Abschaffung der Störerhaftung: Meine Stellungnahme für den Landtag NRW

Der Ausschuss für “Ausschuss für Wirtschaft, Energie, Industrie, Mittelstand und Handwerk” des Landtags in NRW hat für den Mittwoch, 3.7. zu einer Sachverständigenanhörung geladen, um die Abschaffung der Störerhaftung vor allem zugunsten von Betreibern offener WLAN-Netze zu diskutieren. Diese Sitzung geht auf einen Antrag der Fraktion der PIRATEN zurück, die erreichen wollen, dass sich die Landesregierung auf Bundesebene dafür einsetzt. Ich habe zur Vorbereitung eine Stellungnahme geschrieben und nochmals auf den Gesetz-Entwurf des Digitale Gesellschaft e.V. hingewiesen, der meiner Meinung nach eine punktgenaue Lösung des Problems bietet – wenn man das denn politisch will.

Der Fragenkatalog des Landtags hat übrigens einen recht interessanten Spin: Da wird nämlich immer wieder darauf herumgeritten, ob die Abschaffung der Störerhaftung nicht zu Nachteilen bei der Verfolgung von Urheberrechtsverletzungen führen könne. Ich halte das für eine Scheindiskussion: Offene WLANs dürften aus vielerlei Gründen annähernd keine Bedeutung für das Filesharing oder Streaming urheberrechtlich geschützter Inhalte haben. Ich werde versuchen, das dem Ausschuss auch mündlich nochmals zu erläutern. Die wesentlichen Argumente finden sich aber schon in meiner Stellungnahme.

Lesenswert ist übrigens auch die Stellungnahme von Dr. Reto Mantz, der zu dem Thema schon vor ein paar Jahren eine Dissertation geschrieben hat, die sogar online verfügbar ist. Reinschauen lohnt sich!

Posted in Justiz, Law, Störerhaftung, Urheberrecht | 1 Comment

TKG-Novelle zur Bestandsdatenauskunft: meine Stellungnahme für den Landtag NRW

Der Bundestag hat am 21. März eine hoch umstrittene Novelle des Telekommunikationsgesetzes und weiterer Gesetze beschlossen. Nach Meinung der Mehrheit des Bundestages soll eine Vielzahl von Polizeibehörden und Geheimdiensten Zugriff auf bestimmte Daten bekommen, die Provider über ihre Kunden gespeichert haben. Insbesondere sollen die Behörden abfragen dürfen, wer sich hinter Telefonnummern und IP-Adressen verbirgt, und auf PINs für Handys und andere “Sicherungscodes” zugreifen.

Dieses Gesetz benötigt nun aber noch die Zustimmung des Bundesrats, um in Kraft treten zu können. Die Piraten-Fraktion im Landtag von NRW will dies verhindern und hat einen Entschließungsantrag eingebracht, mit dem der Landtag die Landesregierung auffordern soll, das Gesetz im Bundesrat abzulehnen.

Der Hauptausschuss des Landtags hat zu dem Antrag der Piraten eine Sachverständigen-Anhörung angesetzt, die am 18. April um 10.30h im Düsseldorfer Landtag stattfinden wird. Ich habe zur Vorbereitung eine schriftliche Stellungnahme vorbereitet.

Meiner Ansicht nach sind zwar einige der 12 Bedingungen, die die Piraten-Fraktion für eine Neuregelung der Bestandsdatenauskunft stellen will, überzogen. Aber trotzdem geht der Bundestag mit seiner Neuregelung deutlich zu weit. Verfassungsrechtlich wohl unzulässig dürfte etwa sein, dass die Behörden die Inhaber von IP-Adressen ohne jede neutrale Kontrolle bekommen sollen. Damit könnte jeder Polizeibeamte nach Belieben IPs abfragen – und dies sogar zur Verfolgung von Ordnungswidrigkeiten wie Falschparken oder An-den-Baum-Pinkeln (§ 118 Abs. 1 OWiG).

Wer sich genauer für die verfassungsrechtlichen Fragen interessiert: hier meine Stellungnahme.

Lesenswert ist außerdem die Stellungnahme von Prof. Dr. Matthias Bäcker für die Anhörung im Innenausschuss des Bundestages. Leider haben die Parlamentarier viele seiner Kritikpunkte nicht aufgegriffen. Insgesamt dürfte das Gesetz vor dem Bundesverfassungsgericht kaum vollständig Bestand haben.

Posted in Bundesverfassungsgericht, Datenschutz, Grundgesetz, Law | Comments Off

Skype likely to provide means of VoIP interception – eavesdropping by “state trojans” disproportionate

(German version)

The widely used voice-over-IP and video chat software Skype is likely to provide a way to monitor Skype-internal conversations. It seems that the answer to the lively debated question whether there is an alternative to the so-called “source-interception” (trojan-based eavesdropping) is “yes”, at least from a technical point of view. In order to avoid the infiltration of computer systems by monitoring software which infringes fundamental rights, enforcement agencies should enter into negotiations with Skype, now a Microsoft subsidiary, to strive for the practical implementation of less intrusive surveillance measures.

For years, rumors are circulating on the net that Skype software may include a monitoring interface for government agencies. These suspicions are underlined by the “small print” of the Skype Privacy Policy, which states (Section 3):

Skype, Skype’s local partner, or the operator or company facilitating your communication may provide personal data, communications content and/or traffic data to an appropriate judicial, law enforcement or government authority lawfully requesting such information. Skype will provide all reasonable assistance and information to fulfil this request and you hereby consent to such disclosure.

However a definitive proof for such a function has thus far not become known publicly.

Nevertheless, the system may already provide a technically simple way of listening to voice calls within the Skype network even without breaking the proprietary encryption of the audio data stream. The network operator, Skype, should be able to do this simply by secretly combining the “Skype In” and “Skype Out” features.

The “Skype In” and “Skype Out” call routing options are used to make calls from within the Skype network to the “normal” telephone network. For Skype-Out, the Skype user connects to an extension designated by a classic telephone number. With Skype-In things are just the other way round: A “normal” telephone number is assigned to a Skype user name, thus calls to this number are put through over the Skype network to a Skype client that has registered with the respective associated Skype username.

Both Skype-In and Skype-Out connections technically require the use of a gateway between the Skype network and the conventional telephone network. In detail two separate connections are established which are both linked to the gateway at one end, namely a Skype VoIP connection between the gateway and the Skype client as well as a normal telephone connection between the gateway and the called extension. The latter compound in turn requires that the encrypted Skype connection ends at the gateway: The – as far as is known, as such, secure – encryption therefore ends at the gateway to the traditional telephone network, where a plaintext audio signal can be retrieved (possibly digital, but certainly not encrypted).

It follows first that this setup allows for Skype-In and Skype-Out calls to be tapped at the gateway, at least from a technical perspective, with a “normal” telephone surveillance setup. From this finding, however, follows at once that even network-internal Skype conversations can be intercepted.

For this, the Skype network – always acting as a dispatcher between the clients involved while connecting two endpoints on the Skype network – just secretly instructs both clients not to establish a direct & encrypted connection between one another. Rather each one is forced to establish, without this fact being visible to the user, a connection directed to the regular telephone network gateway. This is technically pretty straightforward – the network only needs to indicate the gateway as the desired endpoint to the calling client instead of the actual addressee’s client. The called Skype client in turn is tricked into establishing a Skype-in ​​connection. Thirdly, both connections need to be switched together on the Skype gateway “in silence”, creating the impression that a highly secure direct connection had been established. In fact, however, the Skype operator sets up a a man-in-the-middle attack against Skype network internal connections, because at the intersection of the two “legs” of the connection, the Skype has full control over a plaintext audio signal. This signal can then by tapped by classic means of interception.

I have no information on whether Skype has already implemented this possibility. To me it seems logical, however, that if Skype-In and Skype-Out are considered as given, such eavesdropping could be achieved without any or at most minimal changes to the clients. The changes should essentially be to hide away any clues of Skype-In or Skype-Out from the user interface.

Technically speaking, this solution makes use of the Skype client being no open software but rather a “black box” from the user perspective. In particular, the user has no ways to independently authenticate the remote party. Thus Skype seems to be able to indicate arbitrary remote parties instead of the desired addressee as the endpoint of an outgoing connection – including the Skype Out / eavesdropping gateway.

Overall, it can therefore be assumed with great probability that the implementation of a monitoring interface for calls within the Skype network would require minimal changes at best, if such a function has not yet been implemented.

The fact that Skype already offers such a solution, or at least should easily be able to set up one, is also underlined by a patent granted to Microsoft in December 2009. The software maker, that has taken over Skype during the summer of 2011, filed a solution for the interception of voice-over-IP calls through targeted rerouting of the data stream via a “recording agent.” So it says in the abstract of the patent:

“Aspects of the subject matter Described start recording silently relate to communications. In aspects, data associated with a request to Establish a communication is modified to cause the communication to be established via a path that includes a recording agent.”

Just a coincidence?

I’m looking forward to your feedback about this!

If my thoughts are true, the use of trojans in order to monitor Skype traffic appears as disproportionate. Security authorities are rather required to set up technical and administrative details with Skype to put such tapping in place. Skype’s willingness to cooperate is rather likely as it’s now a Microsoft subsidiary, and German public administration spends many millions of euros each year on Microsoft software.

Posted in 0zapftis, Law | 5 Comments

Skype dürfte eine Abhörschnittstelle bieten – Quellen-TKÜ per Trojaner unverhältnismäßig

(English version)

Die weitverbreitete Voice-over-IP- und Video-Chat-Software Skype dürfte bereits zum gegenwärtigen Zeitpunkt eine Möglichkeit bieten, um auch netzinterne Voice-over-IP-Gespräche abhören zu können. Damit dürfte die seit einiger Zeit heiß diskutierte Frage, ob es zum Abhören von „Skype“ eine Alternative zur sogenannten „Quellen-TKÜ“ gibt, jedenfalls aus technischer Sicht mit „ja“ zu beantworten sein. Zwecks Vermeidung der grundrechtsbeeinträchtigenden Infiltrationen von Rechnersystemen mit staatlicher Überwachungssoftware sind die Ermittlungsbehörden aufgerufen, sich in Kooperation mit Skype – inzwischen einer Microsoft-Tochter – um die praktische Umsetzung dieser weniger eingriffsintensiven Überwachungsmaßnahme zu bemühen.

Bereits seit Jahren kursieren im Netz Gerüchte, dass die Skype-Software für staatliche Stellen einer Überwachungsschnittstelle beinhalten könnte. Hierauf deuten auch Passagen im "Kleingedruckten" des Skype-Dienstes hin, wo es heißt (Ziffer 7, Absatz 7):

Skype, der örtliche Skype-Partner oder der Betreiber bzw. Anbieter, der die Kommunikation ermöglicht, stellt personenbezogene Daten, Kommunikationsinhalte oder Verkehrsdaten Justiz-, Strafvollzugs- oder Regierungsbehörden zur Verfügung, die derartige Informationen rechtmäßig anfordern. Skype wird zur Erfüllung dieser Anforderung angemessene Unterstützung und Informationen bereitstellen, und Sie stimmen hiermit einer derartigen Offenlegung zu.

Ein definitiver Beweis für eine solche Funktion ist bisher allerdings nicht öffentlich bekannt geworden.

Gleichwohl dürfte Skype bereits nach der gegenwärtigen Ausgestaltung des Systems eine technisch einfache Möglichkeit bieten, Sprachtelefonie innerhalb des Skype-Netzes abzuhören, auch ohne die proprietäre Verschlüsselung des Audio-Datenstroms zu brechen. Dies dürfte sich durch eine heimliche Kombination der Funktionen „Skype-In“ und „Skype-Out“ durch den Netzbetreiber Skype realisieren lassen.

Die Funktionen Skype-In und Skype-Out dienen der Anbindung von Skype an das „normale“ Telefonnetz. Bei Skype-Out stellt der Nutzer aus dem Skype-Netz heraus eine Verbindung zu einem Anschluss unter Angabe einer klassischen Telefonnummer her. Bei Skype-In verhält es sich genau andersherum: Hier wird einem Skype-Benutzernamen eine „normale“ Telefonnummer zugewiesen; Anrufe auf diese Nummer werden über das Skype-Netz an den Skype-Client durchgestellt, der sich mit dem verknüpften Skype-Benutzernamen angemeldet hat.

Beide Skype-Verbindungen setzen technisch die Nutzung eines Gateways zwischen Skype-Netz und klassischem Telefonnetz voraus. Im Detail werden hierbei zwei separate Verbindungen hergestellt, die am Gateway verknüpft werden, nämlich eine echte Skype-VoIP-Verbindung zwischen Gateway und Skype-Client sowie eine normale Telefonverbindung zwischen Gateway und Telefonanschluss. Die letztere Verbindung wiederum setzt voraus, dass die verschlüsselte Skype-Verbindung am Gateway endet: Die – soweit bisher bekannt als solche sichere – Verschlüsselung endet also bestimmungsgemäß am Gateway zum klassischen Telefonnetz, wo ein einfaches Audio-Signal (ggf. wieder in digitaler, aber jedenfalls nicht kryptierter Form) übergeben wird.

Hieraus folgt zunächst, dass sich Skype-In- und Skype-Out-Gespräche am Gateway jedenfalls aus technischer Sicht mit einer „normalen“ Telefonüberwachung abgreifen lassen. Aus diesem Befund folgt jedoch zugleich, dass auch Skype-Gespräche, die „eigentlich“ allein innerhalb des Skype-Netzes geführt werden sollen, abgehört werden können.

Hierzu muss lediglich das Skype-Netz als Vermittlungsinstanz zwischen den beteiligten Clients beide Endpunkte beim Verbindungsaufbau heimlich anweisen, gerade keine verschlüsselte Direkt-Verbindung zwischen den Clients aufzubauen, sondern jeweils eine scheinbar aus dem Skype-Netz heraus gerichtete Verbindung ins normale Telefonnetz. Dazu ist es technisch völlig ausreichend, dem anrufenden Client als Endpunkt statt des Clients des Adressaten das Skype-Out-Gateway anzugeben und zwischen diesen beiden Punkten eine verschlüsselte Verbindung aufzubauen. Dem angerufenen Skype-Client wiederum wird eine Skype-In-Verbindung (also vom Gateway zu ihm) vorgespiegelt. Schaltet man nun am Skype-Gateway wiederum „in aller Stille“ beide Verbindungen zusammen, so ergibt sich dem Anschein nach eine hochsichere Skype-Direktverbindung. Tatsächlich aber lässt sich auf diese Weise seitens des Skype-Betreibers eine Man-in-the-middle-Attacke gegen netzinterne Skype-Verbindungen realisieren. Denn an der Schnittstelle beider „Beine“ der Verbindung liegt unter voller Kontrolle des Gateway-Betreibers Skype ein unverschlüsseltes Audio-Signal an, das sich technisch problemlos abgreifen und etwa im Rahmen einer TKÜ-Maßnahme ausleiten ließe.

Mir liegen keine Erkenntnisse darüber vor, ob Skype diese Möglichkeit bereits implementiert hat und auch Sicherheitsbehörden oder Geheimdiensten tatsächlich anbietet. Mir erscheint es jedoch logisch zwingend, dass – wenn Skype-In und Skype-Out als gegeben betrachtet werden – eine solche Abhörmöglichkeit ganz ohne oder allenfalls mit minimalen Änderungen an den Clients realisiert werden könnte. Die Änderungen dürften im wesentlichen darin bestehen, auf die Kennzeichnung der Verbindung als Skype-In- bzw. Skype-Out-Gespräch auf der Benutzeroberfläche zu verzichten.

Technisch betrachtet macht sich diese Lösung zunutze, dass die Skype-Clients gerade keine offene Software sind, sondern aus der Nutzerperspektive eine „black box“ darstellen. Insbesondere kann der Nutzer die Gegenstelle, mit der er kommuniziert, nicht autonom vom Netzbetreiber Skype authentifizieren. Somit dürfte Skype beliebige Gegenstellen anstatt des gewünschten Adressaten als Endpunkt einer ausgehenden Verbindung angeben können – u.a. auch das Skype-Out-Gateway anstelle des tatsächlich gewünschten Adressaten.

Insgesamt kann daher mit großer Wahrscheinlichkeit angenommen werden, dass die Implementierung einer Abhörschnittstelle auch für Gespräche innerhalb des Skype-Netzes aus Sicht des Netzanbieters Skype allenfalls minimale Änderungen erfordern würde, sofern eine solche Funktion nicht längst implementiert ist.

Darauf, dass Skype eine solche Lösung bereits anbietet oder doch problemlos in der Lage sein dürfte, eine solche einzurichten, weist auch ein Patent der Firma Microsoft aus dem Dezember 2009. Der Software-Konzern, der Skype im Sommer 2011 übernommen hat, hat sich darin ein Konzept für das Abhören von Voice-Over-IP-Gespräche mittels gezielter Umleitung des Datenstroms über einen „recording agent“ schützen lassen. So heißt es in der Kurzbeschreibung des Patents:

"Aspects of the subject matter described herein relate to silently recording communications. In aspects, data associated with a request to establish a communication is modified to cause the communication to be established via a path that includes a recording agent."

Nur Zufall?

Ich freue mich über Feedback zu diesem Gedankenspiel!

Sollten meine Überlegungen zutreffen, dürfte sich der Einsatz von Trojanern zwecks Überwachung des Skype-Verkehrs als unverhältnismäßig erweisen. Vielmehr wären die Sicherheitsbehörden gehalten, mit Skype die technischen und administrativen Details eines solchen Zugriffs abzustimmen, anstatt Quellen-TKÜ gegen Skype in Betracht zu ziehen. Die Bereitschaft hierzu dürfte bei der Microsoft-Tochter Skype durchaus zu wecken sein, hält man sich vor Augen, dass die deutsche öffentliche Verwaltung Jahr für Jahr viele Millionen Euro für Microsoft-Software ausgibt.

Posted in 0zapftis, Datenschutz, Grundgesetz, Justiz, Law, Netz | 29 Comments

Aufdeckung des #0zapftis-Skandals (natürlich) nicht strafbar

In der heutigen Aktuellen Stunde des Deutschen Bundestages vertrat ein Redner die Auffassung, die handelnden Personen des CCC könnten sich der Strafvereitelung schuldig gemacht haben, indem sie den verfassungswidrigen Einsatz von Staatstrojanern sowie die Software selber öffentlich gemacht haben.

Diese Idee politisch zu bewerten steht mir nicht zu; rechtlich jedenfalls kann dies nicht überzeugen.

Eine Strafbarkeit wegen Strafvereitelung nach § 258 StGB würde direkten Vorsatz voraussetzen, die Bestrafung Dritter zu verhindern: Die handelnden Personen müssten also gewollt oder als sicher vorausgesehen haben, dass konkrete Ermittlungen gefährdet werden.

Nun kenne ich die Interna des CCC natürlich nicht. Allerdings liegt dieser Gedanke fern: Von Einzelheiten der mit dem betroffenen Trojaner geführten Ermittlungsverfahrens wussten die CCCler offenbar nichts, denn die Festplatten waren ihnen durchweg zugespielt worden, ohne dass sie dabei von irgendeinem Verfahrensbezug erfahren hätten. Die einzige Ausnahme bildet das Landshuter Verfahren – hier allerdings war der Trojaner-Einsatz bereits beendet, sodass auch hier keine Beweiserhebungen mehr vereitelt wurden. Was etwaige andere Verfahren angeht, in denen dieselbe Software eingesetzt wurde, so hat der CCC durch rechtzeitige Information des Bundesinnenministeriums gerade verhindert, dass die Ermittlungen z.B. durch eine Warnung eines Antivirusprogramms aufgedeckt wurden.

Vor allem aber scheint mir rechtlich folgender Gedanke von Bedeutung: Sicherlich hat die Aufdeckung des vom CCC analysierten Trojaners dazu geführt, dass dieser nicht mehr eingesetzt werden kann. Eine Strafvereitelung liegt darin aber schon deshalb nicht, weil die mit dieser Software erhobenen “Beweise” ohnehin strafprozessual unverwertbar sein dürften, sodass aus ihrer Nichterhebung auch kein Schaden für die Strafverfolgung entsteht.

Denn jenseits der Debatte um die – ebenfalls zu verneinende – Zulässigkeit der Quellen-TKÜ nach der StPO ermöglichte der konkret veröffentlichte Trojaner “Application Shots”. Das aber wäre nur im Rahmen einer Online-Durchsuchung rechtlich zulässig gewesen, für die es in der Strafprozessordnung eindeutig – und insoweit auch unstreitig – keine Grundlage gibt. Außerdem hat die Analyse des CCC offen gelegt, dass der Trojaner über eine verfassungsrechtlich in keinem Falle zulässige Funktion zum beliebigen Manipulieren des Zielsystems verfügte. Der vieltausendfache Einsatz der “Application Shot”-Funktion verletzte schließlich auch zumindest im Landshuter Verfahren die Vorgaben des ermittlungsrichterlichen Beschlusses.

Nun kennt die StPO zwar kein generelles Verwertungsverbot für rechtwidrig erhobene Beweise; vielmehr geht der BGH von einer Abwägung zwischen Rechtsverstoß und Schwere des Tatvorwurfs aus, soweit kein gesetzliches Verwertungsverbot eingreift. Angesichts der beispiellosen Schwere der Rechtsverstöße, bei denen klare Vorgaben des BVerfG missachtet und diese Verstöße zum Teil auch noch in der Software bewusst verschleiert wurden, dürfte die Abwägung hier jedenfalls ergeben, dass die per Trojaner möglicherweise zu erlangenden “Beweise” ohnehin nicht hätten verwertet werden dürfen. Dann aber macht es keinen Unterschied, ob gleich ihre Erhebung vereitelt wird – eine Strafvereitelung scheidet aus.

Schließlich bleibt auch daran zu denken, dass der Einsatz der Trojaner seinerseits rechtwidrig war – dann wären die CCCler, die deren weiteren Einsatz verhinderten, je nach den genauen Umständen des Einzelfalls auch wegen Nothilfe (§ 32 StGB) gerechtfertigt.

Insofern dürften sich die Trojaner-Buster vom CCC zurücklehnen können – und die Ermittler ebenfalls, können und müssen sie doch entsprechende Verfahren gegen die beteiligten Personen sogleich wieder einstellen (§ 170 Abs. 2 StPO). Dies dürfte zu einiger Erleichterung führen, denn welcher Staatsanwalt mag sich schon dem naheliegenden Vorwurf aussetzen, er verfolge ausgerechnet diejenigen, die sich für verfassungsmäßige Zustände bei den Strafverfolgungsbehörden engagieren? Aus der Sicht der Öffentlichkeit würde ein Verfahren gegen die CCCler jedenfalls den Rechtsstaat geradezu auf den Kopf stellen.

Posted in 0zapftis, Grundgesetz, Justiz, Law | 18 Comments

Klarer Fall

Normalerweise schreibt die Geschäftsstelle auf den Aktendeckel ein Stichwort worum’s geht … dabei kann sie aber auch an Grenzen stoßen ;-)

Posted in Justiz, Law, Strafvollzug | 3 Comments

Quellen-TKÜ – ein kleines Einmaleins (nicht nur) für Ermittlungsrichter

Im Rahmen der Diskussion um die vom CCC enttarnten „Staatstrojaner“ taucht immer wieder das Schlagwort „Quellen-TKÜ“ auf. Ich habe dazu am Dienstag im Küchenradio einige Hintergründe erläutert; Thomas Stadler hat die Sach- und Rechtslage in seinem Blog ebenfalls sehr klar zusammengefasst.

Was heißt aber das nun konkret für den Richter oder Staatsanwalt, der mit der Frage konfrontiert ist, ob er eine solche Maßnahme beantragen oder anordnen soll Dies hat besondere praktische Relevanz auch vor dem Hintergrund, dass die Humanistische Union bereits angedeutet hat, dass Strafverfahren gegen alle diejenigen einzuleiten sein werden, die sich an solchen Eingriffen in Zukunft beteiligen sollten.

Hinweis: Dieser Text kann als “Buermeyer http://ijure.org/wp/archives/756″ dauerhaft zitiert werden; ich werde nach der Veröffentlichung keine inhaltlichen Änderungen mehr vornehmen. Etwaige Updates werden eine neue URL („Internet-Adresse“) bekommen.

Aus meiner Sicht sind folgende Prüfungsschritte zu beachten:

1. Prüfungsebene: Rechtsgrundlage?

Die „Quellen-TKÜ“ wird nicht selten als besonderer Fall der „klassischen“ Telekommunikationsüberwachung dargestellt. Aus technischer Sicht allerdings handelt es sich um denselben Eingriff wie bei einer Online-Durchsuchung: Sowohl bei der Quellen-TKÜ als auch bei weitergehenden Maßnahmen wird staatlich veranlasst eine Überwachungssoftware („Trojaner“) auf dem Zielsystem aufgespielt, sodass dessen Integrität verletzt wird.

Der Unterschied liegt allein in der Art der Daten, die bei einer Quellen-TKÜ erhoben werden dürfen – wohlgemerkt nicht: erhoben werden können! Denn ist das Zielsystem einmal infiltriert, sind Erhebungen, die über das bloße Abhören von Telefonie hinausreichen, nur noch ein Frage des Nachladens von Modulen – das hat der CCC in seiner Analyse des „Staatstrojaners“ eindrucksvoll dargelegt.

Dies führt bei der Frage nach einer möglichen Rechtsgrundlage für eine Quellen-TKÜ per Trojaner zu zwei gedanklichen Prüfungsschritten, wobei man bei beiden bereits zur Unzulässigkeit gelangen kann:

a) spezifische Ermächtigungsgrundlage?

Da es bei der Quellen-TKÜ um die Überwachung von Telekommunikation geht, liegt auf den ersten Blick der Rückgriff auf § 100a StPO sowie die verfahrensrechtliche Begleitnorm des § 100b StPO nahe. Allerdings können diese Normen lediglich Eingriffe in die Telekommunikationsfreiheit (Art. 10 Abs. 1 GG) rechtfertigen, nicht aber in die Integrität und Vertraulichkeit informationstechnischer Systeme – dies ergibt sich eindeutig aus der Entscheidung des Bundesverfassungsgerichts zur Online-Durchsuchung und wird auch soweit ersichtlich nicht bestritten.

In der derselben Entscheidung hat das Bundesverfassungsgericht aber weiter ausgeführt, dass nur dann überhaupt eine Quellen-TKÜ – und keine Online-Durchsuchung – vorliegt,

„wenn sich die Überwachung ausschließlich auf Daten aus einem laufenden Telekommunikationsvorgang beschränkt. Dies muss durch technische Vorkehrungen und rechtliche Vorgaben sichergestellt sein.”

Aus der vom BVerfG aufgestellten Forderung nach rechtlichen Vorgaben wird in der Rechtswissenschaft nahezu einhellig abgeleitet (siehe etwa Albrecht in JurPC; Buermeyer/Bäcker HRRS 2009 S. 433; Becker/Meinicke StV 2011, 50 jeweils mit zahlreichen weiteren Nachweisen), dass für eine Quellen-TKÜ eine spezielle und gesetzliche Regelung nötig wäre, die genau diese rechtlichen Vorgaben enthält.

Da § 100a StPO und § 100b StPO mit keinem Wort auf die Besonderheiten der Quellen-TKÜ eingehen und insbesondere keine Schutzmaßnahmen regeln, um die Begrenzung auf Telekommunikation durch „technische Vorkehrungen“ sicherzustellen, verbietet sich ein Rückgriff auf diese Normen nach meiner Ansicht schon auf dieser ersten Prüfungsstufe. Wenn einzelne Richter dies anders sehen, so liegt darin eine Selbstermächtigung der Justiz, die bereits im Interview mit Netzpolitik.org als höchst fragwürdig kritisiert wurde.

b) „Annexkompetenz“

Einzelne, aber durchaus einflussreiche Richter haben demgegenüber vertreten (etwa im “Meyer-Goßner”), dass gerade keine spezifische gesetzliche Grundlage für die Quellen-TKÜ notwendig sei: Die Ermächtigung, den Zielcomputer mit einem Trojaner zu infiltrieren, sei gleichsam als unerhebliche Begleiterscheinung einer Telekommunikationsüberwachung auch auf der Grundlage der §§ 100a, 100b StPO möglich, die sonst eigentlich nur zu TKÜ-Maßnahmen durch Provider ermächtigen.

Das Stichwort lautet hier „Annex-Kompetenz“: Wenn der Richter auf dieser Grundlage eine TKÜ anordnen dürfe, dann sei es unproblematisch, als „kleines Anhängsel“ zur TKÜ auch grünes Licht für einen Trojaner-Einsatz zu geben.

So zweifelhaft diese Ansicht immer schon war, so haltlos ist sie nun, da der CCC aufgedeckt hat, welche dramatischen Folgen der Trojaner-Einsatz für die Privatsphäre des Betroffenen, aber auch für die Datensicherheit des Zielsystems hat. Eine normale TKÜ und eine Quellen-TKÜ sind – bei aller Namensähnlichkeit – im Hinblick auf die Schwere der Eingriffe in die Rechte des Betroffenen, aber auch aufgrund der mit einem Trojaner stets verbundenen Risiken schlicht nicht zu vergleichen. Fast schon prophetisch mutet die Warnung des Bundesverfassungsgerichts in der Online-Durchsuchungs-Entscheidung an, wo es bereits 2008 ausgeführt hat (Randnummer 188 und 189):

“Wird ein komplexes informationstechnisches System zum Zweck der Telekommunikationsüberwachung technisch infiltriert (“Quellen-Telekommunikations­überwachung”), so ist mit der Infiltration die entscheidende Hürde genommen, um das System insgesamt auszuspähen. Die dadurch bedingte Gefährdung geht weit über die hinaus, die mit einer bloßen Überwachung der laufenden Telekommunikation verbunden ist. Insbesondere können auch die auf dem Personalcomputer abgelegten Daten zur Kenntnis genommen werden, die keinen Bezug zu einer telekommunikativen Nutzung des Systems aufweisen.

Nach Auskunft der in der mündlichen Verhandlung angehörten sachkundigen Auskunftspersonen kann es im Übrigen dazu kommen, dass im Anschluss an die Infiltration Daten ohne Bezug zur laufenden Telekommunikation erhoben werden, auch wenn dies nicht beabsichtigt ist. In der Folge besteht für den Betroffenen – anders als in der Regel bei der herkömmlichen netzbasierten Telekommunikations­überwachung – stets das Risiko, dass über die Inhalte und Umstände der Telekommunikation hinaus weitere persönlichkeitsrelevante Informationen erhoben werden.“

Dem wäre – eigentlich – nichts hinzuzufügen. Umso weniger mag mir einleuchten, wie man die überaus heikle Infiltration des Zielsystems zur verfassungsrechtlich unerheblichen Annexmaßnahme zur TKÜ herunterdefinieren kann.

c) Fazit

Nach der hier vertretenen Ansicht fehlt es damit schon an einer tauglichen Ermächtigungsgrundlage für eine Quellen-TKÜ per Trojaner.

2. Prüfungsebene: Verhältnismäßigkeit?

Wer gleichwohl auf §§ 100a, 100b StPO zurückgreifen will, der muss als Richter oder Staatsanwalt von Amts wegen die Verhältnismäßigkeit der Telekommunikationsüberwachung prüfen. Diese Prüfung umfasst auch die Wahl der technischen Mittel und damit insbesondere die Frage, ob nicht andere, weniger einschneidende Möglichkeiten zur TKÜ zur Verfügung stehen.

Naheliegend ist hier insbesondere die Möglichkeit, mit dem jeweiligen Provider zusammenzuarbeiten: Ebenso wie eine „normale“ TKÜ durch eine Anweisung z.B. an die Deutsche Telekom umgesetzt wird, so könnte sich die Polizei auf der Grundlage eines „normalen“ TKÜ-Beschlusses etwa an die Betreiberfirma von Skype wenden, um dort einen bestimmten Anschluss bzw. Benutzernamen überwachen zu lassen. Ob diese Möglichkeit konkret besteht, ist zwar nicht zu 100% sicher – Skype gibt dazu offiziell keine Stellungnahme ab. Andererseits fördert eine Google-Suche nach „skype lawful interception“ eine Vielzahl von Treffern zutage, die diese Möglichkeit nahelegen. Thomas Stadler verweist ebenfalls auf diese Möglichkeit, die in den Datenschutzbedingungen von Skype ausdrücklich erwähnt ist. Österreichische Behörden wollen über diese Möglichkeit verfügen. Auch auf Heise.de wurde bereits über diese Möglichkeit berichtet.

Skype aber ist ein auch in Luxemburg – also der EU – ansässiges Unternehmen und damit problemlos zu erreichen. Aus der Sicht des Richters oder Staatsanwalts betrachtet kann dies nur bedeuten, dass unter Verhältnismäßigkeitsgesichtspunkten zunächst als milderes Mittel gegenüber einer Quellen-TKÜ zu versuchen ist, eine klassische TKÜ unter Einschaltung des Providers – etwa Skype – umzusetzen. Dies ist zum einen der in § 100b Abs. 3 StPO gesetzlich vorgesehene Weg; zum anderen ist dies – weil es auf den erheblichen Eingriff in das Zielsystem per Trojaner verzichtet – auch aus verfassungsrechtlicher Perspektive der mildere Eingriff. Erst wenn eindeutig feststeht und auch aktenkundig ist, dass – beispielsweise – Skype eine richterliche Genehmigung zur TKÜ gleichwohl nicht umsetzt, dürfen weitere Schritte überhaupt in den Blick genommen werden.

In der Praxis bedeutet dies, dass ein „primäres“ Ansinnen, eine Quellen-TKÜ einzuleiten, von Staatsanwaltschaft und Ermittlungsrichter zurückzuweisen wäre. Vielmehr ist – sofern die Voraussetzungen im Übrigen vorliegen – eine „normale“ TKÜ zu beantragen oder anzuordnen, ggf. gegenüber dem jeweiligen Voice-over-IP-Betreiber. Erst falls diese Maßnahme nachweislich gescheitert ist, mag auf einer weiteren Eskalationsstufe an das Infiltrieren eines Rechners zu denken sein.

3. Prüfungsebene: technische Umsetzung

Gesetzt den Fall, es stehe fest, dass tatsächlich keine andere technische Lösung zur Verfügung steht, und unter der weiteren Voraussetzung, dass man §§ 100a, 100b StPO als Rechtsgrundlage heranziehen will, so stellt sich schließlich die komplexe Frage, wie die Vorgaben des Verfassungsgerichts zur Begrenzung einer Quellen-TKÜ praktisch umzusetzen sind (nochmals in den Worten des BVerfG):

Art. 10 Abs. 1 GG ist hingegen der alleinige grundrechtliche Maßstab für die Beurteilung einer Ermächtigung zu einer “Quellen-Telekommunikationsüberwachung”, wenn sich die Überwachung ausschließlich auf Daten aus einem laufenden Telekommunikationsvorgang beschränkt. Dies muss durch technische Vorkehrungen und rechtliche Vorgaben sichergestellt sein.”

Das allerdings ist keine belanglose Formalie: An dieser Begrenzung hängt verfassungsrechtlich die ganze Konstruktion der Quellen-TKÜ. Scheitert die Begrenzung, so wird stattdessen eine illegale Online-Durchsuchung durchgeführt und das Grundrecht auf Integrität und Vertraulichkeit des selbstgenutzten informationstechnischen Systems (“Computer-Grundrecht”) verletzt. Richter und Staatsanwalt müssen daher alles in ihrer Macht Stehende tun, um dies wirksam zu kontrollieren. Auf Zusicherungen der Polizei alleine wird man hier keinesfalls vertrauen können, zumal nicht sicher ist, ob die Behörden ihrerseits von den jeweiligen Herstellern der Software vollständig und zutreffend informiert werden. Die vom CCC analysierten Fälle legen eher nahe, dass zumindest die Justiz, eventuell auch die Polizei selbst gar nicht wussten, welches „digitale Ungeziefer“ (FAZ) sie den Beschuldigten eigentlich auf die Festplatte spielen ließen. Für eine leidlich rechtsstaatliche Infiltration eines Zielsystems lassen sich daher folgende Mindestanforderungen formulieren:

  • exakt die jeweils eingesetzte Software muss anhand von Quelltext & ausführbaren Dateien (“Binaries”) von einer unabhängigen Stelle analysiert worden sein
  • diese Kontrolle muss im Einzelfall erfolgen und zweifelsfrei sicherstellen, dass exakt die jeweils eingesetzte Software den gesetzlichen Anforderungen genügt
  • hierzu müssen sachverständige Stellungnahmen der Kontrollstelle im Einzelfall eingeholt werden und dem Richter bei der Entscheidungsfindung vorliegen, sodass er „Punkt für Punkt“ abhaken kann, ob alle Voraussetzungen eingehalten sind

4. Fazit

Jedenfalls im Rechtsstaat des Grundgesetzes ist eine Quellen-TKÜ nur unter größten Schwierigkeiten in verfassungsmäßiger Weise umzusetzen. Es liegt in der Verantwortung aller Richterinnen und Richter, Staatsanwältinnen und Staatsanwälte, sich zum Schutze unserer Verfassungsordnung aktiv dafür einzusetzen, dass die oben geschilderten Mindestanforderungen rechtlicher und technischer Art nicht „im Eifer des Gefechts“ hintangestellt werden.

Straftaten sind – leider – allgegenwärtig, so sehr wir uns auch für die Strafverfolgung engagieren. Rechtsbrüche seitens der Strafverfolgungsbehörden dürfen aber niemals hingenommen oder gar befördert werden. Sonst höhlen wir den Rechtsstaat aus, den wir doch gerade schützen wollen.

Posted in 0zapftis, Bundesverfassungsgericht, Grundgesetz, Justiz, Law | 20 Comments

Küchenradio zum 0zapftis-Skandal

Auf Einladung des Teams vom Küchenradio werde ich heute Abend ab 20:30h versuchen, ein wenig Licht in die technischen und rechtlichen Hintergründe des [Staats|Bundes|Bayern]-Trojaners zu bringen.

Update: Die Sendung ist jetzt auch als MP3 online. Danke an Philip & Andreas, es war mir eine Freude!

Posted in 0zapftis, Datenschutz, Grundgesetz, Justiz, Law, Netz | 2 Comments

Verteidiger: Einer der Trojaner des CCC wurde vom LKA Bayern eingesetzt

Im Januar 2011 hat ijure.org Unterlagen von Rechtsanwalt Patrick Schladt veröffentlicht, die einen illegalen Trojaner-Einsatz durch das bayerische Landeskriminalamt nachweisen. Ergänzend dazu erklärte Rechtsanwalt Schladt heute in einer Pressemitteilung:

Einer der vom CCC dokumentierten „Staatstrojaner“ wurde auf der Festplatte eines meiner Mandanten gefunden, die ich im Einvernehmen mit dem Mandanten an einen öffentlich bekannten Vertreter des CCC habe übergeben lassen. Es handelt sich dabei um den Fall des „Screenshot-Trojaners“, der bereits im Frühjahr diesen Jahres Gegenstand der öffentlichen Diskussion war, siehe

http://ijure.org/0zapftis

Die Beweiskette von mir zum CCC ist dabei lückenlos dokumentiert.

Wie bereits Ende Januar veröffentlicht wurde, umfasste die – ihrerseits nach Meinung von Verfassungsrechtlern bereits rechtswidrige – richterliche Genehmigung nur das Abhören der Telekommunikation. Trotzdem haben die Ermittlungsbehörden auch von der nunmehr eindeutig verfassungswidrigen Screenshot-Funktion Gebrauch gemacht. Die auf diese illegale Weise erlangten Beweismittel wurden zum Gegenstand der Ermittlungsakte gemacht.

Aufgespielt wurde der Trojaner bei Gelegenheit einer Kontrolle meines Mandanten durch den Zoll auf dem Münchener Flughafen. Auch wenn die Maßnahme selbst von bayerischen Behörden kontrolliert wurde, so steht für mich außer Frage, dass Stellen des Bundes – etwa der Zoll bzw. das Zollkriminalamt – im Wege der Amtshilfe beteiligt waren. Hierfür spricht aus meiner Sicht nicht zuletzt, dass dieselbe Software aus verschiedenen Bundesländern zum CCC gelangte.

Nachdem ich aufgrund der Aktenlage erkannt hatte, dass Screenshots angefertigt worden waren, war mir bewusst, dass hier durch einen Trojaner der Laptop manipuliert war.

Ich bedanke mich bei dem CCC, dass dieser bereit war – quasi als Gutachter – die Fähigkeit des Trojaners zu analysieren. Durch diese Analyse konnte möglicherweise eine starke Kompetenzüberschreitung bayrischer Behörden aufgedeckt werden.

Landshut, den 10. Oktober 2011

Rechtsanwalt Patrick Schladt

Posted in 0zapftis, Datenschutz, Grundgesetz, Justiz, Law, Netz | 32 Comments

ein kurzer Blick auf cubadiplomatica.cu

Im Netz macht heute ein Link die Runde, der ein sehr bedenkliches Licht auf die Vorsitzenden der Linkspartei wirft: Anscheinend haben Gesine Lötzsch und Klaus Ernst dem kubanischen Diktator Fidel Castro “im Namen der Partei DIE LINKE … anlässlich Deines 85. Geburtstages unsere herzlichsten Glückwünsche” übermittelt:

Die Ex-SED-PDS feiert einen Despoten? Hässlich, zumal in der heißen Phase des Berliner Wahlkampfs – und zumal in einer Stadt, die eine soziale Politik zwar gut vertragen kann, aber auch wahrlich genug schmerzliche Erfahrungen mit dem Stalinismus machen musste.

Es fragt sich nur, ob der angesichts seiner vorgestrigen Formulierungen fast wie Realsatire anmutende Text überhaupt authentisch ist: Eigentlich kann ja kaum bei Trost sein, wer soetwas schreibt.

Wie der Text auf die Seite www.cubadiplomatica.cu gelangt ist, ob er überhaupt autorisiert ist, das lässt sich so einfach nicht klären. Wohl aber hat es den Anschein, dass die Seite selbst eine offizielle Seite der kubanischen Regierung ist: Die Domain cubadiplomatica.cu jedenfalls ist laut der kubanischen Registrierungsstelle registriert auf das Außenministerium in Havanna:

Ministerio de Relaciones Exteriores, MINREX
Calzada No. 360 e/ G y H, Vedado, Plaza, La Habana, Cuba

Der Server selbst steht laut Traceroute zwar in Kanada, soweit er sich tracen lässt:

:~$ traceroute www.cubadiplomatica.cu
traceroute to embacu.cubadiplomatica.cu (173.195.56.121), 64 hops max, 52 byte packets
1 * * *
2 * * *
3 * * *
4 88-134-192-2-dynip.superkabel.de (88.134.192.2) 17.607 ms 7.223 ms 7.583 ms
5 88-134-196-230-dynip.superkabel.de (88.134.196.230) 7.527 ms 7.243 ms 6.446 ms
6 83-169-128-22.static.superkabel.de (83.169.128.22) 7.940 ms 7.934 ms 7.737 ms
7 83-169-128-25.static.superkabel.de (83.169.128.25) 7.843 ms 7.962 ms 10.314 ms
8 xe-1-2-0.ber10.ip4.tinet.net (77.67.66.193) 7.909 ms 16.873 ms 7.292 ms
9 xe-2-0-0.nyc22.ip4.tinet.net (89.149.185.77) 107.303 ms
xe-7-0-0.nyc22.ip4.tinet.net (89.149.185.81) 110.364 ms
xe-2-0-0.nyc22.ip4.tinet.net (89.149.185.77) 106.859 ms
10 telus-gw.ip4.tinet.net (77.67.79.250) 99.562 ms 98.961 ms
telus-gw.ip4.tinet.net (77.67.68.42) 105.833 ms
11 otwaonpldr02.bb.telus.com (154.11.6.196) 118.664 ms 117.387 ms 114.668 ms
12 209.29.17.185 (209.29.17.185) 182.091 ms 187.712 ms 185.113 ms
13 72.1.192.46 (72.1.192.46) 185.129 ms 185.703 ms 183.469 ms
14 * * *

Das muss aber nichts heißen – laut Wikipedia verfügt Kuba kaum über eine vernünftige Anbindung an das Internet, sodass eine auch physisch in Kuba betriebene Seite vermutlich deutlich schlechter erreichbar wäre als eine Seite, deren Server in Kanada steht.

Insofern spricht aus technischer Sicht nichts dagegen, dass die Seite der kubanischen Botschaft in Deutschland offiziell ist. Bliebe nur zu klären, aus wessen Feder der Text stammt, der den beiden Linkspartei-Chefs noch einige Kopfschmerzen bereiten dürfte.

Posted in Netz | Comments Off