erhielt zuerst auf dem Interpol- Weg, im Weiteren ergänzend in direkten bilateralen Kontakten einen Hinweis, wonach auf Grund von verdeckten Recherchen im Internet eine IP-Adresse eines deutschen Providers festgestellt wurde, über die kinderpornografisches Material angeboten und verbreitet wurde. Darüber hinaus gab der Nutzer der IP-Adresse im Internet an, Zugang zu zwei Kleinkindern zu haben, die er regelmäßig missbrauche. Der Inhaber der mitgeteilten IP-Adresse konnte zunächst nicht identifiziert werden, da die Verkehrsdaten, über die der Kunde an Hand der zugehörigen Bestandsdaten hätte ermittelt werden können, durch den zuständigen deutschen Provider nicht gespeichert wurden. Zur Identifizierung des Tatverdächtigen war es daher erforderlich, dass die Kundendaten zur tatrelevanten IP-Adresse beim Provider angefragt werden, während die IP-Adresse an den Tatverdächtigen vergeben ist, d. h. der Tatverdächtige muss zum Zeitpunkt der Anfrage an den Provider weiterhin im Internet aktiv („online“) sein. Das hierzu notwendige Vorgehen wurde mit dem polizeilichen Kooperationspartner im Ausland abgestimmt und führte letztlich (unter erheblichem Mehraufwand, u. a. Einrichtung einer Rufbereitschaft des hiesigen Fachreferates) zur Identifizierung des Tatverdächtigen. Mit der Vorratsdatenspeicherung hätte der Tatverdächtige bereits bei Eingang der Information durch den mitteilenden Staat zweifelsfrei und mit wesentlich geringerem Aufwand identifiziert und damit der Hinweis auf einen (aktuell andauernden) Missbrauchsfall schneller bearbeitet werden können. Wäre es dem ausländischen polizeilichen Kooperationspartner nicht mehr gelungen, den Tatverdächtigen bei weiteren Aktivitäten im Internet festzustellen, hätte dieser auf Basis der vorhandenen Daten nicht ermittelt werden können.

Zunächst möchte ich feststellen, dass dieser Fall offenkundig ohne Vorratsdatenspeicherung erfolgreich ermittelt werden konnte. Lediglich ein höherer Aufwand seitens der beteiligten Ermittlungsbehörden wird kritisiert. Soll der Umstand, dass sich Ermittlungstätigkeit ohne VDS mühsamer und unbequemer gestaltet, selbige als gerechtfertigt erklären? Dass durch eine VDS erhebliches Missbrauchspotential und unweigerlich Kollateralschäden zu erwarten sind, welche die gesamte, unter Generalverdacht gestellte Bevölkerung trifft, nimmt man aus reiner Bequemlichkeit in Kauf. Totschlagargumente dürfen nicht in rational geführte Debatten einfließen. 

Des Weiteren wird die Mutmaßung geäußert, dass nur der glückliche Umstand, dass der potentielle Täter im beschriebenen Fallbeispiel weiterhin online aktiv war, zum Erfolg führte.  Allein mit dieser Feststellung möchte man nachweisen, dass eine zur Verfügung gestandene VDS die Ermittlungsarbeit beschleunigt hätte.

Unterschlagen wird jedoch bei dieser Argumentation, dass der womöglich geringere Aufwand auf Seiten der Ermittlungsbehörden durch Einführung einer VDS auf Seiten der Provider und Diensteanbieter mit jedem zu speicherndem Datensatz ansteigt. Der Aufwand bei solchen Ermittlungen wird somit nicht wirklich geringer, sondern lediglich verlagert. Es mag sein, dass es anfänglich sogar schneller wäre, doch mit zunehmender Datenmenge könnte sich der Zeitgewinn auch relativieren. Inwieweit es juristisch akzeptabel wäre, wenn Mitarbeiter bei Providern und Diensteanbietern zu Hilfspolizisten ernannt würden, vermag ich nicht zu beurteilen. 

Wesentlich interessanter als derartige Eventualitäten finde ich den technischen Aspekt dieser Ermittlung. Wenn man den Aussagen des BKA Glauben schenken sollte, gab es als einzigen Ermittlungsansatz eine IP- Adresse eines mutmaßlichen Täters aus dem Straftatbereich der Kinderpornographie. Diese Aussage ist in höchstem Maße unglaubwürdig. Wenn Ermittler im Internet nach solchen Straftätern recherchieren, kann dies nicht allein auf Basis einer IP- Adresse geschehen. Der Täter muss aktiv irgend einen Dienst im Internet genutzt haben, damit man überhaupt auf ihn aufmerksam wurde.  Es wurde ja Kinderpornographie angeboten und verbreitet. Ausserdem hat der entsprechende Täter auch eine gewisse Kommunikation betrieben. Sowas funktioniert nicht allein mit einer IP- Adresse. Er muss folglich ein Internetforum, einen Chat oder eine ähnliche Onlineplattform verwendet haben. Dies wiederum erfordert weitere digitale Spuren, die er zwangsläufig hinterlassen muss. Accountdaten und Emailadressen sind hierfür in der Regel erforderlich, die dann vom jeweiligen Anbieter des Onlinedienstes in gewissenem Rahmen nachvollziehbar sind. Freilich wird man als Gegenargument nun einwerfen, dass all diese Daten gefälscht sein können und somit keine Erkenntnisse über die Identität liefern, doch ist das nicht pauschal richtig.

Am besten läßt sich sowas immer anhand von bebilderten Beispielen darstellen:

Es handelt sich hierbei um einen typischen SPAM- Account in einem Internetforum. Im Administrationsbereich findet man selbst bei gefälschten Anmeldedaten, trotzdem eventuell nützliche Informationen. In diesem Fall lässt sich anhand der gespeicherten IP- Adresse über eine sog. WHOIS- Abfrage der zugehörige Mailserver ermitteln und demzufolge dessen Betreiber. Ausgehend davon, dass auch die Email- Adresse nicht die wahre Identität des Täters offenbart, hat man aber zwei weitere wesentliche Details gewonnen. Man kann in der Folge die Diensteanbieter anweisen, Aktivitäten, die über diese Kanäle durchgeführt werden, zu beobachten und zu erfassen. Das sinnvolle Verknüpfen dieser Daten kann die digitale Schlinge um den virtuellen Hals des Täters erheblich enger ziehen und quasi bei seiner nächsten Online- Aktivität sofort die aktuelle IP- Adresse des Benutzers liefern, die zu seiner Identifizierung notwendig ist. Dieses Beispiel sollte zumindest eindeutig bestätigen, dass das oben genannte Fallbeispiel des BKA, welches einzig eine IP- Adresse als Ermittlungsansatz liefern kann, offensichtlich nicht vollständig übermittelt wurde oder eben bei der Ermittlungstätigkeit in virtuellen Umgebungen Defizite herrschen.  

Einen weiteren Ansatz für erfolgversprechende Ermittlungtätigkeit liefern die Diensteanbieter bzw. Provider. Im Rahmen eigener Bestrebungen, ihre Netze von Botnetzaktivitäten zu bereinigen, werden teilweise umfangreiche und aufwendige Techniken angewendet. 

Um Spam-Mails von Rechnern einzudämmen, haben wir auf vielen hochfrequentierten WebSeiten sog. Spamtraps ausgelegt. Spammer ernten dies  „unsichtbar“ im Quelltext hinterlegte E-Mails ab, verteilen diese an Ihre Drohnen (infizierte Rechner) mit dem Befehl einen x-beliebigen Text zu versenden (z.B. Viagra-E-Mails). Da diese Spamtrap-E-Mail-Adressen auf einem regulären Mailserver entgegengenommen werden, können wir die E-Mail-Adresse anhand der Header-Daten analysieren und auch gegen Spamfilter laufen lassen, um False Positives auszuschließen, ohne den Port des Kunden aktiv zu überwachen.

Dieses Beispiel zeigt auf, dass ohne VDS auf Basis anderer technischer Abläufe, infizierte Rechner ausfindig gemacht werden können, die von Kriminellen ferngesteuert werden. Man kann auf diese Weise effizient die Anschlüsse identifizieren und weitere Maßnahmen ergreifen. Die Anschlussinhaber müssen dabei nicht die Täter sein und in den überwiegenden Fällen wissen diese Internetnutzer nicht einmal, dass ihre PC’s für kriminelle Handlungen missbraucht werden. Eine aktive VDS würde diese Leute jedoch zunächst zu Tatverdächtigen machen.

DDoS-Angriffe sind darauf ausgelegt eine Infrastruktur lahm zu legen. Wenn wir also angegriffen werden, ist die Absicht, unseren Service einzuschränken. Oftmals sind die Botnet-Herder (die „Besitzer“ eines Botnetzes) im Ausland angesiedelt und handeln gegen Geld, um z.B. Shop-Besitzer zu erpressen. Wenn diese Shop-Besitzer nun ihre Infrastruktur bei uns haben, ist dieser Angriff natürlich für uns auswertbar. Nach dem Herausfiltern des schädlichen Traffics, suchen wir in den Logfiles, die den Angriff auf unsere Infrastruktur abbilden, gezielt nach IP-Adressen aus unserem DSL-Netz.

Offensichtlich werden umfangreiche Auswertungen vorgenommen, um Schaden von der eigenen Netzwerkinfrastruktur abzuwenden. Die Provider sind also sehr wohl, auch ohne jegliche VDS, in der Lage, verdächtige Anschlüsse zu identifizieren.

Nun handelte es sich hierbei nicht um Anfragen wegen Straftaten, die von den Ermittlungsbehörden verfolgt werden, sondern um reine Sicherheitsmaßnahmen der Provider.

Abschließend sei zu bemerken, dass  wir einen so großen Aufwand sicher nicht machen würden, wenn kein entsprechendes Ergebnis damit zu erzielen wäre.

Dieser abschließende Satz in der Antwort meines Providers, wie dieser seine Kunden vor den üblichen Gefahren aus dem Internet zu schützen versucht, erbringt eigentlich den Nachweis, dass auch ohne VDS offensichtlich sehr erfolgreich Gefahrenabwehr im Internet betrieben werden kann. Die Provider besitzen demnach immer noch ausreichend Daten, um erfolgreich ermitteln zu können. Wo ist nun die Grenze zur Vorratsdatenspeicherung zu suchen? Auch dafür hat der Provider eine klare Antwort:

Die von uns gespeicherten Daten sind nicht mit den Daten für die Vorratsdatenspeicherung gleichzusetzen. Wir sind gesetzlich selbstverständlich abgesichert, bzw. ermächtigt und dürfen zur Sicherung unserer Infrastruktur Daten erheben, sofern wir hierzu einen trifftigen Grund haben und dies in einem vernünftigen Rahmen liegt. Die Vorratsdatenspeicherung sollte uns lediglich dazu verpflichten die Daten darüber hinaus zu speichern und noch länger für externen, behördlichen Zugriff vorzuhalten, als wir es intern benötigen. Unsere Daten erheben wir auch nicht pauschal, wie es bei der Vorratsdatenspeicherung der Fall ist, sondern nur bei berechtigtem Interesse.  Konkret:  wenn also so ein Vorfall  faktisch vorliegt.  Auch werden die IPs nach einer Kundenzuordnung wieder gelöscht. Bei Anfragen von Behörden können wir lediglich für einen Zeitraum von einigen Tagen Auskünfte über IPs geben. Ältere IPs können auch von uns nicht mehr überprüft werden.

Das bestätigt eindeutig und unmissverständlich, dass eine anlasslose und verdachtsunabhängige Vorratsdatenspeicherung überflüssig ist. Die Behörden müssen nur entsprechend zeitnah die Unterstützung der jeweiligen Diensteanbieter anfordern und in Anspruch nehmen. Das viel diskutierte „Quick Freezing“ gibt es im Prinzip schon längst, man nennt es eben nicht so bzw. hat es individuell modifiziert. Es besteht also keinerlei Bedarf, dass der Gesetzgeber neue Gesetzesentwürfe strickt oder gar der sinnlos gewordenen Vorratsdatenspeicherung neue Kleider anzieht. Durch die richtige und zügig umgesetzte Kooperation zwischen den Behörden und den Diensteanbietern ist das demokratiefeindliche Instrument der Vorratsdatenspeicherung verzichtbar. Wann endlich kommt das in den Köpfen der Politiker an?

Mögliche bürgerrechtsverträgliche Lösungsansätze:

Bevor man ein solches bürgerrechtlich bedenkliches Instrument einsetzen möchte, muss man sich darüber bewusst sein, dass es auch tatsächlich Alternativen gibt, welche etwas arbeitsintensiver sein mögen, aber durchaus das gleiche Ziel erreichen können, ohne gleich die gesamte Bevölkerung präventiv als potentielle Verbrecher zu deklarieren. Neben den bereits etablierten Methoden der Provider zur Botnetz- Bekämpfung, die ich bereits erwähnte, gibt es noch andere Ansätze. Man sollte § 13 Abs. 6 TMG zunächst etwas restriktiver formulieren, bevor man mit der großen Keule namens Vorratsdatenspeicherung die Büchse der Pandora öffnet. Was spricht eigentlich dagegen, dass man sich klar identifiziert, wenn man eine Dienstleistung eines anderen in Anspruch nimmt? Hier wäre eine Annäherung an das reale Leben angebracht. Einen weiteren Lösungsansatz könnte die Verlängerung der sogenannten Lease- Time bei den DHCP– Servern der Provider bewirken. In privaten Netzwerken ist es durchaus üblich, dass aufgrund dieser Konfiguration des Dynamic Host Configuration Protocols die IP- Adressen der Kunden länger unverändert bleiben. Die Zeitspanne lässt sich übrigens sehr genau einstellen. Weitere Möglichkeiten wird sowieso das allmählich eingeführte IPv6– Protokoll bieten…

 

Schlagwörter: , , , ,

3 Antworten to “Wiefelpützen’s Kauderwelsch & Neues aus Uhlenbusch”

  1. Wiefelpützen's Kauderwelsch & Neues aus Uhlenbusch « Des … Says:

    […] den Beitrag weiterlesen: Wiefelpützen's Kauderwelsch & Neues aus Uhlenbusch « Des … Tags:Kindern, beschl, grundlage, sowie-des, identifizierung, Missbrauchs, Bereich, mpfung-von, […]

    Gefällt mir

  2. Steffi Says:

    Netter Blog, ich komme nun regelmaessig

    Gefällt mir

  3. Remake Stasi 2.0 « Des Schwachsinns fette Beute Says:

    […] https://guedesweiler.wordpress.com/2010/11/25/wiefelputzens-kauderwelsch-neues-aus-uhlenbusch/ […]

    Gefällt mir

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s


%d Bloggern gefällt das: