Posts Tagged ‘BKA’

Der Lächerlichkeit getreue Weggefährten

8. Juli 2015

Die SPD wird von ihrem Parteivorsitzenden Sigmar Gabriel zur CDU light umgestaltet. Da können sich die JuSos noch sehr sehr empören und den innerparteilichen Zwergenaufstand proben. Alle Parteimitglieder und Wähler der SPD müssen sich den Vorwurf gefallen lassen, diesen Prozess mitzugestalten. Während die Parteiführung nicht müde wird, den Mindestlohn als revolutionäre Erfolgsgeschichte zu präsentieren, was ja keineswegs der Verdienst dieser Partei alleine ist, drückt sie sich gerne um unliebsame Themen herum oder befleißigt sich gar Lügenkonstrukten, um faules Gemüse doch gut aussehen zu lassen. Dabei stolpert die SPD immer wieder über diese leidige Vorratsdatenspeicherung, welche man irgendwie als Gegenleistung zum Mindestlohn der CDU/CSU entgegen brachte. Zwar kommt noch die Herdprämie und die PKW- Maut speziell für das bayrische Seehofer– Regime dazu, aber das soll den eigenen Ruhm nicht schmälern.

Mit Wortwitz will Bundesjustizminister Heiko Maas die Bürger und eigenen Parteikollegen überzeugen und nennt die Vorratsdatenspeicherung in Höchstspeicherfrist um. Das funktionierte bei der Union mit der Wortschöpfung „Mindestspeicherfrist“ für die gleiche Sache nur bei völlig technikfremden Neuland- Bürgern. Argumentativ bleibt man allerdings kraftlos (Auszüge aus einem Antwortschreiben eines SPD- Bundestagsabgeordneten):

…die Daten sollen vom Internet abgekoppelt gespeichert werden…

So lautete die Antwort auf das Wesentliche verkürzt, wie man sicher stellen will, dass die Vorratsdaten nicht in falsche Hände geraten. Der Aufwand, die Vorratsdaten auf einem Server zu speichern, der permanent vom Netz/ Internet getrennt sein soll, ist ziemlicher Blödsinn. Das würde bedeuten, dass jeder Provider einen solchen Server bereit stellen müsste und mindestens ein Mitarbeiter ständig die Daten von den Produktivsystemen, wo eben jene Daten erzeugt werden, per Datenträger (USB- Stick o.ä.) auf die dafür vorgesehene Serverfestplatte übertragen müsste. Das erzeugt eine zusätzliche Sicherheitslücke, nämlich den Mitarbeiter selbst und den entsprechenden mobilen Datenträger. Die Trennung dieses Servers per IT- technische Maßnahmen vom Internet ist zwar generell möglich, wird aber von niemandem als sicher attestiert. Außerdem müssen die Daten ja bei Bedarf den zuständigen Ermittlungsbehörden zur Verfügung gestellt werden. Das wird hoffentlich nicht per Ausdruck auf Papier erfolgen und auch nicht per externem Datenträger? Diese Forderung kann also gar nicht erfüllt werden und dient somit auch nicht als Argument.

…es sind konkrete Verschlüsselungsverfahren vorgeschrieben und der Zugriff erfolgt nur nach 4-Augen-Prinzip (Zwei-Wege-Autorisierung). Das bedeutet, dass es zwei digitale Schlüssel gibt – einen beim Provider und einen bei den Behörden. Ein Schlüssel allein kann die beim Provider gespeicherten Daten nicht erhalten. Das geht nur, wenn beide digitalen Schlüssel zusammengelegt werden.

Was sich hier recht vernünftig anhört, stößt in der Praxis auf Grenzen. Zwar würde dies die Sicherheit für den Transfer der Daten zwischen Produktivsystemen und dem Vorratsdatenserver erhöhen, schafft allerdings andere Hürden. Wie wollen denn diese „4 Augen„, also die jeweiligen Vertrauenspersonen beim Provider und der entsprechenden Behörde diese Schlüssel austauschen, wenn der Server vom Internet getrennt sein muss? Kommt die Behörden- Person dann physisch zum Provider? Ist das nicht so, kann die Behauptung vom internetlosen Vorratsdatenserver nicht stimmen. Eine sogenannte End-to-End Veschlüsselung funktioniert übrigens nicht so, dass der Empfänger und der Sender gleichzeitig die zu übertragenden Daten sehen und auswerten können. Somit muss der Sender (Provider) zunächst entscheiden, welche Daten nach seinem Ermessen und den richterlichen Vorgaben in Frage kommen und transferiert diese zum Empfänger (Behörde). Der Empfänger kann nun allerdings nicht beurteilen, ob die übermittelten Daten seiner Auffassung nach den Kriterien entsprechen. Folglich muss der Sender quasi alle Daten an den Empfänger schicken, dass beide den gleichen Datenbestand auswerten können, wenn jenes 4- Augen– Prinzip funktionieren soll. Eine typische Zwei- Wege– Autorisierung wie beispielsweise bei Schließfächern in einer Bank funktioniert nur, wenn beide zuständigen Personen physisch gemeinsam den Datenhaufen mit ihren jeweiligen Schlüsseln (Passwörtern) öffnen. Das soll tatsächlich die Lösung dieses Problems sein?

Die damit zu erzielende „höchstmögliche Sicherheit“ wird durch den Rahmen der Gesetzgebung und den aktuellen Stand der Technik gewährleistet.

Das ist korrekt, wenn man die höchstmögliche Sicherheit so definiert. Der Hinweis sollte nicht fehlen, dass es keine absolute Sicherheit gibt. Die Zweifel werden immer größer, dass die Vorratsdaten auf einem Offline- System gespeichert werden.

Richtig ist, dass aus den Gesamtdaten zunächst über einen Filter die nach Gesetz zu speichernden Datenarten aussortiert werden.

Das ist ein wesentlicher Kritikpunkt des Datenschutzes. Es müsste quasi ein hoch flexibler Filter existieren, der zu filtern vermag, was man im Vorfeld gar nicht kennt. Um es anhand einer IP- Adresse zu verdeutlichen, wechselt diese durch die praktizierte Zwangstrennung bei den Providern täglich den Nutzer. Das Filterkriterium IP- Adresse würde somit eine Menge Personen ausspucken, die eben nicht als Tatverdächtige in Frage kommen. Da genau dieses Argument, also dass zu Ermittlungszwecken nur die IP- Adresse vorhanden war, weitere Kriterien im Filter gar nicht berücksichtigt werden können, scheitert an dieser Stelle dieses Konzept. Algorithmische Filter sind enorm feherbehaftet und ihre Zuverlässigkeit sinkt proportional mit der Anzahl der Filterkriterien. WEnn es nur ein einziges Kriterium gibt, ist das der denkbar schlechteste Fall. Das funktioniert also nachweislich schon mal nicht, wenn, wie gerne und oft vom BKA und anderen Ermittlungsbehörden behauptet, nur die IP- Adresse als Ermittlungsansatz existiert. Der Verweis hierbei auf das Infoschreiben des SPD- Parteivorstandes zur Vorratsdatenspeicherung, wo eines der beiden Fallbeispiele genau diesen Ansatz als Argument für die Vorratsdatenspeicherung liefern soll, darf hier und jetzt nicht fehlen. Die dort vorgebrachten Fallbeispiele wurden hier bereits widerlegt.

Die dafür zu verwertenden Datenarten sind die Rufnummern der beteiligten Telefonanschlüsse, Zeitpunkt und Dauer eines Anrufs, bei Mobilfunk die Standortdaten sowie wann und wie lange eine IP-Adresse einem bestimmten Computer, Smartphone o.ä. zugeordnet war, d.h. wann von diesem Gerät das Internet benutzt wurde.

Nehmen wir hypothetisch an, dass der kritische Leser nun ein solcher Schwerverbrecher sei und konspirativ eine Straftat planen wollte. Würden er/sie dann nicht eine aktive Vorratsdatenspeicherung in die eigene Planung einkalkulieren? Würde er/sie dann ungeniert über das eigene Smartphone kommuizieren? Würde er/sie dieses Gerät praktischerweise für die später ermittelnde Behörde zum Tatort mitführen? Würde er/sie vom eigenen Computer belastende Kommnikation betreiben und sein/ihr Bewegungsprofil so dämlich präsentieren? Nein, garantiert nicht. Man würde selbstverständlich über wechselnde, nicht zuzuordnende Mobilgeräte kommunizieren, öffentliche WLAN- Hotspots nutzen und die eigene Identität bestmöglich verbergen. Übrig bleiben für die Ermittler eigentlich nur extrem naive Enkeltrickbetrüger, die ohnehin nicht ins Portfolio der Voratsdatenspeicherung aufgenommen wurden. Die Erfolgschancen sind also erwartungsgemäß gering, wie auch die Statistiken aus Ländern mit aktiver Vorratsdatenspeicherung sowie die eigene VDS zwischen 2008 und 2010 belegen. Daher nun die berechtigte Frage: Warum soll man eine Vorratsdatenspeicherung einführen, wenn ausschließlich Kollateralschäden zu erwarten sind?

Ziel ist es nicht, Bewegungsprofile zu erstellen, sondern den Aufenthaltsort zu einem bestimmten Zeitpunkt herauszufinden.

Man versucht zwei Sachverhalte zu trennen, welche allerdings miteinander verknüpft sind und sich nicht einfach dadurch auseinander dividieren lassen, indem man einen Teil nicht betrachten will bzw. vorgibt, diesen Großteil der Daten nicht nutzen würde. Der Vorsatz mag ja eherenwert sein, allerdings existiert die Datensammlung bereits als Gesamtheit. Das erzeugt Begehrlichkeiten und erhöht das Missbrauchsrisiko. Es ist auch kaum vorstellbar, dass es ermittlungstechnisch ausreichen würde, wenn man bei einem Tatverdächtigen nur einen einzigen Datensatz, also den Aufenthaltsort und das entsprechende Datum dazu abrufen würde. Es ist allen doch bewusst, dass ein Bewegungsprofil eines Tatverdächtigen doch wesentlich ergiebiger ist und eigentlich unverzichtbar, wenn man erfolgreich ermitteln möchte. Die Bewegungsprofile exitieren, die Abfrage, die einen Filter durchlaufen soll, ist lediglich eine Teilmenge davon.

Beispielsweise kann bei Serienverbrechen geschaut werden, ob z.B. an drei Tatorten immer das gleiche Telefon eingeloggt war.

Wer glaubt tatsächlich daran, dass diese Wunschkonstallation jemals eintreten würde. Die Wette gilt, dass es diesen Fall bei aktiver Vorratsdatenspeicherung nie geben wird. Die Krönung der Argumentation folgt erneut in Form eines real existierenden Fallbeispiels. Es wird der Fall des sog. LKW- Snipers angeführt, der über 760 Schüsse auf Menschen und Fahrzeuge abgegeben hatte:

Zumindest für die Aufklärung von Verbrechen können die gespeicherten Daten hilfreich sein. Dazu ein reales, sehr konkretes Beispiel: Über einen längeren Zeitraum hat ein Mann aus seinem Lkw auf andere Fahrzeuge und Gebäude geschossen – deutschlandweit insgesamt über 760-mal. Eine Pkw-Fahrerin wurde schwer verletzt und es war großes Glück, dass es nicht mehr Verletzte oder gar Tote gab. Die Ermittlungsbehörden haben daraufhin die Mobilfunkdaten eines Tatverdächtigen mit den Funkzellen mutmaßlicher Tatorte und Tatzeiten auf Hunderten von Kilometern deutscher Autobahnen abgeglichen. Dieser Abgleich der Daten verstärkte den Verdacht der Ermittler zum Beweis. Nur weil das Telekommunikationsunternehmen „zufällig“ die Daten gespeichert hatte, konnte der Täter letztendlich überführt werden.

Wenn man den Presseartikeln zu diesem Fall Glauben schenkt, führten eben nicht zufällig von Telekommunikationsunternehmen gespeicherte Daten von Funkzellen zur Ergreifung des Täters. Es handelte sich um speziell dafür installierte Scanner, ähnlich der Maut- Erfassungsgeräte, die sehr gezielt für diesen Zweck eingesetzt wurden. Diese Kennzeichenerfassung war ausschlaggebend für die Eingrenzung auf ein einziges Fahrzeug. Die anschließende Mobilfunkdaten- Auswertung bestätigte lediglich, welcher Fahrer den Speditions- LKW zu diesem Zeitpunkt lenkte. Das hätte man allerdings auch konventionell beim Spediteur in Erfahrung bringen können.

Wenn ständig falsche Behauptungen die Vorratsdatenspeicherung rechtfertigen sollen, ist das hochgradig beschämend bis unverschämt. Im Übrigen ereignte sich dieser Fall ausgerechnet in einer Zeit, als in Deutschland die Vorratsdatenspeicherung noch legal aktiv war. Es ist auch unter diesem Aspekt bemerkenswert, dass man mit angeblich zufällig gespeicherten Funkzellendaten argumentiert, wo doch diese Daten ohnehin den Ermittlungsbehörden zur Verfügung standen, aber dennoch ein anderes umstrittenes Verfahren zur Anwendung gebracht wurde. Damit ergibt sich eigentlich die Frage, wieso man von zufällig gespeicherten Daten spricht? Bei der damals aktiven Vorratsdatenspeicherung mussten diese Daten sogar 6 Monate gespeichert werden, also deutlich länger als die angegebenen 90 Tage. Hat man die Vorratsdatenspeicherung gar nicht verwendet, um diese Daten auswerten zu können? Oder hat man zwar die Vorratsdaten ausgewertet, was eher zu erwarten wäre, konnte aber damit nichts anfangen? Und zuletzt ist es doch ziemlich verwunderlich, dass in diesem Fallbeispiel die effektivste und einzig erfolgreiche Ermittlungsmethode nicht einmal Erwähnung findet, sondern eine eher unbedeutende Verifizierungsmethode durch Mobilfunkdaten, welche ohne die Kennzeichen- Erfassung wirkungslos geblieben wäre oder war, dennoch als erfolgreiche Ermittlungsmethode gefeiert wird.

Eigentlich beweist dieses Beispiel erneut die Untauglichkeit der Vorratsdatenspeicherung…

 

Die komplette Korrespondenz hierüber findet man übrigenz hier:  abgeordnetenwatch

 

Cybercop träumt vom digitalen Lummerland

20. August 2014

Wenn sich Thomas de Maiziere vor die Presse stellt, ist dem amtierenden Innenminister garantiert eine haarsträubende Idee zugeflogen.

Mit seinem nationalen Cyber- Abwehrzentrum war Thomas de Maiziere (natürlich CDU) bereits phänomenal gescheitert, bevor er eine politische Exkursion ins Verteidigungsministerium unternahm, um nun wieder an bewährter Wirkungsstätte Sinnlosigkeiten zu produzieren. Damals attestierte ihm der Bundesrechnungshof, dass jene neu geschaffene Institution quasi überflüssig sei:

Das Zentrum sei aktuell „nicht geeignet, die über die Behördenlandschaft verteilten Zuständigkeiten und Fähigkeiten bei der Abwehr von Angriffen aus dem Cyberraum zu bündeln“…

…Der Bundesrechnungshof kritisiert zudem, dass es dem NCAZ an Expertise mangelt, obwohl alle wichtigen Behörden vertreten seien. Das Zentrum könne nicht nur seine Aufgabe der Gefahrenabwehr nicht ausreichend wahrnehmen, sondern finde selbst „als Informationsplattform nur geringe Akzeptanz“. Außerdem sei nicht klar, was das NCAZ überhaupt für Aufgaben übernehme, weil es offenbar an einer klaren Aufteilung der Zuständigkeiten mangelt. Der Bundesrechnungshof hält ein Zentrum für „nicht gerechtfertigt“, dessen „einziger vorgegebener Arbeitsablauf die tägliche Lagebesprechung“ und eine „Handlungsempfehlung auf politisch-strategischer Ebene in einem Jahresbericht“ sind.

An der einmal täglich stattfindenden Besprechung habe zudem „das BBK als eine der drei Kernbehörden nur sehr selten und später gar nicht mehr“ teilgenommen. Das Zollkriminalamt habe sogar nur einmal an einer Besprechung teilgenommen, die neben dem MAD vorgesehenen Bundeswehr-Stellen gar nicht.

Quelle: http://www.tagesschau.de/inland/cyber-100.html

Offensichtlich ist jeglicher Lerneffekt ausgeblieben, denn nun will der Minister ein neues IT- Gesetz auf den Weg bringen. Damit sollen Unternehmen mit kritischen IT- Infrastrukturen verpflichtet werden, Angriffe auf ihre Computersysteme zu melden. In den Raum hinein definierte er Banken, Versicherungen, Energie- und Telekommunikationsunternehmen sowie Wasserversorger. Welche Unternehmen genau betroffen sein sollen, bleibt weitgehend unklar. Allein daran erkennt man ein erschreckendes Defizit dieser Gesetzesinitiative, die wohl mit den bequemen Mehrheitsverhältnissen von CDU/CSU und SPD in ein legislatives Bett gelegt werden wird.

Um betroffene Unternehmen vor einem Imageschaden zu schützen, soll es diesen gestattet werden, entsprechende Vorfälle auch anonym melden zu dürfen. Damit ist allerdings gemeint, dass entsprechende Vorfälle der Öffentlichkeit verenthalten werden. Zuständig soll erneut das BSI (Bundesamt für Sicherheit und Informationstechnik) sein, jene Behörde, die bereits beim Cyber- Abwehrzentrum federführend beteiligt war…

Da nun im Prinzip eine genaue Definition fehlt, welche Unternehmen in die Pflicht genommen werden, erinnert dieses Vorhaben an einen von vielen Schildbürgerstreichen, die gerne und häufig von Unions- Politikern ausgeheckt werden. Ist demnach eine Arztpraxis weniger kritisch zu beurteilen wie ein Einwohnermeldeamt? Denkt man auch an Notrufleitzentralen und Krankenhäuser? All dies soll intransparent bleiben.

Ein weiterer, nicht zu vernachlässigender Aspekt ist der Umstand, dass viele Unternehmen, die womöglich zu den auserwählten zählen könnten, gar keine eigene IT- Abteilung unterhalten. Das macht es schwierig, überhaupt Cyber- Angriffe als solche zu erkennen. Wer eine Sicherheitsoftware auf dem eigenen Computer verwendet, wird gelegentlich mit Meldungen konfrontiert, deren Bewertung selbst Fachleuten schwer fällt. Oft sind es harmlose Aktivitäten, ausgelöst durch Updateversuche oder lapidare Systemanfragen, in Expertenkreisen auch als sogenannte „False Positives“ bekannt, der Auslöser für Alarmierungen. Und wer nichts bemerkt, wird auch nichts melden…

Der Verdacht liegt nahe, dass der Bundesinnenminister mit diesem Gesetz die in Unionskreisen geliebte, vom Bundesverfassungsgericht aber abgeschmetterte Vorratsdatenspeicherung in milder Variante eingeführen möchte. Denn demnach soll das Telemediengesetz derart geändert werden, dass Anbieter von Telekommunikationsdiensten in Fällen von Fehlern und Störungen Bestands- und Verkehrsdaten von Nutzern erheben dürfen und sollen. Das weckt Begehrlichkeiten von Strafverfolgungsbehörden, die ja letztendlich als steuerende und analysierende Behörden ins Konzept verwoben wurden, wie beispielsweise das Bundeskriminalamt.

Unlängst verpulverte Thomas de Maiziere als Verteidigungsminister über 600 Millionen Euro Steuergelder in das Euro- Hawk Projekt, einer Aufklärungsdrohne für die Bundeswehr, der nie eine Erlaubnis zum Fliegen erteilt worden wäre. Kann man diesem Fiasko kein Ende setzen? Was bringt die wahlberechtigten Bürger Deutschlands zur Vernunft, nicht ständig unfähige Regierungen mit ihrem lapidaren Kreuz auf einem Wahlzettel zu erschaffen? Auf diesem Holzweg, den Herr de Maiziere beschreitet, findet sich auf jedem Abschnitt ein Brett, welches sich prächtig vor die eigene Stirn nageln lässt…

Ich weiß, was du letzten Sommer getan hast!

20. Januar 2011

Der Titel lässt auf den gleichnamigen Horrorfilm von 1997 schließen, doch das Remake findet in Form der anlasslosen Vorratsdatenspeicherung aktuell 2011 im bundesdeutschen Parlament statt. Lobbygruppen, allen voran das Bundeskriminalamt, drängen auf die baldige Widereinführung der digitalen Gesamtüberwachung aller Bürger. Dafür ist BKA- Präsident Ziercke und Konsorten offenbar jedes Mittel recht. Anhand von angeblich realen Fallbeispielen wollte man einflussreiche Politiker und darüber hinaus auch die Bevölkerung von der Notwendigkeit dieses Strafverfolgungsinstruments überzeugen.

Für IT- Laien wirkt das Dokument mit 21 Fallbeispielen aus verschiedenen Kriminalitätsbereichen durchaus plausibel. Die Überzeugung darüber schwindet jedoch schnell, wenn eine entsprechende Analyse jedes Falles beigefügt wird. Genau dies wollte ich rein aus Sicht der IT beisteuern, wobei ich aufgrund fehlender Kompetenz auf juristische oder moralische Aspekte weitgehend verzichten wollte.

Fallbeispiel 1 (Kinderpornografie):

Der Fall eines Kindesmissbrauchs sowie die Verbreitung von Kinderpornografie wurden in einem Chatroom offen thematisiert. In allen Fällen stellten die IP-Adressen der Beschuldigten die einzigen Ermittlungsansätze dar. Aufgrund der fehlenden Datenspeicherung beim Provider blieben keine weiteren Ansätze für die Strafverfolgung. Weitere mutmaßliche Missbrauchstaten konnten nicht verhindert werden.

In einem anderen Internetforum konnten vor der geänderten Rechtslage zahlreiche Personen wegen des umfangreichen Tausches von kinderpornografischem Bild-  und Filmmaterial festgestellt werden. Anhand der IP-Adressen gelang bei den Providern die Identifizierung über die Anschlussinhaberdaten. Der Großteil der 145 Mitglieder dieses Internetboards wurde über die Bestandsdaten der IP –Adressen identifiziert. 17 potentielle Kindesmissbraucher wurden ermittelt.

Man muss zur objektiven Beurteilung die technischen Gegebenheiten und die juristischen Sachverhalte berücksichtigen. Dazu ein Auszug aus den AGB’s eines Chatroom- Betreibers:

1.1

Zur Nutzung der Knuddels-Dienste ist das Registrierungsformular mit Nickname, Passwort und eigener E-Mail-Adresse auszufüllen. E-Mail-Adresse, Alter und Geschlecht haben, sofern sie angegeben werden, der Wahrheit zu entsprechen. Nach der Registrierung ist das registrierte Mitglied der Knuddels-Community Nutzer der Knuddels-Dienste.

4.1

Knuddels.de respektiert die Privatsphäre seiner Nutzer. Ohne vorherige Zustimmung werden keine persönlichen Nutzerangaben weitergegeben oder anderweitig verwertet sowie keine Aktivitäten eines Nutzers überwacht.

4.2

Knuddels.de darf vorgenannte Daten jedoch dann weitergeben oder verwerten, wenn dies nach begründeter Annahme von Knuddels.de oder Knuddels.com erforderlich ist

  • zum rechtlichen Schutz der übrigen Nutzer,
  • zur Erfüllung gesetzlicher Anforderungen,
  • zur Verteidigung oder zum Schutz der Rechte von Knuddels.de oder Knuddels.com,
  • zur Einhaltung dieser Nutzungsbedingungen,
  • zur Behebung technischer Schwierigkeiten, der Wartung oder der Erweiterung der Knuddels-Dienste.

4.3

Zum Schutz minderjähriger Nutzer vor Menschen mit pädophilen Neigungen, sowie zur Optimierung technischer Abläufe und besseren Fehlerkontrolle und -korrektur, dürfen Inhaltsdaten zeitlich beschränkt gespeichert werden.

4.5

Zum Schutz von Knuddels.de und dessen Nutzern vor Missbrauch, sowie zum Schutz vor strafbaren Handlungen, werden beim Login in den Knuddels.de-Chat Loginzeit sowie die IP-Adresse des Nutzers gespeichert. Die IP-Adresse der letzten Logins können von den Ehrenmitgliedern und den ehrenamtlich gewählten Admins (Punkt 8 der AGB) eingesehen werden.

Enge Zusammenarbeit mit Strafverfolgungsbehörden

Knuddels.de wird bei Gesetzesverstößen im Bereich Jugendschutz kooperativ und zeitnah mit ermittelnden Polizeibehörden bzw. der Staatsanwaltschaft zusammenarbeiten. Durch diese Zusammenarbeit ist die Identifizierung von möglichen Straftätern fast immer möglich.

Auch zukünftig werden wir weitere, erfolgsversprechende Maßnahmen im Bereich Jugendschutz auf unseren Webseiten einführen. Bei sorgfältiger Beachtung der Hinweise unserer Ratgeber ist das Risiko einer Gefährdung im Sinne des Jugendschutzes sehr gering.

Nun sind diese Sicherheitsvorkehrungen nicht gerade überwältigend, aber zumindest geht daraus hervor, dass neben der IP- Adresse auch ein sog. Nickname zur Verfügung steht. Leider hat mein Test ergeben, dass die Registrierung mit einer falschen Emailadresse möglich war, da keine Registrierungsaktivierung versendet bzw. nicht als notwendig erachtet wird. Es gibt aber immerhin ein weiteres Indiz zur Identifizierung anstatt nur die IP- Adresse, wie behauptet wird. Freilich ist ein Nickname nicht wirklich hilfreich im ersten Moment, jedoch beruht das Prinzip eines Chats darauf, dass die Teilnehmer nicht nur einmalig kommunizieren. Der Sinn für die Teilnahme an Chats ist ja der Austausch von Informationen und Meinungen. Wie genau der Kindesmissbrauch und die Verbreitung von Kinderpornografie thematisiert wurden,  geht aus der knappen Beschreibung des Fallbeispiels nicht hervor. Kinderpornografie lässt sich jedoch nicht über Chatrooms verbreiten, sodass maximal entsprechende Links zu externen Websites kommuniziert werden könnten. Laut Betreiber werden Inhalte dieser Art gespeichert, sodass unter Umständen weitere Spuren zur Verfügung stünden. Ohne große Unterscheidung zwischen Chat und Internetforum wird zu einem anderen Fall übergegangen, der durch vorhandene Vorratsdatenspeicherung offensichtlich zum Erfolg führte. Es bestehen jedoch essentielle Unterschiede zwischen beiden Online- Kommunikationsplattformen, wobei ein Forum wesentlich mehr Features bietet. Mir ist derzeit kein Forum bekannt, welches nicht eine restriktive Accountaktivierung über eine gültige Emailadresse verlangen würde. Lässt der Betreiber anonyme Gäste mit Schreibberechtigung zu, kann es rechtliche Folgen für diesen haben, wenn dann strafrechtlich relevante Inhalte entdeckt werden. Ich kann es nicht ausschließen, dass trotzdem Foren auf diese Art betrieben werden, es ist aber dann davon auszugehen, dass der Betreiber mindestens mitverantwortlich ist, wenn Straftatbestände entdeckt werden. Ansonsten besitzen die Strafverfolgungsbehörden einen weiteren Anhaltspunkt für ihre Ermittlungen, eine gültige Emailadresse. Selbst wenn diese gefälscht sein sollte und über einen kostenlosen Freemail- Dienst registriert wurde, kann man durch die Verknüpfung der inzwischen mindestens 3 Ansatzpunkte den Straftäter quasi virtuell observieren und in der Folge identifizieren, ohne auf eine Vorratsdatenspeicherung zurückgreifen zu müssen. Es wird auch auf den Aspekt der Verbreitung von Kinderpornografie hingewiesen, was mindestens in Form von Up/Downloads oder Links geschehen muss, was erneut wichtige Erkenntnisse für die weitere Ermittlungsarbeit liefern würde. Bei begründetem Verdacht auf Straftaten ist ein Betreiber von Internetdiensten, auch ein Provider, dazu verpflichtet, die relevanten Daten zu speichern. Darunter fallen auch die aktuellen Verbindungsdaten, die völlig dazu ausreichen, den betreffenden Verdächtigen zu identifizieren. Verbindungsdaten, in diesem Falle ausschließlich die IP- Adressen, die länger zurück liegen, bringen keine weiteren Erkenntnisse. Merkwürdig an diesem Fallbeispiel ist aber die Feststellung, dass offensichtlich trotz Vorratsdatenspeicherung nicht alle 145 Mitglieder des Internetforums identifiziert werden konnten. Genau hierbei hätte eine Vorratsdatenspeicherung doch ihre Vorzüge gegenüber der Echtzeitermittlung ausspielen können? Darauf wird nicht eingegangen, wobei dies sicher von großer Bedeutung wäre…

Fallbeispiel 2 (DDoS- Attacke):

Über eine Distributed Denial of Services- Attacke durch ein Botnetz wurde eine Webseite im Internet attackiert. Diese war daraufhin im Internet nicht mehr erreichbar. Über die Auswertung der Logdaten der angegriffenen Seite konnte ein Command&Control- Server identifiziert werden, der das zum Angriff genutzte Botnetz steuerte. Im Zuge der Auswertung wurden täterseitige Zugriffe auf den Command&Control- Server festgestellt. Die hierbei genutzten IP- Adressen lieferten Anhaltspunkte zur Identifizierung der Täter.

Dem BKA wurden in einem solchen Fall beispielsweise aus Luxemburg insgesamt 218.703 deutsche IP- Adressen übersandt. Allein in Hessen und Nordrhein- Westfalen wurden im weiteren Verlauf zu insgesamt 169.964 Auskunftsersuchen mangels vorhandener Daten keine Auskünfte erteilt. Die betroffenen Internetnutzer konnten somit nicht davor gewarnt werden, dass sie Teil eines kriminellen Botnetzes sind.

Dieses Fallbeispiel spiegelt im Prinzip eine gewisse Inkompetenz im Bezug auf IT- Recherche wider. Zur Identifizierung des sog. Command&Control- Servers genügten offensichtlich die Logfiles des betroffenen Webservers. Dies allein genügt im Prinzip, den Täter zu ermitteln, die mehr als 200.000 Nutzer der infizierten Rechner waren sowieso selbst unwissende Opfer. Welchen Sinn würde es ergeben, anhand einer Vorratsdatenspeicherung die Identität so vieler Personen ausfindig zu machen, nur um diesen mitzuteilen, dass ihr PC mit Malware verseucht ist? Diesen Aufwand würde das BKA sicher nicht betreiben, zumal ohne den Command&Control- Server die „Zombie“- Rechner (vorübergehend) ungefährlich sind. Im Übrigen besitzen die Provider deutlich bessere Methoden, völlig unabhängig von einer Vorratsdatenspeicherung, „Zombie- Rechner“ in ihrem Netz aufzuspüren und die entsprechenden Anschluss- Inhaber zu informieren. Es genügt hierzu auch allein die Auswertung entsprechender Logfiles. Da eine DDoS- Attacke ein aktuell auftretendes und womöglich auch wiederkehrendes Ereignis darstellt, sehe ich keinerlei Sinnhaftigkeit auf Vorratsdaten zurückgreifen zu müssen. Mindestspeicherfristen sind für die Ermittlung für die Provider sowieso legitimiert, jedoch nicht pauschal ohne Grund und über das verhältnismäßig Notwendige hinaus. Man benötigt für diese Form der Internetkriminalität absolut keine anlasslose, verdachtsunabhängige Vorratsdatenspeicherung.

Fallbeispiel 3 (Betrug):

Der Täter eröffnete mit mehreren falschen Personalausweisen 11 Konten bei 6 verschiedenen Banken und wickelte darüber in 1.700 Fällen betrügerische Finanztransaktionen ab. Den einzigen Ermittlungsansatz stellten die Anschlussinhaberdaten hinter den dynamischen IP- Adressen dar, die allerdings mangels Mindestspeicherpflicht nicht mehr vorhanden waren.

Zunächst sei festgestellt, dass der Betrug überhaupt erst wegen der Leichtfertigkeit der entsprechenden Geldinstitute möglich war. Außerdem ist anzumerken, dass der oder die Täter offensichtlich im großen Stil Finanzbetrug betrieben haben. Allein die Beschaffung von falschen Personalausweisen erfordert enorme kriminelle Energie und Planung. Um allein mit Kontoeröffnungen 1700 betrügerische Transaktionen durchzuführen, offenbart einerseits erhebliche Sicherheitslücken bei den betreffenden Kreditinstitutionen und andererseits professionelle Umsetzung seitens der Täter. Es ist wenig überzeugend, zu glauben, dass ausgerechnet so professionell agierende Täter dafür die eigenen privaten Internetanschlüsse verwendet haben sollten. Entweder wurden VPN- Tunnel oder Proxy- Server zur Verschleierung der Identität verwendet oder öffentliche oder gekaperte WLAN- Netze. Eine Vorratsdatenspeicherung würde keinerlei erfolgsversprechende Ermittlungsansätze in diesem Fall beisteuern. Rein spekulativ wird die Vorratsdatenspeicherung hier als Erfolgsgarant vorgeschoben.

Fallbeispiel 4 (Ausspähen von Daten):

Das BKA ermittelte gegen ein deutschsprachiges Underground- Forum, in dem insbesondere die genannten Straftaten so wie der missbräuchliche Einsatz von Kreditkartendaten im Internet verabredet wurden. Hierbei konnten insbesondere über die richterlich angeordnete Überwachung einer Webseite Zuordnungen zwischen relevanten Usern (in Bezug auf Straftaten) und den genutzten IP- Adressen getroffen werden. Ohne das kontinuierliche Speichern von Verkehrsdaten wären heute ca. 80% der Hauptbeschuldigten nicht identifiziert worden.

Dieser Fall hat nichts mit einer anlasslosen und verdachtsunabhängigen Vorratsdatenspeicherung zu tun. Es wurden im Rahmen einer Ermittlung aufgrund eines Richterspruchs verdachtsabhängige Daten gespeichert. Das ist völlig in Ordnung und entspricht der derzeitigen Gesetzeslage und erfordert keinerlei Gesetzesänderungen.

Fallbeispiel 5 (Carding):

Über den missbräuchlichen Einsatz von Kreditkartendaten kaufte eine Tätergruppe hochwertige Elektronikartikel bei einem Webshop. Durch diesen Shop erfolgte eine Speicherung der IP- Adresse zum Kauf des Artikels. Diese IP- Adresse wurde der Polizei im Rahmen des Ermittlungsverfahrens mitgeteilt. Über eine Zuordnung der IP- Adresse zum Inhaber können somit erste Anhaltspunkte zur Ermittlung des Bestellers der Ware und damit zum Täter erlangt werden. Andere Ermittlungsmaßnahmen wären hier wesentlich eingriffsintensiver gewesen (Erhebung und Auswertung von Zahlungsvorgängen/Transaktionen/Konten).

Auch in diesem Fall fehlt jeglicher Bezug zur Vorratsdatenspeicherung. Die Ermittlungen konnten auf Basis der gegebenen Gesetzeslage völlig ohne anlasslose und verdachtsunabhängige Vorratsdatenspeicherung durchgeführt werden. Die VDS hätte sowieso nichts bewirkt. Damit man mal eine Vorstellung davon bekommt, wie schnell im Finanzdienstleistungssektor bei Betrugsversuchen reagiert wird, kann ich glücklicherweise auf einen real aufgetretenen Fall zurückgreifen, der in meinem direkten Umfeld aufgetreten ist und polizeilich erfasst wurde. Der Online- Finanzdienstleister PayPal konnte ungewöhnliche bzw. vermutlich unberechtigte Zugriffe auf ein Konto feststellen. Bereits 8 Minuten nach Zugriff, ohne dass der legitime Benutzer davon Kenntnis erlangte, wurde das Konto gesperrt und die Transaktion eingefroren. Reagiert man gleichermaßen zügig bei der Kommunikation mit dem Provider, dessen IP- Range als Herkunft der Täter- IP festgestellt wurde, gehen definitiv keine Verkehrsdaten verloren, die zu Ermittlungszwecken notwendig wären. Dass nach Abbruch der Online- Verbindung auch die IP- Adresse des Täters direkt gelöscht würde, ist ein Irrglaube, der nur für wenige Anschlüsse zutrifft (z.B. öffentliche Hotspots), bei welchen auch der Einsatz einer VDS versagen würde. Gängige DSL- Flatrate Anschlüsse benutzen die aktuelle IP- Adresse bis zur Zwangstrennung 24 Stunden lang…

Fallbeispiel 6 (Schadsoftware)

Über eine Webseite wurde Schadsoftware verteilt. Diese diente primär dem Ausspähen von Daten. Über eine Auswertung der Webseite konnte festgestellt werden, durch welche täterseitigen IP- Adressen die Schadsoftware auf dem Server der Webseite platziert wurde.

Auch in diesem Fall kamen die Ermittler völlig ohne anlasslose und verdachtsunabhängige Vorratsdatenspeicherung aus. Zur Auswertung wurden wohl die Logfiles des Webservers ausgewertet. Auch dies ist erneut ein missglückter Versuch, die VDS herbei argumentieren zu wollen.

Fallbeispiel 7 (Datenmissbrauch):

Täter nutzten bekannte Daten anderer Personen wie Rechnungsadresse bzw. Vor- und Nachname, um sich bei kostenpflichtigen Internetdiensten anzumelden. Hierbei konnte die Identifizierung der Täter nur über die beim Internetdienst registrierten IP-Adressen erfolgen.

Auch in diesem Fall wurden nicht die providerseitigen Verkehrsdaten für die Ermittlungen herangezogen, sondern die serverseitig beim Dienstanbieter registrierten Daten. Leider ist dieses Beispiel sehr dürftig beschrieben, sodass man wenig daraus entnehmen kann. Man darf jedoch annehmen, dass dieses Betrugsszenario dem Täter nur nutzt, wenn er den Dienst auch entsprechend nutzt. Man muss quasi nur abwarten, bis der Täter das nächste Mal online diesen Dienst verwendet. Nur so kann ich mir die Ermittlungsarbeit in diesem Fall vorstellen und hat weder etwas mit VDS zu tun noch hätte sie mehr Erfolg versprechen können.

Fallbeispiel 8 (Zugangsberechtigung):

Täter loggten sich mit fremden oder gefälschten Zugangsdaten bei Internet-Providern ein, entsperrten unbefugt sog.„SIM-Locks“ bei Mobiltelefonen und erschlichen sich Zugang zu Telefonanschlüssen, um illegal mit hohen Kosten verbundene 900er- Nummern anzuwählen. Bei der Zugangserschleichung zu Telefonanschlüssen/- anlagen konnte eine Auswertung von Logdaten der entsprechenden Anlage erfolgen, um so den täterseitigen Zugriff fest zu stellen. Die hierbei fest zu stellenden IP- Adressen dienten der Identifizierung der Täter. Ohne ein Vorhalten der Daten ist eine Ermittlung der Täter in derartigen Fällen regelmäßig nicht möglich.

Festzuhalten wäre hierbei, dass man sich wohl kaum mit gefälschten Zugangsdaten bei einem Internetprovider einloggen kann. Mit fremden, womöglich gestohlenen Zugangsdaten hingegen ist das natürlich möglich. Auch in diesem Fall wurden serverseitig aufgrund von ausreichend begründetem Verdacht Logfiles ausgewertet und keine VDS beansprucht, die anlasslos und verdachtsunabhängig gewesen wäre. Was hier mit „Vorhalt der Daten“ bezeichnet wird, hat recht wenig mit einer anlasslosen und verdachtsunabhängigen Vorratsdatenspeicherung zu tun. Es werden technische Instrumente angewendet, die nach wie vor juristisch und technisch zur Verfügung stehen.

Fallbeispiel 9 (Amoklaufankündigung): 

In einem Onlinespiel wurde von einem User die Ankündigung gepostet, am   folgenden Tag einen Amoklauf in München durchführen zu wollen. Über US- amerikanische Behörden wurden umgehend die IP- Adressdaten mitgeteilt. Durch den deutschen Provider wurde jedoch mitgeteilt, dass die für eine Identifizierung des Anschlussinhabers erforderlichen Verkehrsdaten bereits gelöscht wurden.

Wichtig zu wissen wäre, um welches Onlinespiel es sich handelte und welche Möglichkeiten dieses Onlinespiel zu Identifizierung des Spielers bietet. Die Zeitangaben werden vage mit „umgehend“ beschrieben. Da Onlinespiele in Echtzeit gespielt werden, muss die IP- Adresse auch zurückverfolgbar gewesen sein oder die Zeitangabe „umgehend“ ist schlicht zu unpräzise gewesen. Abgesehen davon würden die Ressourcen aller deutschen Ermittlungsbehörden nicht ausreichen, wenn sie jeder Aussage dieser und ähnlicher Art derart viel Bedeutung beimessen würden. Meines Wissens gab es in München keine nennenswerte Amoklaufanzeichen, dass in diesem Fall wohl eine Falschmeldung (Fake) zugrunde lag. Es ist ja bemerkenswert und lobenswert, wenn die Ermittler so aufmerksam sind, doch will man offensichtlich versuchen, eine Profilaxe zu etablieren, deren Umsetzung eigentlich aussichtslos erscheint. In der Tat hätte in diesem Fall eine VDS weiter helfen können, fraglich wäre jedoch geblieben, ob die Reaktionszeit im Zweifelsfall ausgereicht hätte. Immerhin hätte der Täter durch die Zeitverschiebung (USA) einige Stunden Vorlauf gehabt. Ob nun ein solch kaum rational einzustufender Fall die notwendige Verhältnismäßigkeit für die Wiedereinführung der Vorratsdatenspeicherung begründet, darf angezweifelt werden.

In einem anderen Fall wurde in einem Internet- Forum die Ankündigung eines Amoklaufs an einer bestimmten Schule festgestellt. Über die IP zum Eintrag konnte unlängst der Provider festgestellt werden. Erste Ermittlungen zur Person des Absenders anhand der IP- Adresse verliefen jedoch negativ, da der Provider keine  Verbindungsdaten mehr speichert. Der Absender/ Täter konnte später nur zufällig durch Ermittlungen zu seinen Nickname identifiziert werden, da er sich in einem anderen Forum Bruchstücke seines Namens und seiner Adresse angegeben hatte. Beim Täter wurde ein hohes Maß an tatsächlicher Amok- Bereitschaft festgestellt. Ort und Datum des Amok- Laufs waren bereits fest gelegt. Darüber hinaus hatte er bereits versucht, sich eine Schusswaffe zu verschaffen. Wenn die Ermittlungen nicht zufällig erfolgreich gewesen wären, wäre es wegen fehlender Verkehrsdaten womöglich zu einer Katastrophe gekommen.

In diesem Fall trifft wieder zu, dass weitere Anhaltspunkte, die ein Internetforum in der Regel bietet, nicht berücksichtigt wurden. Man kennt bereits den Provider, man kennt sein Pseudonym und konnte sogar ermitteln, dass er damit auch andere Internetdienste beanspruchte. Wenn man hierbei von „zufällig“ redet, hat man schlicht die Funktionsweise des Netzes und seiner Benutzer nicht richtig verstanden. Ich denke nicht, dass die Ermittler daraufhin rein zufällig auf diesen Nickname gestoßen sind, sondern ganz bestimmt zielgerichtet danach gesucht haben. Im Übrigen hätte man seinen Provider ja parallel für diesen Fall sensibilisieren können, um dem merkwürdigen Zufall etwas auf die Sprünge zu helfen. Die Accountdaten des Forums hätten sicherlich weitere Anhaltpunkte geliefert…

 Fallbeispiel 10 (Suizidandrohung):

 Ähnliches gilt für viele im Internet angedrohte Selbsttötungen. Werden diese Drohungen beispielsweise in einem Chat ausgesprochen, kann die Polizei lediglich über den Provider des Chats die genutzte IP- Adresse in Erfahrung bringen. Ohne vorhandene Verkehrsdaten ist die polizeiliche Gefahrenabwehr in diesen Fällen fast immer unmöglich.

Ich bin hierfür sicher kein Experte, doch inwieweit es sich dabei um eine Gefahrenabwehr im Aufgabenbereich der Polizei handelt, vermag ich nicht abzuschätzen. Ich hätte mir vorgestellt, dass als erste Präventivmaßnahme ein Psychologe direkt online mit dieser Person in Kontakt treten sollte. Da solche Ankündigungen nur in Echtzeit zu verfolgen sind, muss die Person möglichst zeitnah ermittelt werden. Eine Vorratsdatenspeicherung käme dann sowieso zu spät und die aktuellen Verkehrsdaten liegen noch vor, mindestens solange die Person online ist. Auch danach lässt sich immer noch bei den gängigen Flatrate- Anschlüssen für bis zu 24 Stunden anhand der IP- Adresse eine Identifizierung durchführen. Je nach Provider ist das sogar noch einige Tage danach möglich. Ich greife daher mal den klassischen Fall auf, dass jemand eine Suizidankündigung im Beichtstuhl offenbart…

Ist es verhältnismäßig, in solchen Fällen nach einer anlasslosen und verdachtsunabhängigen Vorratsdatenspeicherung zu rufen? Die Schreibweise dieses Fallbeispiels lässt darauf schließen, dass es sowieso nur ein konstruiertes Beispiel und kein realer Fall ist. Eigentlich sollte ich fiktive Beispiele, die natürlich in ähnlicher Weise geschehen können, nicht in diese Analyse einbeziehen. Und eigentlich sollte man auch nicht mit fiktiven Beispielen für eine VDS argumentieren, zumal das so oder so nicht beweist, dass dadurch solche Fälle eher verhindert werden könnten.

 Fallbeispiel 11 (Erpressung):

Seit dem 19.12.2009 verschickte ein unbekannter Täter über ein Briefzentrum mehr als 100 Briefe, adressiert an Schulen, Universitäten und Privatpersonen im gesamten Bundesgebiet. Er droht darin mit Sprengstoffanschlägen für den Fall der Nichtzahlung einer geforderten Geldsumme. Die Ermittlung des Täters verlief bisher ergebnislos. Mit E-Mail  vom 22.04.2010 trat der unbekannte Verfasser erstmals mit einem Opfer über dessen Profil im Netzwerk „studiVZ“ in Kontakt. Der Betreiber des Netzwerkes konnte zwar die genutzte IP- Adresse des Absenders mitteilen. Eine Zuordnung über den verantwortlichen Provider war jedoch mangels gespeicherter Verkehrsdaten nicht mehr möglich. Der Erpresser konnte bisher nicht ermittelt werden.

Dies ist bisher das lächerlichste Fallbeispiel, um für die Wiedereinführung der Vorratsdatenspeicherung zu argumentieren und offenbart die Verlogenheit der Befürworter oder zumindest deren Inkompetenz. Für einen solch gelagerten Fall bieten sich doch konventionelle Ermittlungsmethoden geradezu an. Ein Erpresser muss auch eine Geldübergabe vereinbaren. Meines Wissens ist dies immer der kritischste Zeitpunkt für den Täter und der erfolgversprechendste für die Ermittler. Wenn man jedoch den Täter bereits vorher fassen könnte, wäre das natürlich noch bequemer. Doch wozu soll hierbei eine anlasslose und verdachtsunabhängige Vorratsdatenspeicherung helfen? Offensichtlich hat der Täter an einem bestimmten Tag, der bereits bekannt ist, mit seiner Erpressung begonnen. Fast ein halbes Jahr später, nutzt er erstmals den Emailverkehr innerhalb eines Social Network für die Kontaktaufnahme. Hat man darauf gewartet und die Ermittlungen ruhen lassen, weil dummerweise der Täter sich nicht in der Onlinewelt zeigte? Erst ab diesem Zeitpunkt könnte eine digitale Spurensuche beginnen, da erst ab diesem Zeitpunkt bekannt war, dass der Täter auch das Internet nutzt. Die Account- und Verkehrsdaten können vom Betreiber (studiVZ) ausgewertet werden und können Rückschlüsse auf den Täter liefern. Einer Speicherung von Verkehrsdaten steht rechtlich bei begründetem Verdacht nichts entgegen und kann gezielt auf die Verknüpfung von Account- und Verkehrsdaten angewendet werden. Sollte der Täter nicht ausschließlich über öffentliche oder gekaperte Netze das Internet verwenden, würde man ihn bei seiner nächsten Onlineaktivität, unabhängig von Erpressungsversuchen, ausfindig machen können. Eine VDS würde keine zusätzlichen Informationen bieten, die zur Identifizierung beitragen könnten, sie hätte lediglich den Aufwand der Ermittler dahingehend minimiert, dass sie nicht abwarten müssten, bis der Täter sich nochmals online meldet, was jedoch im Übrigen bei Erpressungen durchaus zu erwarten wäre. Man muss jedoch auch in Erwägung ziehen, dass eine VDS keine Erkenntnisse liefern würde, wenn der betreffende Täter bislang kein Internetnutzer war…

Fallbeispiel 12 (Mord):

Die polnischen Behörden fahnden gegenwärtig europaweit nach einem Mörder. Nach bisherigen Erkenntnissen meldete sich der Flüchtige regelmäßig bei seinem Account eines polnischen Sozialen Netzwerks an. Eine Liste der festgestellten IP- Adressen wurde mit der Bitte um Ermittlung der Kundendaten an die deutschen Behörden übermittelt. Eine Zuordnung war ohne die erforderlichen Verkehrsdaten jedoch nicht mehr möglich. Da die deutschen IP- Adressen bislang den einzigen Fahndungsansatz darstellten, konnte der Mörder bisher nicht festgenommen werden.

Wenn doch bereits bekannt ist, dass der Täter Mitglied eines sozialen Netzwerkes im Internet ist, besitzt er auch einen Account, der anhand einer verifizierten Emailadresse angelegt wurde. Es spielt überhaupt keine Rolle, ob die Accountdaten sowie die Emailadresse nicht die wahre Identität des Täters wiedergeben, man kann jedoch aus der Verknüpfung all dieser Daten den Wirkungsspielraum des Täters so einschränken, dass seine nächste Onlineaktivität per Email oder im sozialen Netzwerk seine Identität verrät. Da er sich regelmäßig im sozialen Netzwerk anmeldete, verstehe ich nicht, wieso die Ermittlungsbehörden diesen Account nicht überwachten…?

Fallbeispiel 13 (Videoverlautbarung):

In einem Internetforum wurde eine Videobotschaft einer Terrororganisation über verschiedene Links zur Verfügung gestellt. Einer dieser Links wurde von einer unbekannten Person unter Registrierung der eigenen E- Mailadresse erzeugt. Eine Abfrage der E-Mail- Adresse beim zuständigen Provider ergab, dass die Adresse nur einen Tag vor der Veröffentlichung der Verlautbarung registriert wurde. Die bei der Registrierung vergebene IP- Adresse gehörte zum Kontingent eines deutschen Internetproviders. Bei der Abfrage der Kundendaten zu dieser IP- Adresse teilte dieser unter Hinweis auf das Urteil des BVerfG mit, dass die Speicherfrist bereits abgelaufen sei. Ein möglicher Unterstützer der Terrororganisation konnte somit nicht identifiziert werden.

Hier muss man zwei unterschiedliche Aspekte unterscheiden. Zunächst geht es um die Identifizierung einer Person über deren Emailadresse. Aufgrund der Tatsache, dass diese Emailadresse speziell für diese Tat registriert wurde, lässt erahnen, dass der Täter Vorsichtsmaßnahmen ergriffen hat, um unerkannt zu bleiben. Es handelte sich sicher um einen Freemail- Anbieter, der anonyme Emailadressen aufgrund § 13 Abs. 6 TMG zur Verfügung stellen muss. Meiner Ansicht nach, ein unglücklich formulierter Paragraph, dessen Sinn ich nicht so wirklich verstehe. Man kann vermutlich auch davon ausgehen, dass der Täter aus Sicherheitsgründen auch nicht seinen eigenen Internetanschluss benutzt hat. Mit oder ohne VDS gibt es in einem Fall, wo der Täter offensichtlich bewusst, Daten zu verschleiern vermag, keine großen Aussichten auf Erfolg. Man kann dieses Beispiel also auch nicht als Argument für die Wiedereinführung der VDS verwenden.

Fallbeispiel 13 (Bombendrohung):

Bei einer Klinik ging im letzten Jahr, zum Zeitpunkt, als noch Verkehrsdaten gespeichert wurden, anonyme eine telefonische Bombendrohung ein. Nachdem zweiten Anruf wurde die Klinik mit erheblichem Aufwand geräumt. Mehrere schwere Tumoroperationen mussten abgesagt werden. Es entstanden Kosten in Höhe von rund 90.000 EUR. Die Anschlüsse, von denen die Drohanrufe erfolgten, konnten damals auf Grund der noch vorhandenen Daten zeitnah ermittelt werden. Die Täterin wurde festgenommen. In ähnlich gelagerten Fällen wäre dies unter den aktuellen Bedingungen kaum noch möglich.

Angenommen, der mutmaßliche Täter hätte zufälligerweise oder bewusst ein fremdes Mobiltelefon verwendet oder aus einer öffentlichen Telefonzelle angerufen oder gar ein Prepaid- Wegwerf- Handy verwendet? Man kann nicht einfach darauf schließen, dass ähnlich gelagerte Fälle ohne VDS, nicht oder kaum noch zu ermitteln wären. Im Bewusstsein einer wieder installierten Vorratsdatenspeicherung würden sich die Täter den neuen Bedingungen anpassen, das steht doch wohl außer Frage…?

Nach einer telefonischen Bombendrohung gegen die Ulmer Justiz musste beispielsweise das Justizhochhaus abgesperrt werden. Tausende Bürger und Beschäftigte waren betroffen. Es wurde ein Zielsuchlauf zur Ermittlung des eingehenden Anrufes durchgeführt. Die Ermittlungen ruhen allerdings zurzeit aufgrund der vom Bundesverfassungsgericht erlassenen einstweiligen Anordnung. Der Täter konnte bisher nicht zur Rechenschaft gezogen werden.

Mal ehrlich – ob nun mit oder ohne VDS, man hätte das Gebäude so oder so abgesperrt. Ich wiederhole mich: es kann nicht zweifelsfrei behauptet werden, dass eine VDS unter allen Umständen zum Erfolg bei der Identifizierung eines Anschlusses führt. Man kann aber bei begründetem Verdacht, auch ohne VDS, Daten erheben und auswerten.

Fallbeispiel 14 (Mord):

Eine allein stehende Rentnerin wurde von ihrer Tochter tot in ihrer Wohnung aufgefunden. Bei der Leichenschau wurden deutliche Hinweise auf Fremd-bzw. Gewalteinwirkung festgestellt. Die Verstorbene hatte in der zurückliegenden Zeit immer wieder verdächtige Telefonanrufe von einer bislang unbekannten männlichen Person erhalten, bei denen eine sexuelle Motivation im Vordergrund gestanden haben soll. Um den unbekannten Anrufer und möglichen Mörder zu ermitteln, wurde eine Auskunft zu allen auf dem Festnetz des Opfers eingegangenen Anrufen beantragt. Solche Daten werden allerdings nach dem Urteil des BVerfG nicht mehr gespeichert. Ein Täter konnte bis heute nicht ermittelt werden.

Man will allen Ernstes aufgrund von Vermutungen, dass jemand mit obszönen Anrufen die Frau belästigt hatte, eine anlasslose und verdachtsunabhängige Vorratsdatenspeicherung rechtfertigen? Besteht überhaupt ein Zusammenhang zwischen dem Mord und den angeblich sexuell motivierten Anrufen? Woher stammen überhaupt diese Vermutungen, das Opfer konnte sich dazu ja schlecht geäußert haben? Übrigens besteht die Möglichkeit, eingehende Telefonate bei Stalking überwachen zu lassen. Womöglich hätte man so das Leben der Frau retten können, angenommen, der Täter war auch gleichzeitig der Anrufer…

Ansonsten gilt nach wie vor die Möglichkeit, dass auch trotz VDS ein Anruf nicht so zurückverfolgt werden kann, dass man dadurch den Anrufer zwangsläufig identifizieren könnte.

Fallbeispiel 15 (Ebay- Betrug):

Durch organisierte Banden gestohlene PKW und hochwertigen Baumaschinen werden aktuell im Internet über Ebay veräußert. Im Rahmen eines Ermittlungsverfahrens wegen gewerbsmäßiger Bandenhehlerei wurden zwischenzeitlich Beschlüsse zur Herausgabe der Verbindungsdaten von Mobil- und Festnetzanschlüssen der Tatverdächtigen erlassen. Retrograden Verkehrsdaten konnten jedoch nicht mehr mitgeteilt werden. Der Tatnachweis anhand von Standortkoordinaten (Tatorte) ist somit nicht mehr möglich.

Abgesehen davon, dass in diesem Fallbeispiel die Rechtschreibung nicht so ernst genommen wurde, benötigt man bei EBAY- Betrug weniger die Verbindungsdaten zu Mobil- und Festnetzanschlüssen, sondern eher die Account- Daten bei EBAY, die ja nicht so ohne Weiteres verschleiert werden können. Da man offensichtlich die Mobil- und Festnetzanschlüsse der mutmaßlichen Täter kennt, könnte man sie ja auf frischer Tat ertappen. Die Verkehrsdaten könnten im Übrigen nur weitere Indizien liefern, ob die mutmaßlichen Täter auch tatsächlich in der Nähe der Tatorte waren. Man muss sie also überführen, was ja im Prinzip möglich wäre, da man ja fortan die Anschlüsse überwachen könnte. In diesem Fall ist das Erheben von Vorratsdaten eher ein zusätzlicher Aufwand, der überhaupt nicht mehr nötig ist. Die Verkehrsdaten dienen ja eigentlich nur zur Identifizierung?

 Fallbeispiel 16 (Ermordung eines Hamas-Funktionärs in Dubai):

In Deutschland „wird“ gegen einen Beschuldigten wegen des Verdachts geheimdienstlicher Agententätigkeit und mittelbarer Falschbeurkundung ermittelt. Über gezielte Finanzermittlungen wurde bekannt, dass retrograd noch für ca. 4- 6 Monate Gespräche eines Mobiltelefons abgerechnet wurden. Das Auskunftsersuchen ging ins Leere, da die Verkehrsdaten nicht mehr vorhanden waren. Eine Aufhellung der konspirativen Strukturen ist somit bis heute nicht möglich gewesen.

Entschuldigung, die Beschreibung dieses Fallbeispiels ist derart wirr, dass ich leider keine Zusammenhänge zwischen Überschrift und Text erkennen kann. Inhaltlich ist alles zu wenig erläutert…

Fallbeispiel 17 (Ausspähen von Zahlungskarten):

2007 bis 2008 konnten durch die Auswertung retrograd erhobene Funkzellendaten entscheidende Ermittlungsansätze für die Aufklärung von Ausspähungen im Umfeld von Geldautomaten gewonnen werden. Die von der Täterseite genutzten Mobiltelefone waren zu tatkritischen Zeiten an den verschiedenen Tatorten in der jeweiligen Funkzelle ein gebucht. Mittels dieser Daten gelangen die Identifizierung einer Vielzahl von Beschuldigten sowie die Zuordnung von insgesamt 37 Straftaten

Wenn auch erneut die Rechtschreibung zu wünschen übrig lässt und Zusammenhänge nicht besonders deutlich dargestellt wurden, muss ich zum wiederholten Mal feststellen, dass man eine Vorratsdatenspeicherung hauptsächlich wegen einer nicht zu übersehenden Bequemlichkeit zurückbekommen möchte. Sicherlich war hierbei die VDS hilfreich, doch ebenso können bei der Zuordnung dieser verdachtsunabhängigen Daten auch Unschuldige ins Fahndungsraster geraten. Ebenso hätte man die Tatverdächtigen auch seit Beginn der Ermittlungen auf gleiche Weise gezielt und verdachtsabhängig überwachen können, um zum gleichen Ergebnis zu gelangen. Es ist bestimmt noch nicht strafbar, zum Tatzeitpunkt ebenfalls mit dem Mobiltelefon in der gleichen Funkzelle ein gebucht zu sein oder irre ich mich da? Somit ist dieses Indiz nicht relevant, um den Täter damit überführen zu können.

Fallbeispiel 18 (nochmal Mord):

Nach dem Mord flüchtete /n der/die Täter mit dem PKW des Opfers. Die Tatortarbeit erbrachte keine weiterführenden Hinweise zu Tatverdächtigen, Augenzeugen wurden nicht bekannt. Für einen bestimmten Funkzellenbereich bestand die Annahme, dass der/die Täter das Fluchtfahrzeug nach dem Abstellen verlassen und eine Beförderungsmöglichkeit(z.B.Taxi) per Handy anforderte/n. Eine Auswertung der Funkzellendaten war allerdings nicht möglich, da die Daten nach Auskunft des Betreibers nicht mehr vorhanden waren. Diese hätten den aussichtsreichsten Ermittlungsansatz geboten. Der Mörder konnte bis heute nicht ermittelt werden.

Hier wird suggeriert, dass man mit hoher Wahrscheinlichkeit den Fall hätte lösen können, wenn entsprechende Verkehrsdaten zur Verfügung gestanden hätten. Das will ich gar nicht abstreiten, stellt aber wieder das gleiche Problem dar, wie bereits zuvor so oft bemängelt wurde. Es ist niemals auszuschließen, dass unschuldige Personen damit in die Fahndung einbezogen werden, nur weil sie zufällig zum gleichen Zeitpunkt dieselbe Funkzelle benutzten. Aufgrund einer vagen Vermutung, dass womöglich der Täter per Handy ein Taxi gerufen haben könnte, sollte man nicht die gesamte Bevölkerung unter Generalverdacht stellen.

Fallbeispiel 19 (Schleusung):

In einem Ermittlungsverfahren wegen banden- und gewerbsmäßiger Schleusung konnten weder der Zielort noch die möglichen Täter bzw. Tatfahrzeuge festgestellt werden. Insgesamt wurden bisher ca. 100 Personen nach Deutschland eingeschleust. Mittels retrograder Verkehrsdaten des mutmaßlichen LKW- Fahrers einschließlich der geografischen Standortdaten zu Beginn einer Verbindung hätte dessen Telekommunikationsmuster analysiert, Kontaktpersonen ermittelt und hieraus Hinweise zu Tatorten, zu weiteren Opfern, Tatzeiten, Routen sowie möglichen Mittätern erlangt werden können. Dies war mangels verfügbarer Verkehrsdaten nicht möglich.

Technisch gesehen wiederholt sich der Sachverhalt regelmäßig. Man möchte anhand der Verkehrsdaten, Bewegungsprofile erstellen, die Rückschlüsse auf diverse Sachverhalte ergeben könnten. Es ist nicht sicher, ob es auch so funktionieren würde, man möchte aber diese Möglichkeit einfach nicht missen wollen. Verständlich aus der Perspektive der Ermittlungsbehörden, dennoch überaus kritisch zu bewerten, da nie ausgeschlossen werden kann, Unschuldige in Tatverdacht zu drängen. Unter Berücksichtigung einer sensiblen Verhältnismäßigkeit sollte man die konventionellen Ermittlungsmethoden nicht zu Gunsten einer bequemen Datenauswertung vernachlässigen. Man hat Tatverdächtige und könnte diese auch schlicht auf altbewährte Weise überwachen. Im Übrigen spricht auch nichts dagegen, die Verkehrsdaten des Verdächtigen fortan überwachen zu lassen.

Fallbeispiel 20: (Mafia- Mord):

Unmittelbar an einer Straßenböschung wurde ein zunächst nicht identifiziertes Mordopfer aufgefunden. Nach wenigen Tagen konnte der Mann als 43- jähriger italienischer Staatsangehöriger ermittelt werden, der sich unangemeldet in Köln aufgehalten hatte. Durch italienische Behörden wurde im weiteren Verlauf mitgeteilt, dass das Opfer der Mafia nahegestanden habe. Im Rahmen der Ermittlungen gelang es drei Monate nach der Tat, den möglichen Tatort und vier mögliche Tatbeteiligte zu ermitteln. Für die Beweisführung wäre es erforderlich, die retrograden Verkehrsdaten aller Verdächtigen auswerten zu können. Das Auskunftsersuchen wurde jedoch nicht gestellt, da die Staatsanwaltschaft Köln die Stellung eines Antrags mangels Erfolgsaussicht unter Hinweis auf das Urteil des Bundesverfassungsgerichts abgelehnte. Der vermutliche Mafia-Mord bleibt dadurch weiterhin unaufgeklärt.

Dieser Fall greift  nun die Mindestspeicherfrist von Vorratsdaten auf. Womöglich genügt den Ermittlungsbehörden nicht einmal eine zeitliche Begrenzung der Datenspeicherung. In diesem Fall benötigte man immerhin schon 3 Monate, womöglich gibt es Fälle, wo 1 Jahr nicht einmal genügen würde. Es lässt sich keine klare Trennlinie ziehen, wo die Verhältnismäßigkeit überschritten werden würde. Immer wieder wird argumentiert, dass Vorratsdaten entscheidend die Ermittlungen in diesen Fällen begünstigt hätten, seltsamerweise war jedoch die Erfolgsquote während die VDS noch angewendet werden durfte, keinesfalls höher als zuvor oder danach. Das belegen die Kriminalstatistiken. Somit werden Vermutungen geäußert und als Argumente verpackt.

Fallbeispiel 21 (Bandendiebstahl):

Aktuell wird ein Verfahren wegen schweren Bandendiebstahls im Zusammenhang mit Wohnungseinbruchsdiebstählen gegen reisende Straftäter geführt. Die Auftraggeber halten sich überwiegend im Ausland auf. Der Bande können momentan 42 Taten zugeordnet werden. Für die Aufklärung der Straftaten sowie die Ermittlung der Hehler und der Bandenstruktur wären die retrograden Verbindungsdaten bis zu 6 Monaten erforderlich, da etliche Taten der Serie länger zurückliegen. Ein Auskunftsersuchen wurde jedoch nicht gestellt, da die zuständige Staatsanwaltschaft mit Verweis auf das Urteil des Bundesverfassungsgerichts die Stellung eines Antrages ablehnte. Die Aufklärung weiterer Straftaten im Bundesgebiet(z.B. durch Funkzellenauswertung) ist damit wesentlich erschwert bzw. unmöglich.

Wenn die Taten nun bis zu 20 Jahre zurückliegen würden, wäre ein Auskunftsersuchen für so lange Zeit definitiv unmöglich. Wie kommt man gerade darauf, dass 6 Monate ausreichend wären? Wie kommt man zu der Einschätzung, dass ausgerechnet die Verbindungsdaten der letzten 6 Monate die Aufklärung dieses Falles entscheidend voranbringen könnten? Nicht ansatzweise wird hier erwähnt, dass überhaupt eine Kommunikation stattgefunden hat. Es werden keinerlei Anhaltspunkte offenbart, die ein solches Vorgehen rechtfertigen würden. Wenn sogar die Staatsanwaltschaft diesen Antrag ablehnt, muss ja wirklich wenig Plausibles vorliegen, dass man überhaupt nicht erst den Versuch zu unternehmen wagt. Beschränkt man sich nur noch auf Funkzellenauswertung bei der Ermittlungsarbeit? Andererseits scheint aber die konventionelle Ermittlungsarbeit immerhin weitreichende Zusammenhänge erbracht zu haben. Aufgrund der Angaben ist jedoch jede technische Analyse unmöglich…

 Fazit:

Ausnahmslos alle Fallbeispiele versuchen zu suggerieren, dass ohne VDS eine erfolgreiche Ermittlungstätigkeit, kaum durchführbar wäre. In den meisten Fällen kann jedoch nachgewiesen werden, dass eine VDS kein besseres Ergebnis erbracht hätte oder der Erfolg oder Misserfolg abhängig davon gewesen sei. In manchen Fällen hätte eine VDS durchaus die Ermittlungen beschleunigen oder zumindest bequemer gestalten können. In der Verhältnismäßigkeit zum Generalverdacht aller Bürger und daraus entstehenden Kollateralschäden, genügt jedoch auch das zeitnahe Einfrieren notwendiger Verbindungsdaten. Die gesamte Argumentationskette des BKA stützt sich auf den Konjunktiv. Es wird behauptet, „man hätte mit VDS besser ermitteln können“, was jedoch aus wissenschaftlicher Sicht völlig inakzeptabel ist. Ich verweise nochmals auf die Kriminalstatistiken der letzten Jahre, woran zweifelsfrei nachzuvollziehen ist, dass keine höhere Erfolgsquote erzielt werden konnte, als die VDS noch zur Verfügung stand.

Wiefelpützen’s Kauderwelsch & Neues aus Uhlenbusch

25. November 2010

Was ist eigentlich ein Innenexperte ? Die Wikipedia weiß das nicht. Die wissen doch sonst immer alles? Dr. Dieter Wiefelspütz von der SPD ist zum Beispiel einer und auch Dr. Hans- Peter Uhl (CSU) wird oft damit betitelt.

Volker Kauder von der CDU ist zwar kein Innenexperte, sondern Fraktionschef, ist aber der gleichen Auffassung wie die Innenexperten, dass aufgrund der aktuellen Bedrohungslage und überhaupt, eine  verdachtsunabhängige und anlasslose Vorratsdatenspeicherung unverzichtbar für die Sicherheit unseres Landes und die Kriminalitätsbekämpfung sei.

Man bekommt irgendwie den Eindruck, als hätte man nur darauf gewartet, dass eine Terrorwarnung ausgesprochen wird oder ein Sack Reis in China umkippt, damit man endlich wieder nach schärferen Sicherheitsgesetzen rufen kann.

Angeblich reale Fallbeispiele des BKA sollen nachweisen, dass die Vorratsdatenspeicherung unverzichtbar sei, um Straftaten, die mithilfe des Internets verübt werden, erfolgreich bekämpfen zu können. Dank Herrn Dr. Uhl liegt mir eines dieser Fallbeispiele vor. Zunächst die Aussage des BKA:

Grundsätzlich ist es regelmäßig im Rahmen der Identifizierung von Tätern und Opfern im Bereich der Bekämpfung von Kinderpornografie sowie des sexuellen Missbrauchs von Kindern erforderlich, auf der Grundlage richterlicher Beschlüsse gemäß § 100g StPO bei den Providern Verkehrsdaten nach § 113a Telekommunikationsgesetz (TKG) sowie auf Basis von (polizeilichen) Auskunftsersuchen nach § 113 TKG Bestandsdaten zu E-Mail-Adressen und IP-Adressen zu erheben. Seit der Entscheidung des BVerfG zur Vorratsdatenspeicherung konnten in einer Vielzahl der Fälle des sexuellen Missbrauchs von Kindern bzw. der Verbreitung von Kinderpornografie, in denen lediglich eine IP-Adresse als Identifizierungsansatz bekannt ist, die jeweiligen Tatverdächtigen nicht identifiziert werden.

 Und nun ein angeblich authentisches Beispiel:

Das Bundeskriminalamt erhielt zuerst auf dem Interpol- Weg, im Weiteren ergänzend in direkten bilateralen Kontakten einen Hinweis, wonach auf Grund von verdeckten Recherchen im Internet eine IP-Adresse eines deutschen Providers festgestellt wurde, über die kinderpornografisches Material angeboten und verbreitet wurde. Darüber hinaus gab der Nutzer der IP-Adresse im Internet an, Zugang zu zwei Kleinkindern zu haben, die er regelmäßig missbrauche. Der Inhaber der mitgeteilten IP-Adresse konnte zunächst nicht identifiziert werden, da die Verkehrsdaten, über die der Kunde an Hand der zugehörigen Bestandsdaten hätte ermittelt werden können, durch den zuständigen deutschen Provider nicht gespeichert wurden. Zur Identifizierung des Tatverdächtigen war es daher erforderlich, dass die Kundendaten zur tatrelevanten IP-Adresse beim Provider angefragt werden, während die IP-Adresse an den Tatverdächtigen vergeben ist, d. h. der Tatverdächtige muss zum Zeitpunkt der Anfrage an den Provider weiterhin im Internet aktiv („online“) sein. Das hierzu notwendige Vorgehen wurde mit dem polizeilichen Kooperationspartner im Ausland abgestimmt und führte letztlich (unter erheblichem Mehraufwand, u. a. Einrichtung einer Rufbereitschaft des hiesigen Fachreferates) zur Identifizierung des Tatverdächtigen. Mit der Vorratsdatenspeicherung hätte der Tatverdächtige bereits bei Eingang der Information durch den mitteilenden Staat zweifelsfrei und mit wesentlich geringerem Aufwand identifiziert und damit der Hinweis auf einen (aktuell andauernden) Missbrauchsfall schneller bearbeitet werden können. Wäre es dem ausländischen polizeilichen Kooperationspartner nicht mehr gelungen, den Tatverdächtigen bei weiteren Aktivitäten im Internet festzustellen, hätte dieser auf Basis der vorhandenen Daten nicht ermittelt werden können.

Zunächst möchte ich feststellen, dass dieser Fall offenkundig ohne Vorratsdatenspeicherung erfolgreich ermittelt werden konnte. Lediglich ein höherer Aufwand seitens der beteiligten Ermittlungsbehörden wird kritisiert. Soll der Umstand, dass sich Ermittlungstätigkeit ohne VDS mühsamer und unbequemer gestaltet, selbige als gerechtfertigt erklären? Dass durch eine VDS erhebliches Missbrauchspotential und unweigerlich Kollateralschäden zu erwarten sind, welche die gesamte, unter Generalverdacht gestellte Bevölkerung trifft, nimmt man aus reiner Bequemlichkeit in Kauf. Totschlagargumente dürfen nicht in rational geführte Debatten einfließen. 

Des Weiteren wird die Mutmaßung geäußert, dass nur der glückliche Umstand, dass der potentielle Täter im beschriebenen Fallbeispiel weiterhin online aktiv war, zum Erfolg führte.  Allein mit dieser Feststellung möchte man nachweisen, dass eine zur Verfügung gestandene VDS die Ermittlungsarbeit beschleunigt hätte.

Unterschlagen wird jedoch bei dieser Argumentation, dass der womöglich geringere Aufwand auf Seiten der Ermittlungsbehörden durch Einführung einer VDS auf Seiten der Provider und Diensteanbieter mit jedem zu speicherndem Datensatz ansteigt. Der Aufwand bei solchen Ermittlungen wird somit nicht wirklich geringer, sondern lediglich verlagert. Es mag sein, dass es anfänglich sogar schneller wäre, doch mit zunehmender Datenmenge könnte sich der Zeitgewinn auch relativieren. Inwieweit es juristisch akzeptabel wäre, wenn Mitarbeiter bei Providern und Diensteanbietern zu Hilfspolizisten ernannt würden, vermag ich nicht zu beurteilen. 

Wesentlich interessanter als derartige Eventualitäten finde ich den technischen Aspekt dieser Ermittlung. Wenn man den Aussagen des BKA Glauben schenken sollte, gab es als einzigen Ermittlungsansatz eine IP- Adresse eines mutmaßlichen Täters aus dem Straftatbereich der Kinderpornographie. Diese Aussage ist in höchstem Maße unglaubwürdig. Wenn Ermittler im Internet nach solchen Straftätern recherchieren, kann dies nicht allein auf Basis einer IP- Adresse geschehen. Der Täter muss aktiv irgend einen Dienst im Internet genutzt haben, damit man überhaupt auf ihn aufmerksam wurde.  Es wurde ja Kinderpornographie angeboten und verbreitet. Ausserdem hat der entsprechende Täter auch eine gewisse Kommunikation betrieben. Sowas funktioniert nicht allein mit einer IP- Adresse. Er muss folglich ein Internetforum, einen Chat oder eine ähnliche Onlineplattform verwendet haben. Dies wiederum erfordert weitere digitale Spuren, die er zwangsläufig hinterlassen muss. Accountdaten und Emailadressen sind hierfür in der Regel erforderlich, die dann vom jeweiligen Anbieter des Onlinedienstes in gewissenem Rahmen nachvollziehbar sind. Freilich wird man als Gegenargument nun einwerfen, dass all diese Daten gefälscht sein können und somit keine Erkenntnisse über die Identität liefern, doch ist das nicht pauschal richtig.

Am besten läßt sich sowas immer anhand von bebilderten Beispielen darstellen:

Es handelt sich hierbei um einen typischen SPAM- Account in einem Internetforum. Im Administrationsbereich findet man selbst bei gefälschten Anmeldedaten, trotzdem eventuell nützliche Informationen. In diesem Fall lässt sich anhand der gespeicherten IP- Adresse über eine sog. WHOIS- Abfrage der zugehörige Mailserver ermitteln und demzufolge dessen Betreiber. Ausgehend davon, dass auch die Email- Adresse nicht die wahre Identität des Täters offenbart, hat man aber zwei weitere wesentliche Details gewonnen. Man kann in der Folge die Diensteanbieter anweisen, Aktivitäten, die über diese Kanäle durchgeführt werden, zu beobachten und zu erfassen. Das sinnvolle Verknüpfen dieser Daten kann die digitale Schlinge um den virtuellen Hals des Täters erheblich enger ziehen und quasi bei seiner nächsten Online- Aktivität sofort die aktuelle IP- Adresse des Benutzers liefern, die zu seiner Identifizierung notwendig ist. Dieses Beispiel sollte zumindest eindeutig bestätigen, dass das oben genannte Fallbeispiel des BKA, welches einzig eine IP- Adresse als Ermittlungsansatz liefern kann, offensichtlich nicht vollständig übermittelt wurde oder eben bei der Ermittlungstätigkeit in virtuellen Umgebungen Defizite herrschen.  

Einen weiteren Ansatz für erfolgversprechende Ermittlungtätigkeit liefern die Diensteanbieter bzw. Provider. Im Rahmen eigener Bestrebungen, ihre Netze von Botnetzaktivitäten zu bereinigen, werden teilweise umfangreiche und aufwendige Techniken angewendet. 

Um Spam-Mails von Rechnern einzudämmen, haben wir auf vielen hochfrequentierten WebSeiten sog. Spamtraps ausgelegt. Spammer ernten dies  „unsichtbar“ im Quelltext hinterlegte E-Mails ab, verteilen diese an Ihre Drohnen (infizierte Rechner) mit dem Befehl einen x-beliebigen Text zu versenden (z.B. Viagra-E-Mails). Da diese Spamtrap-E-Mail-Adressen auf einem regulären Mailserver entgegengenommen werden, können wir die E-Mail-Adresse anhand der Header-Daten analysieren und auch gegen Spamfilter laufen lassen, um False Positives auszuschließen, ohne den Port des Kunden aktiv zu überwachen.

Dieses Beispiel zeigt auf, dass ohne VDS auf Basis anderer technischer Abläufe, infizierte Rechner ausfindig gemacht werden können, die von Kriminellen ferngesteuert werden. Man kann auf diese Weise effizient die Anschlüsse identifizieren und weitere Maßnahmen ergreifen. Die Anschlussinhaber müssen dabei nicht die Täter sein und in den überwiegenden Fällen wissen diese Internetnutzer nicht einmal, dass ihre PC’s für kriminelle Handlungen missbraucht werden. Eine aktive VDS würde diese Leute jedoch zunächst zu Tatverdächtigen machen.

DDoS-Angriffe sind darauf ausgelegt eine Infrastruktur lahm zu legen. Wenn wir also angegriffen werden, ist die Absicht, unseren Service einzuschränken. Oftmals sind die Botnet-Herder (die „Besitzer“ eines Botnetzes) im Ausland angesiedelt und handeln gegen Geld, um z.B. Shop-Besitzer zu erpressen. Wenn diese Shop-Besitzer nun ihre Infrastruktur bei uns haben, ist dieser Angriff natürlich für uns auswertbar. Nach dem Herausfiltern des schädlichen Traffics, suchen wir in den Logfiles, die den Angriff auf unsere Infrastruktur abbilden, gezielt nach IP-Adressen aus unserem DSL-Netz.

Offensichtlich werden umfangreiche Auswertungen vorgenommen, um Schaden von der eigenen Netzwerkinfrastruktur abzuwenden. Die Provider sind also sehr wohl, auch ohne jegliche VDS, in der Lage, verdächtige Anschlüsse zu identifizieren.

Nun handelte es sich hierbei nicht um Anfragen wegen Straftaten, die von den Ermittlungsbehörden verfolgt werden, sondern um reine Sicherheitsmaßnahmen der Provider.

Abschließend sei zu bemerken, dass  wir einen so großen Aufwand sicher nicht machen würden, wenn kein entsprechendes Ergebnis damit zu erzielen wäre.

Dieser abschließende Satz in der Antwort meines Providers, wie dieser seine Kunden vor den üblichen Gefahren aus dem Internet zu schützen versucht, erbringt eigentlich den Nachweis, dass auch ohne VDS offensichtlich sehr erfolgreich Gefahrenabwehr im Internet betrieben werden kann. Die Provider besitzen demnach immer noch ausreichend Daten, um erfolgreich ermitteln zu können. Wo ist nun die Grenze zur Vorratsdatenspeicherung zu suchen? Auch dafür hat der Provider eine klare Antwort:

Die von uns gespeicherten Daten sind nicht mit den Daten für die Vorratsdatenspeicherung gleichzusetzen. Wir sind gesetzlich selbstverständlich abgesichert, bzw. ermächtigt und dürfen zur Sicherung unserer Infrastruktur Daten erheben, sofern wir hierzu einen trifftigen Grund haben und dies in einem vernünftigen Rahmen liegt. Die Vorratsdatenspeicherung sollte uns lediglich dazu verpflichten die Daten darüber hinaus zu speichern und noch länger für externen, behördlichen Zugriff vorzuhalten, als wir es intern benötigen. Unsere Daten erheben wir auch nicht pauschal, wie es bei der Vorratsdatenspeicherung der Fall ist, sondern nur bei berechtigtem Interesse.  Konkret:  wenn also so ein Vorfall  faktisch vorliegt.  Auch werden die IPs nach einer Kundenzuordnung wieder gelöscht. Bei Anfragen von Behörden können wir lediglich für einen Zeitraum von einigen Tagen Auskünfte über IPs geben. Ältere IPs können auch von uns nicht mehr überprüft werden.

Das bestätigt eindeutig und unmissverständlich, dass eine anlasslose und verdachtsunabhängige Vorratsdatenspeicherung überflüssig ist. Die Behörden müssen nur entsprechend zeitnah die Unterstützung der jeweiligen Diensteanbieter anfordern und in Anspruch nehmen. Das viel diskutierte „Quick Freezing“ gibt es im Prinzip schon längst, man nennt es eben nicht so bzw. hat es individuell modifiziert. Es besteht also keinerlei Bedarf, dass der Gesetzgeber neue Gesetzesentwürfe strickt oder gar der sinnlos gewordenen Vorratsdatenspeicherung neue Kleider anzieht. Durch die richtige und zügig umgesetzte Kooperation zwischen den Behörden und den Diensteanbietern ist das demokratiefeindliche Instrument der Vorratsdatenspeicherung verzichtbar. Wann endlich kommt das in den Köpfen der Politiker an?

Mögliche bürgerrechtsverträgliche Lösungsansätze:

Bevor man ein solches bürgerrechtlich bedenkliches Instrument einsetzen möchte, muss man sich darüber bewusst sein, dass es auch tatsächlich Alternativen gibt, welche etwas arbeitsintensiver sein mögen, aber durchaus das gleiche Ziel erreichen können, ohne gleich die gesamte Bevölkerung präventiv als potentielle Verbrecher zu deklarieren. Neben den bereits etablierten Methoden der Provider zur Botnetz- Bekämpfung, die ich bereits erwähnte, gibt es noch andere Ansätze. Man sollte § 13 Abs. 6 TMG zunächst etwas restriktiver formulieren, bevor man mit der großen Keule namens Vorratsdatenspeicherung die Büchse der Pandora öffnet. Was spricht eigentlich dagegen, dass man sich klar identifiziert, wenn man eine Dienstleistung eines anderen in Anspruch nimmt? Hier wäre eine Annäherung an das reale Leben angebracht. Einen weiteren Lösungsansatz könnte die Verlängerung der sogenannten Lease- Time bei den DHCP– Servern der Provider bewirken. In privaten Netzwerken ist es durchaus üblich, dass aufgrund dieser Konfiguration des Dynamic Host Configuration Protocols die IP- Adressen der Kunden länger unverändert bleiben. Die Zeitspanne lässt sich übrigens sehr genau einstellen. Weitere Möglichkeiten wird sowieso das allmählich eingeführte IPv6– Protokoll bieten…

 


%d Bloggern gefällt das: