30.03.2008: Das Bundesinnenministerium will eine Bundes-Verantwortung für die IT im Grundgesetz verankern und ein Koppelnetz für die Landesverwaltungen einrichten. Sein Ziel ist die Förderung des eGovernments.

Das wirkliche Problem ist jedoch nicht die Koppelung von Landesnetzen, sondern die Schaffung einer funktionstüchtigen Überwachung der Authentifizierung und Rechtesteuerung für eine Vielzahl von Teilnehmern.
 

 
Der Beitrag spricht die Konzepte zur IT-Sicherheit, die qualifizierte digitale Signatur und schließlich die Datenverbünde der Polizei und der Justiz an.

Das Fazit beschäftigt sich deshalb auch mit den Fachverfahren in der Justiz, dem elektronischen Rechtsverkehr und dessen besondere Ausprägung in dem XJustiz-Datensatz für die Strafjustiz.
 

 
29.03.2008: In der Jahrespressekonferenz am 28.03.2008 wiederholte das BKA die Zahlen zur gestiegenen Internetkriminalität. Außerdem betont es, dass die Organisierte Kriminalität jeden technischen Fortschritt nutze und ihre Abschottungsmethoden immer mehr verfeinere (1). Internet-Gangster ... spähten ganze digitale Identitäten aus ... Der Grund sei, dass die Täter immer mehr Nutzungsmöglichkeiten bis hin zur Manipulation von Aktienkursen entdeckten.

Manipulationen von Geldautomaten nahmen im vergangenen Jahr um 50 Prozent auf 1349 Fälle zu. Vermehrt kommen auch die Kartenterminals an Ladentheken (Point of Sale-Terminals, POS) ins Visier.
 

 
Bei dieser Form des Skimmings werden in aller Regel zunächst POS-Terminals gestohlen, deren elektronisches Innenleben sich aber zerstört, wenn man das Gehäuse beschädigungsfrei öffnet. Die intakte Elektronik lässt sich nur mit einem Trick manipulieren. Die neu zusammen gebauten Geräte werden dann bei einem weiteren Einbruch angeschlossen und melden den Tätern die Zahlungsverkehrsdaten.

(1) BKA: Internet-Täter spähen umfassend private Daten aus, Heise online 28.03.2008
 

 
29.03.2008: Nach fast zweijähriger Pause ist jetzt die jüngste Datenschleuder des Chaos Computer Clubs - CCC - erschienen. Der gedruckten Ausgabe in einer Auflage von 4.000 Stück sind auf einer Folie die Fingerabdrücke des Bundesinnenministers beigefügt. Mit dieser spektakulären Aktion wendet sich der gegen die Einführung biometrischer Merkmale in Ausweispapieren (1). Ihre Leser fordert die Datenschleuder außerdem auf, auch die Fingerabdrücke anderer Politiker zu sammeln, um damit ein "biometrisches Sammelalbum" zu erstellen.

Als -Ausgabe ist das Heft noch nicht verfügbar.
 

(1) Torsten Kleinz, CCC publiziert die Fingerabdrücke von Wolfgang Schäuble, Heise online 29.03.2008

Schäubles Fingerabdruck: Der Bundesinnenminister hat nichts zu verbergen, Heise online 31.03.2008

 
29.03.2008: Bruce Schneier im Interview mit (1):

Ich denke, was (Kaspersky) sieht ist ein Anstieg an gut gemachter, krimineller Software. Wie diese neuen Botnetze und Würmer wie Gozi, Storm oder Nugache. ... Um solche Bot-Netze auszuschalten, versucht man normalerweise den Kontrollrechner auszuschalten. Die haben aber keine einzelnen Kontrollknoten. Der springt ständig weiter. Also gibt es keine Möglichkeit, diese Botnetze auszuschalten – außer die bösen Jungs zu finden, und sie einzusperren. In gewisser Weise hat Kaspersky also recht. Ich weiß nicht, ob man wirklich in der Lage ist, ein breites Überwachungsnetz anzulegen, das geeignet ist, diese Leute zu schnappen – aber im Moment handelt sich um ein Problem des Gesetzesvollzuges. Natürlich kann Technologie eine Menge dazu beitragen, die Sicherheit von Computern zu erhöhen. Aber im wesentlichen ist das ein menschliches Problem und kein technisches Problem.
 

 
(1) Wolfgang Stieler, "Im wesentlichen ist das ein menschliches Problem", Technology Review 28.03.2008
 

 
29.03.2008: Mit dem Projekt Africa ONE soll der afrikanische Kontinent mit breitbandigen Kabeln an das internationale System der Telekommunikation und des Internets angeschlossen werden (1). Die europäischen Anknüpfungspunkte bestehen bereits in Marseille und Valencia (2). Auch die Westküste des Kontinents ist bereits an das internationale Netz angeschlossen (3). Das gilt jedoch nicht für die Ostküste: Während die nord- und westafrikanische Küste von Ägypten bis Südafrika mit Glasfaser-Unterseekabeln ans Netz der Netze angeschlossen ist, landet weder in Tansania noch in Kenia oder Somalia auch nur eine der digitalen Lebensadern. Die Folge: Eine 1-MBit/s-Standleitung via Satellit etwa kostet dort mehr als 5.000 Euro Monatsmiete. (3)

Anlässlich der Fußballweltmeisterschaft 2010 in Südafrika kommt Bewegung in die abschließende Ausbauphase: Das geplante Ringsystem wird jetzt gleich mit zwei Seekabeln entlang der ostafrikanischen Küste in Angriff genommen. SEACOM ist ein Kabelprojekt mit überwiegend afrikanischen Anteilseignern, das mit 17.000 km Länge unmittelbar nach Marseilles und Mumbai (Indien) geführt wird (siehe links) (4).
  

 
Daneben soll das 10.000 km lange EASSy-Kabel weitere Landungsstellen erschließen (5). Darüber hinaus soll Kenia mit einem 4.900 km langen Kabel direkt mit den arabischen Emiraten verbunden werden (6).

Die zentralafrikanischen Regionen profitieren von den Projekten kaum. Sie werden weiterhin maßgeblich per Satellitenverbindungen kommunizieren müssen (siehe Kabel und Netze).

(1) emeagwali.com

(2) Africa ONE

(3) Ostafrika auf dem Weg ins Breitband-Internet, Heise online 10.07.2007

(4) Schnelleres Internet zur WM 2010 dank afrikanischem Unterwasserkabel, tecchannel 28.03.2008

(5) Baubeginn für ostafrikanisches Unterseekabel, Heise online 28.03.2008

(6) Schnelles Internet für Ostafrika, Heise online 23.12.2007
 

 
25.03.2008: Die tschechische Künstlergruppe Ztohoven hackt sich in den Wetterbericht und zeigt dort eine Atombombenexplosion, ersetzt mehrere Ampelmännchen in Prag durch biertrinkende, pinkelnde oder auch schlafende Figuren und tauscht  die Neonherz- Installation des Bildhauers Jiri David kurzerhand gegen ein Fragezeichen aus (1).
 

 
Darf ich den Akteuren eine klammheimliche Sympathie entgegen bringen?

(1) Eine "Atombombenexplosion" im Riesengebirge beschäftigt die Justiz, Heise online 25.03.2008
 

 
24.03.2008: Das von der Deutschen Telekom und 49 weiteren Telekommunikationsunternehmen ( Betreiberliste) 2001 in Betrieb genommene, ringförmige Seekabel im Nordatlantik, das Trans-Atlantic Cable Network - TAT-14 (1), scheint im Bereich von Calais beschädigt zu sein (2). Bereits 2003 erlitt das wegen seiner Leistung gefeierte, 1,3 Mrd. US-$ teure Seekabel einen Bruch (3).

In den öffentlichen Datenbanken für Seekabel wird TAT-14 jedoch als "aktiv" angegeben (4). Im Februar 2008 waren vier Seekabel im Bereich des Mittelmeeres und des arabischen Golfes von Ausfällen betroffen, die vor Allem Ägypten und Indien beeinträchtigten (5).
 

 
(1) Neue Datenautobahn über den Teich,, Heise online 21.03.2001

(2) Beschädigtes Unterseekabel bremst Internetverbindungen in die USA, Heise online 23.03.2008

(3) Verkettung unglücklicher Umstände zwingt DNS-Server in die Knie, Heise online 27.11.2003

(4) International Cable Protection Committee, ICPC Cable Database;
SIGCables

(5) 4 Seekabel im Nahen Osten gestört, siehe auch Kabel und Netze
 

 
22.03.2008: In der überarbeiteten Fassung seines Artikels über die Sicherheitsvorrichtungen der Banken beim Homebanking stellt Moritz Jäger zunächst die gebräuchlichen Methoden vor (1). Beim anschließenden Test der Portale ( Fragebogen) erlangte keine Bank die volle Punktzahl, gute Platzierungen aber die Netbank, die Postbank und die BBBank. Die meisten Portale bewegen sich im Mittelfeld mit einer akzeptablen Sicherheitsstufe. Drei der Zwanzig Banken erreichen nur die Hälfte der Sicherheitsmerkmale, sechs weitere, darunter auch die SEB, nicht einmal die. Katastrophal mit 3 von 14 Punkten schneidet beim Test die Citibank ab.

Authentifizierung mit PIN und TAN

Das klassische PIN/TAN-Verfahren ist bereits eine Zwei-Faktor-Authentifizierung (2). Ein Zugriff, beziehungsweise ein Abschluss der Überweisung ist erst möglich, wenn Informationen, die der Kunde kennt (PIN), mit einer anderen Information, die der Kunde hat (TAN). Bei ihm wählt jedoch der Kunde selber aus einer Liste die TAN aus, so dass die frühen Formen des Phishings es darauf anlegten, möglichst viele davon zu ergattern ( Nachteile).

Bei iTAN (3) ist die Liste mit den TAN durchnummeriert und fordert die Bank beim Transaktionsvorgang eine bestimmte TAN an, die der Index-Nummer zugeordnet. Er kann also nur mit einer ganz bestimmten TAN bestätigt werden.
 

 
Als Verbesserung der iTAN haben einige Banken die Bestätigungsnummer, kurz BEN eingeführt. Diese befindet sich auf dem iTAN-Bogen des Nutzers jeweils neben einer iTAN. Führt ein User eine Aktion aus, die eine iTAN erfordert, gibt das System die dazugehörige BEN aus. Diese wiederum muss zur angegebenen Nummer auf dem iTAN-Zettel passen, eine Art digitale Quittung also.

mTAN steht für mobile Transaktionsnummer und ist ein „richtiges“ Zwei-Faktor-System. Wird eine Transaktion oder eine andere sensible Operation durchgeführt, sendet der Server die passende TAN an das Handy des Nutzers. Zusätzlich erhält der User noch einmal alle wichtigen Informationen zur Transaktion. Die Nummern werden vom Server nach einem sicheren Schlüssel generiert, beim User landet also nur die jeweils passende Nummer.

Alle vorgestellten sind gegen den Angriff nach der Art des Man in the Middle anfällig. mTAN hat nur den Vorteil, dass man ihn sogleich bemerkt und Gegenmaßnahmen treffen kann.

(1) Moritz Jäger, Online-Banking: 20 Bankenportale im Test, tecchannel 20.03.2008 (Update)

(2) persönliche Identifikationsnummer -PIN, Transaktionsnummer - TAN

(3) indizierte TAN - iTAN
 

 
Home Banking Computer Interface - HBCI

Beim HBCI-Verfahren wird ein Kartenleser und eine Verschlüsselung mit einer PKI verwendet (4, 5). Wegen der zusätzlichen Lesegräte, der Signaturkarte und der technischen Infrastruktur, die die Bank bereit stellen muss, ist dieses Verfahren kostenträchtig und hat es sich bislang vor Allem im gewerblichen Bereich durchgesetzt.

Seit 2004 ist FinTS 4.0 als Nachfolger von HBCI vom Zentralen Kreditausschuss zugelassen und im Einsatz. Dabei handelt es sich um ein modular aufgebautes System, das Legitimationsverfahren, Geschäftsvorfälle, Finanzdatenformate und die Protokolle getrennt festlegt. Es wird auch die künftige (fälschungssichere) Signaturkarte nutzen können ( Financial Transaction Services - FinTS).

sichere Webportale

Neben dem Authentifizierungsverfahren kommt der Sicherheit des Internetauftritts der Bank eine besondere Bedeutung zu. Dazu gehört der Verzicht auf JavaScript, womit leicht Sicherheitslücken hergestellt werden (6). Der Einsatz von Captchas kann die Zugangssicherheit erhöhen (7).

Alle befragten Banken haben inzwischen Kontrollen eingeführt um auf Phishing-Angriffe schnell zu reagieren.

In den meisten Fällen sollen sich die Banken, ohne Anerkennung einer Rechtspflicht, wie es gerne genannt wird, kulant verhalten haben, wenn ihre Kunden Phishern auf den Leim gegangen sind.

An den Schluss stellt Jäger Folgendes, dem nichts hinzuzufügen ist:
  

 
Finanzagenten leben gefährlicher als Phisher

Die größte Gefahr für Konten stellen ... ungewollte Geldwäscher. Dabei versucht der Phisher, Kontobesitzer für sich zu gewinnen, die den Geldtransfer für ihn übernehmen. Meist werden hohe Provisionen in Aussicht gestellt. Die Phisher tarnen sich als ausländische Firma, die Probleme bei der Überweisung hat oder über den indirekten Weg Überweisungskosten sparen will. Neuere Methoden decken etwa das Mieten von Ferienwohnungen oder den Kauf eines Autos ab (8).

Neben finanziellen Verlusten können aber auch strafrechtliche Konsequenzen auf den Kontobesitzer zukommen. ... (9) Unter anderem durfte eine Bank auch den Helfer (Finanzagenten) in Regress nehmen. Tragisch dabei: Meist handelt es sich um Leute, die in einer finanziellen Zwangslage stecken.

(4) Marco Zierl, HBCI - Der neue Homebanking-Standard, tecchannel 27.11.1999

(5) public key infrastructure - PKI, siehe auch Signaturen und Identitätskontrolle ...

(6) Massenhacks von Webseiten werden zur Plage

(7) Kritik an Captchas:
Google-Mail gehackt
Bild-Captchas sind nicht der Weisheit letzter Schluss, Heise online 20.03.2008

(8) Verweis zum Bundeskriminalamt;
siehe auch Finanzagenten und Transfer von Sachwerten

(9) Verweis zu Sicherheit-Online;
siehe auch Haftung des Finanzagenten ohne Abschlag
 

 
21.03.2008: Auf die "Kleine Anfrage" der Bundestagsabgeordneten Piltz zur Häufigkeit und zum Erfolg bereits durchgeführter "Quellen-Telekommunikationsüberwachungen" (1) antwortete Staatssekretär Hanning am 27.09.2007 (2):

In Ermittlungsverfahren des Generalbundesanwalts beim Bundesgerichtshof sind bislang keine „Quellen-Telekommunikationsüberwachungen“ (Quellen-TKÜ) zum Einsatz gekommen. Die Bundespolizei und das Bundeskriminalamt haben solche Maßnahmen noch nicht durchgeführt.
Im Geschäftsbereich des Zollfahndungsdienstes laufen derzeit erstmalig zwei Maßnahmen einer so genannten Quellen-TKÜ. Die Maßnahmen wurden per richterlichem Beschluss auf Antrag der jeweiligen Staatsanwaltschaft ausdrücklich angeordnet. Beide Maßnahmen laufen aktuell, daher können aus ermittlungstaktischen Gründen keine weiteren Aussagen zu diesen Maßnahmen gemacht werden. ...

Eine weitere Kleine Anfrage der FDP-Fraktion stammt vom 12.03.2008 (3) und ist noch nicht beantwortet. Sie betrifft ausdrücklich die Quellen-TKÜ und die Absichten des Bundesjustizministeriums, diese in der Strafprozessordnung zu verankern.
 

 
(1) Bei der Quellen-TKÜ wird am PC der Zielperson die noch unverschlüsselte Internettelefonie "abgehört". Von der Onlinedurchsuchung unterscheidet sie sich dadurch, dass sie sich auf die Internettelefonie beschränkt und keine Verarbeitungs- oder gespeicherte Daten von der Zielperson übermittelt. Sie verlangt danach, dass entweder heimlich ein Überwachungsprogramm installiert oder nach der Art von Malware gezielt untergeschoben wird. Sie ist kein Mitschnitt auf der Übertragungsstrecke.

(2) BT-Drs. 16/6572 vom 05.10.2007, S. 9

(3) vorläufige Fassung der BT-Drs. 16/8570 vom 12.03.2008
 

 
21.03.2008: Die Themenseite gegen das digitale Vergessen berichtet jetzt auch über eine Artikelserie bei zur Business Intelligence und zu den Methoden des Data Minings mit praktischen Beispielen.
 

 
21.03.2008: "Informatiker sind alt und müde", meint das Institut Arbeit und Qualifikation - IAQ - an der Uni Duisburg-Essen (1). Der Anteil der über 50-Jährigen in der Berufsgruppe steige ständig. 67 Prozent der Projektmitarbeiter verzichten bei Überlast auf Pausen, 55 Prozent schränken für den Job ihre Freizeitaktivitäten ein, 29 Prozent tun das zumindest "manchmal". Die Folgen seien chronische Müdigkeit infolge Schlafmangel sowie Nervosität und Magenschmerzen wegen Stress.
 

(1)   Informatiker sind alt und müde, tecchannel 20.03.2008
 

 
21.03.2008: Ich habe schon davon gehört, dass E-Mails auftauchen sollen, die dem Empfänger mit den richtigen Kreditkartendaten mitteilen sollen, dass sein Konto belastet und der Wert dem Konto bei einem Internetkasino gutgeschrieben wurde. Das könnte sogar zutreffen und die Rechenzentren der Bankenverbünde dürften an dem Problem arbeiten. Die Alternative davon ist, dass die Angreifer zwar die öffentlichen Daten kennen (Name, E-Mail-Adresse, Kontonummer, Bankleitzahl), nicht aber die Kontozugangsdaten. Sie versenden deshalb gezielt eine Zahlungsbestätigung, in der ein Link für Buchungsinformationen enthalten ist, der jedoch zur Übermittlung von Spyware dient, die beim nächsten Homebanking die Zugangsdaten ausspähen soll.

Mich erreichte am 20. März die C-Version dieses Trends, die schon vor 1 1/2 Jahren unter dem Deckmantel bekannter Versandhändler (vor Allem "Dell") im Umlauf war.
 

 
Ich heiße auch nicht "kochheike" (Markierung 1). Der Provider "t-online.de" dürfte hingegen relativ bekannt sein, so dass ich annehme, dass diese Nachricht nur eine von vielen ist, die als "blind copy" (bcc) an T-Online gerichtet ist, dort nicht als Spam erkannt und schließlich auf die zutreffenden Postfächer verteilt wurden.

Die nächste Merkwürdigkeit ergibt sich wegen des Absenders: "Otto Feinrich" lässt sich überhaupt nicht mit der Absenderadresse "Cornelius" in Verbindung bringen (über Markierung 1).

achat-grenoble.com ist eine Werbeseite für diese Region (Markierung 2). Diese Information lässt sich aber relativ einfach manipulieren und hat keinen Informationswert.

Was soll das "Lux" in dem Text? Dieses Kürzel spricht für Luxemburg und dieser Kleinstaat mag zwar viele wirtschaftliche Freiheiten gewähren, aber mit dem französischen Grenoble hat das Kürzel überhaupt nichts zu tun.
 

Ein "Otto Feinrich" teilt mir darin mit, dass mit meiner Kreditkarte 429,91 € bei dem Kasino "EuroGrand Lux IC" eingegangen sei. Nett von ihm. Ich habe die Zahlung nicht veranlasst. Wurden etwa meine Kartendaten missbraucht?

Ich habe meine Kreditkarte seit etwa zwei Jahren nicht mehr benutzt, so dass meine Kartendaten jedenfalls in jüngerer Zeit nicht ausspioniert worden sein können. Und warum sollte ich einen "krummen" Betrag angewiesen haben? Ich lebe seit Jahren im Währungsgebiet des Euros und werde deshalb wahrscheinlich nur "runde" Beträge zum Transfer anweisen.

Konkrete Kartendaten fehlen; das macht die Nachricht tatsächlich zur C-Version.
 

Der Link, den ich anwählen soll, um weitere Einzelheiten zu erfahren, soll zu "euro-grand-lux.com" führen (Markierung 3). Die whois-Abfrage nennt als Registrar der Domain die Firma VIVIDS Media GmbH mit einer Telefonnummer aus dem Berliner Festnetz, Registrant eine merkwürdige Adresse in Russland. Der Standort des Servers ist laut traceroute in Panama. Die Suchergebnisse bei Google zeigen VIVIDS im Zusammenhang mit verschiedenen russischen Personennamen.

Am Ende des Links befindet sich schließlich die verräterische "rechnung.exe" (Markierung 4). Welche Malware mir damit untergeschoben werden soll, weiß ich nicht. Sicher bin ich mir hingegen, dass es sich um irgendein Schadprogramm handeln wird.
 

 
21.03.2008: Das Bundesinnenministerium hat auf eine Anfrage des FDP-Bundestagsabgeordneten Carl-Ludwig Thiele eingeräumt, dass in deutschen Behörden ... seit 2005 rund 500 Notebooks und Desktop-Computer gestohlen worden, verloren gegangen oder ... unauffindbar (sind). (1)

Dieser Verlust soll sich in dem Rahmen halten, der auch in der privaten Wirtschaft zu beobachten sei.
 

 
(1) Aus deutschen Behörden verschwanden 500 Computer, Heise online 20.03.2008

 
19.03.2008: Das Bundesverfassungsgericht hat am 11.03.2008 eine Einstweilige Anordnung beschlossen (1), wonach Vorratsdaten bis zur Entscheidung in der Hauptsache (2) zwar von den Zugangsprovidern gespeichert werden müssen, aber nur an Strafverfolgungsbehörden übermittelt werden dürfen, wenn die Ermittlungen besonders schwere Straftaten nach Maßgabe des Straftatenkatalogs des § 100a Abs. 2 StPO betreffen und die Voraussetzungen von § 100a Abs. 1 StPO vorliegen, also die Tat auch im Einzelfall schwer wiegt und die Ermittlungen sonst erheblich erschwert oder aussichtslos wären ( Überwachung der Telekommunikation).

 
(1) BVerfG, Beschluss vom 11.03.2008 - 1 BvR 256/08 -

(2) Nach § 32 BVerfGG kann das Bundesverfassungsgericht ... im Streitfall einen Zustand durch einstweilige Anordnung vorläufig regeln, wenn dies zur Abwehr schwerer Nachteile, zur Verhinderung drohender Gewalt oder aus einem anderen wichtigen Grund zum gemeinen Wohl dringend geboten ist.
Es handelt sich dabei um eine vorläufige Regelung bis zur abschließenden Entscheidung, die verhindern soll, dass in der Zwischenzeit sozusagen "Fakten geschaffen werden". Einstweilige Anordnungen des BVerfG gelten als deutlicher Hinweis darauf, wie das Gericht in der Hauptsache, also abschließend entscheiden wird.

Holger Bleich, Einstweilige Ohrfeige. Verfassungsgericht schränkt Zugriff auf Vorratsdaten ein, c't 8/2008
 

Nr. 1 der Anordnung lautet:

§ 113b Satz 1 Nummer 1 des Telekommunikationsgesetzes in der Fassung des Gesetzes vom 21. Dezember 2007 (Bundesgesetzblatt Teil I Seite 3198) ist bis zur Entscheidung in der Hauptsache nur mit folgenden Maßgaben anzuwenden: Aufgrund eines Abrufersuchens einer Strafverfolgungsbehörde nach § 100g Absatz 1 der Strafprozessordnung, das sich auf allein nach § 113a des Telekommunikationsgesetzes gespeicherte Telekommunikations-Verkehrsdaten bezieht, hat der durch das Abrufersuchen verpflichtete Anbieter von Telekommunikationsdiensten die verlangten Daten zu erheben. Sie sind jedoch nur dann an die ersuchende Behörde zu übermitteln, wenn Gegenstand des Ermittlungsverfahrens gemäß der Anordnung des Abrufs eine Katalogtat im Sinne des § 100a Absatz 2 der Strafprozessordnung ist und die Voraussetzungen des § 100a Absatz 1 der Strafprozessordnung vorliegen. In den übrigen Fällen des § 100g Absatz 1 der Strafprozessordnung ist von einer Übermittlung der Daten einstweilen abzusehen. Der Diensteanbieter hat die Daten zu speichern. Er darf die Daten nicht verwenden und hat sicherzustellen, dass Dritte nicht auf sie zugreifen können.

§ 113b S. 1 Nr. 1 TKG berechtigt die Strafverfolgungsbehörden zur Abfrage von Verkehrsdaten, wie sie von § 113a TKG im einzelnen bestimmt sind, zur Verfolgung von Straftaten. Die polizei- und verfassungsschutzrechtlichen Abfragen werden von der Anordnung des BVerfG nicht berührt ( § 113b S. 1 Nr. 2, 3 TKG).
 

Im Ergebnis verlangt das BVerfG, dass Verkehrsdaten nur im Zusammenhang mit besonders schweren Straftaten nach Maßgabe des Straftatenkatalogs des § 100a Abs. 2 StPO verwertet werden dürfen. Zwei Weiterungen aus  § 100g StPO werden dadurch blockiert:

(2a) Erste Stellungnahmen meinen eine Kritik des BVerfG an dem Gesetzgeber feststellen zu können, wonach der Anwendungsbereich des § 100g StPO zu weit gefasst sein könnte:
Burkhard Schröder, Bitte bevorraten Sie sich, Telepolis 19.03.2008

 
Die von § 113a TKG definierten Verkehrsdaten reichen über die direkte Kommunikationsbeziehung hinaus, die nur danach fragt, welches Endgerät zu einem bestimmten Zeitpunkt zu einem anderen eine Verbindung hergestellt und über einen ebenfalls bestimmten Zeitraum aufrecht erhalten hat. Sie umfassen auch Gerätedaten und Zwischenstationen, wenn es um Auslandsverbindungen geht. Bedeutsam ist deshalb, ob sich der Beschluss des BVerfG auch auf die einfache IP-Abfrage bei einem Zugangsprovider auswirkt. Bei ihr ist die dynamische IP-Adresse bekannt, die aus dem Nummernkreis des Zugangsproviders stammt, und es geht ihr nur darum, dass er den Kunden namentlich benennt, dem er zu einem genau definierten Zeitpunkt einen Verbindungsaufbau zum Internet mit einer längst bekannten Verbindungsstelle (IP-Adresse) ermöglicht hat.

Die Rechtsprechung der ordentlichen Justiz hat sich dahin entwickelt, Auskünfte über punktuelle Zuweisungen von IP-Adressen als die Abfrage von Bestandsdaten anzusehen (3). Diese Annahme ist vom Wortlaut der vorangestellten Definitionen im Telekommunikationsgesetz nicht gedeckt. § 3 Nr. 3 TKG betrachtet als Bestandsdaten nur solche Informationen, die den vertraglichen Rahmen der Kundenbeziehung betreffen.

 
Bereits § 111 TKG geht über diese Definition weit hinaus. Danach sind vom Zeitpunkt der Freischaltung an auch die "anderen Anschlusskennungen" zu speichern ( § 111 Abs. 1 Nr. 1 TKG), um sie den Strafverfolgungs-, Verfassungsschutz- und Polizeibehörden im manuellen ( § 113 TKG) oder automatisierten Abrufverfahren ( § 112 TKG) zur Verfügung stellen zu können.

Die Frage bleibt, ob die "einfache IP-Abfrage" eine "andere" Anschlusskennung im Sinne von § 111 TKG betrifft.

Dagegen spricht § 113a Abs. 4 TKG, der die IP-Kommunikation ausdrücklich als Vorratsdatenhaltung definiert. Mit dem Vorrang der Besonderheit hebt jedoch § 113 Abs. 1 S. 2 TKG die staatsanwaltschaftlichen ( § 161 StPO) und polizeilichen Auskunftsersuchen hervor ( § 163 StPO), so dass § 113 Abs. 4 TKG nur als eine Präzisierung wegen des Umfangs der Vorratsdatenhaltung wirkt.
   

(3) -Unfug
 

Die einfache IP-Abfrage ist deshalb, so meine ich, weiterhin keine Verkehrsdaten-Auskunft nach § 100g StPO, sondern eine einfache Bestandsdaten-Auskunft nach § 113 nach Maßgabe des § 111 TKG. Darüber wird sicherlich noch gestritten werden (4), weil davon die Verfolgbarkeit aller einfachen netzbezogenen Straftaten abhängt. Wenn Urheberrechtsverstöße, Beleidigungen und Betrügereien im Internet gar nicht mehr verfolgt werden könnten, dann wäre der Aufschrei der Lobbyisten und anderen Geschädigten (und ihre Verunsicherung) sicherlich äußerst groß.

Meine Meinung wird davon unterstützt, dass das BVerfG die Auskunftsprozesse außerhalb des § 113b TKG zum Gesamtumfang der Vorratsdaten ausdrücklich von seiner restriktiven Eilentscheidung ausnimmt, indem es darauf verweist, dass die Ansprüche der Strafverfolgungsbehörden, die bereits vor der Neuregelung bestanden, nicht betroffen sind (Randnummer 173).
 

Andere Meinungen wurden äußerst schnell von veröffentlicht (5):

Bundesdatenschutzbeauftragte Peter Schaar: "Die bisherige Praxis, Tauschbörsenteilnehmer über deren IP-Adressen ermitteln zu lassen, ist nach den Karlsruher Vorgaben nicht mehr zulässig." Rechtsanwalt Christian Solmecke, der etliche abgemahnte P2P-Nutzer vertritt, geht noch einen Schritt weiter: "Damit dürfte die Abmahnwelle der Musikindustrie gegen deutsche Tauschbörsennutzer vorerst ein Ende haben."
 

(4) Der Streit beginnt bereits: Peter Mühlbauer, Rückschlag für Abmahnanwälte und Abfrageprovider? Telepolis  20.03.2008

(5) Verfassungsgerichtsentscheidung zur Vorratsdatenspeicherung sorgt für Konfusion, Heise online 19.03.2008
 

 
Ich glaube, das BVerfG fährt einen gewagten Kurs.

Seine Entscheidungslinie, aus dem allgemeinen Persönlichkeitsrecht ( Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) im Zusammenhang mit der Onlinedurchsuchung über das Recht auf informationelle Selbstbestimmung hinaus ein Vertrauens-Grundrecht auf die Integrität der Telekommunikationstechnik und ihrer Lauschfreiheit abzuleiten, ist aus dem zugrunde liegenden Grundrechtsverständnis verständlich und nur wegen ihrer Einzelheiten zu kritisieren. Diese Linie setzt sich wegen der Kennzeichen-Scans bei Kraftfahrzeugen und jetzt wegen der Vorratsdatenhaltung fort.

Wirtschaftliche Erwägungen und besonders solche wegen des notwendigen Personals, das erforderlich ist, um seine Anforderungen zu erfüllen, blendet das BVerfG aus und gefährdet damit die Rechtssicherheit für die Bürger, die es schützen will. Es hebt den Richtervorbehalt hervor und verlangt Erreichbarkeiten und Dienstzeiten, die nicht nur die Unabhängigkeit von Richtern in Frage stellen, sondern Anwesenheiten erfordern, die mit dem vorhandenen Personal nicht geleistet werden können.

Auch wegen der neuen informationsschützenden Entscheidungen bleibt ein fahler Nachgeschmack. Skimming, Phishing, Malware und Botnetze sind eine allgegenwärtige Gefahr für jedermann und die Strafverfolgung wird vom (Gesetzgeber und dem) BVerfG in ein enges Korsett gepackt, das jede Effektivität bei der Strafverfolgung verhindert.
 

 
Das BVerfG reagiert auf grenzwertige und womöglich -überschreitende Tendenzen im Zusammenhang mit der Terrorismusverfolgung und muss wahrscheinlich auch Farbe bekennen.

Im Einzelfall erschwert es jedoch zunehmend die Strafverfolgung wegen der "normalen" Kriminalität und verlässt den Pfad, der ihm wegen der effektiven Gewährleistung der Rechtssicherheit zugewiesen ist. Diese Aufgabe verlangt von ihm, das die Bürger auch im Zusammenhang mit der digitalen Technik unbeeinträchtigt leben können, und dass sie die Integrität der Technik jedenfalls insoweit erwarten dürfen, dass Straftaten nachhaltig verfolgt werden.

Die Anordnung des BVerfG, so wie sie formuliert ist, enthält streitträchtigen Sprengstoff. Danach dürfen die Zugangsprovider die Daten, die nicht den Anforderungen der Eilanordnung genügen, gar nicht erst übermitteln. Es nimmt damit Wirtschaftsunternehmen in die Pflicht, wozu es im Rahmen einer Verfassungsbeschwerde im Hinblick auf Grundrechtsverstöße nicht befugt ist und was die Gewaltenteilung einmal mehr extrem verwässert. Es hätte gereicht, die Strafverfolgungsbehörden, die einschließlich der Staatsanwaltschaften ein Teil der rechtsprechenden Gewalt sind, anzuweisen, nur bestimmte Daten zu verwerten. Jetzt verlagert sich die Auseinandersetzung auf die Strafverfolgungsbehörden und die Zugangsprovider mit einem Ergebnis, das abzusehen ist: Kein Provider wird irgendetwas bereitwillig mitteilen, wenn nicht eine zwangsbedrohte gerichtliche Anordnung vorliegt.

So kann man auch den bürgerlichen Frieden stören, indem man so viel Sand in das Strafverfolgungs-Getriebe streut, dass sie nur noch auf der Standspur kriecht.
 

 
18.03.2008: Die hirnorganischen Forschungen nähern sich mit kleinen, aber beachtlichen Schritten dem Gedankenlesen an (1). Mit Hilfe der funktionellen Magnetresonanztomographie - fMRT - ist es Kalifornischen Wissenschaftlern ... gelungen, akkurat vorherzusagen, welches Bild eine Person gerade betrachtet (2).

Die Forscher in dieser Disziplin entschlüsseln in kleinen Schritten die Verarbeitungsfunktionen des menschlichen Gehirns und nähern sich sich damit tatsächlich einer Enträtselung der Gedankenverarbeitung. Sie verhoffen Chancen zur psychiatrischen und neurologischen Hilfe bei krankhaften Störungen und ebnen den Weg zu Missbräuchen, deren Ausmaß noch gar nicht vorstellbar sind.
 

 
Wenn Missbräuche am Einfachsten möglich sind, dann in Situationen, in denen sich der Beobachtete wirklich konzentriert. Meine Horrorvorstellung ist die, dass Gehirnscans möglich würden, wenn ich mich, zum Beispiel an einem Geldautomaten, auf die Eingabe meiner PIN konzentriere.

(1) siehe auch keine freie Entscheidung

(2) Emily Singer, Gedankenlesen per Hirnscan, Technology Review 18.03.2008

 
17.03.2008: Der Arbeitskreis Vorratsdatenhaltung präsentiert verwegene Zahlenspiele zum Erfolg von IP-Ermittlungen (1). Aus der Studie ergäbe sich laut dem Arbeitskreis, dass die Verfolgung von Straftaten im Untersuchungszeitraum zu gerade einmal 0,002 Prozent durch eine Vorratsspeicherung von Verbindungsdaten hätte verbessert werden können.

Meinen gehässigen Wunsch kann ich nur wiederholen: Ich wünsche manchen Kritikern, in einem Forum nach Herzenslust beleidigt und bei einer Auktion nach Strich und Faden über den Tisch gezogen zu werden. Niemand kann ihnen dann helfen.
 

 
(1) referiert von Studie: Vorratsdatenspeicherung nutzt der Strafverfolgung kaum, Heise online 17.03.2008
 

 
17.03.2008: Ich hoffe darauf, ein schlecht ausgebildeter oder finanziell unerfahrener Mensch zu sein, der unanfällig gegen die betrügerischen Methoden der Nigeria-Connection ist (1). Sie nutzen die hirnorganische Dollar-Entsperrung aus (bekannt von Dagobert Duck, wenn sich seine Pupillen zu $-Zeichen wandeln) und lassen Leute wilde Geschichten glauben, die dann in der Hoffnung auf das große Geld horrende Vorschüsse für angebliche Tickets, Bestechungsgelder und Notarkosten springen lassen, auf die es die Täter allein abgesehen haben - seit Jahrzehnten.

Ihre Tricks funktionieren noch immer.
 

 
Ultrascan beobachtet den Markt und seine Entwicklungen. Allein in Deutschland sollen die Verluste mit den Betrügereien bei Firmen und Personen 2007 mindestens 280 Millionen US-Dollar betragen haben, in den USA sollen sie sich gar auf mindestens 830 Millionen US-Dollar belaufen. Besonders hoch seien auch die Verluste in Großbritannien (580 Millionen US-Dollar) und Spanien (355 Millionen US-Dollar) gewesen.

(1) Nigerianische E-Mail-Betrugsmasche zieht immer noch, Heise online 17.03.2008
 

 
17.03.2008: 2007 stieg die Anzahl der Privatinsolvenzen um 9 Prozent auf 105.238 an (1). Im November 2007 registrierte das Statistische Bundesamt ... erstmals seit Inkrafttreten der Insolvenzordnung ... am 1. Januar 1999 einen Rückgang der Verbraucherinsolvenzen im Vergleich zum Vorjahresmonat – die Zahl ging um 3,2 Prozent auf 9.376 zurück.

Für den deutlich gebremsten Anstieg machen die Inkassoexperten der Bürgel Wirtschaftsinformationen GmbH & Co. KG nicht nur die verbesserten wirtschaftlichen Rahmenbedingungen und die gesunkenen Arbeitslosenzahlen verantwortlich, auch die zunehmende Schuldnerberatung und die diesbezügliche Berichterstattung in den Medien lasse Konsumenten vorsichtiger bei der Kreditaufnahme agieren.
  

 
Die gesunkene Zahl der Arbeitslosen ist tatsächlich ermutigend. Der Kaufkraftverlust, der besonders auf den Kosten für Energie beruht, könnte den guten Trend sehr schnell zur einmaligen Erscheinung verblassen lassen.

(1) Deutsche Verbraucher verschulden sich weniger leichtfertig, Heise online 17.03.2008

 
16.03.2008: Nach Schätzungen des Bundeskriminalamts - BKA - sind etwa 750.000 PCs in Deutschland mit Malware (1) infiziert. Rund 150.000 davon sollen als Zombies in Botnetzen zum Einsatz kommen (2).

Laut BKA-Präsident Ziercke seien auch die Fälle erfolgreicher Phishing-Angriffe von 3.500 (2006) auf 4.200 im Jahr 2007 angestiegen. Der durchschnittliche Schaden belaufe sich auf 4.000 bis 4.500 € (2006: 2.500 €).

Gestiegen seien auch die Fälle im Zusammenhang mit Kinderpornographie. In einem Verfahren in Deutschland (seien) fast 240.000 Zugriffe auf 4.600 kinderpornografische Dateien festgestellt (worden).
  

 
(1) Massenhacks von Webseiten werden zur Plage

(2) Laut BKA nehmen Schäden durch Phishing rasant zu, Heise online 15.03.2008
 

 
16.03.2008: Bei einem 20-minütigen Test konnte auf eine Entfernung von 5.000 km ein Laserstrahl zwischen dem deutschen Radarsatelliten Terrasar-X und dem US-Satelliten NFIRE aufrecht erhalten werden, womit die - wirklich riesige - Datenmenge von 5,5 Gigabit pro Sekunde übertragen wurde (1). Die dabei verwendeten Halbleiterlasermodule wurden im Ferdinand-Braun-Institut für Höchstfrequenztechnik - FBH - in Berlin entwickelt.

Zum Vergleich (2): Per DSL lassen sich rund 200 Megabit/sec und per Glasfaserkabel mindestens mind. 1 Gigabit/sec. Der experimentelle Rekord für die Übertragungsmenge per Glasfaser liegt bei 107 Gigabit/sec.
 

 
In der Presseerklärung des FBH klingt an (3), dass die neue Technik auch zur Datenkommunikation zwischen dem Radarsatelliten, der zur Erderkundung eingesetzt werden soll, und der Erdoberfläche dienen soll. Dabei ist ein Problem zu meistern, das im "freien" Raum nicht auftritt: Er muss durch die Erdatmosphäre geführt werden, die mit ihren verschiedenen Dichten, Drücken, Bewegungen und Temperaturen den gerichteten Laserstrahl beeinträchtigen und "verschmieren" kann.

(1) Weltrekord im All, tecchannel 15.03.2008

(2) Übertragungstechniken

(3) FBH, Berliner Lasermodul sorgt für blitzschnelle Satellitenbilder, 14.03.2008
 

15.03.2008: Unter dem 27.02.2008 hat die Bundestagsfraktion "Die Linke" eine "Kleine Anfrage" ( § 104 Geschäftsordnung des Bundestages) zur Postbeschlagnahme wegen Bekennerbriefe gestellt (1). Darin werden zwei Anlässe herausgestellt:

1.

Der Ermittlungsrichter des Bundesgerichtshofs (BGH) hatte wegen Verdachts der Mitgliedschaft in einer terroristischen Vereinigung bzw. der Gründung einer terroristischen Vereinigung für die Zeit vom 18. bis 22. Mai 2007 die Beschlagnahme von Briefen mit Selbstbezichtigungsschreiben der „militanten gruppe“ (mg) im Briefzentrum 10 (Berlin Zentrum) der Deutschen Post AG (DP AG) angeordnet, die an die Zeitungen „Berliner Zeitung“, „Berliner Morgenpost“, „BZ“ und „Tagesspiegel“ gerichtet waren.

2.

Ebenfalls wegen Verdachts der Mitgliedschaft in einer terroristischen Vereinigung bzw. der Gründung einer terroristischen Vereinigung wurde für die Zeit vom 22. bis 24. Mai 2007 die Beschlagnahme von Briefen mit Selbstbezichtigungsschreiben der „Militanten Kampagne zum Weltwirtschaftsgipfel – G 8“ im Briefzentrum 20 (Hamburger Zentrum) der DP AG angeordnet, die an die Zeitungen „Hamburger Morgenpost“, „Hamburger Abendblatt“, „Frankfurter Allgemeine“, „Süddeutsche Zeitung“, „Die Welt“, „TAZ“, „Frankfurter Rundschau“, „Bild“ sowie an die Nachrichtenagentur DPA gerichtet waren.

Die von der Fraktion gestellten Fragen betreffen die näheren Umstände beider Maßnahmen und lassen erkennen, dass die Verfasser Hintergrundwissen haben.
 

 
Mehrere der Fragen sind etwas böswillig, wenn etwa nach der Einleitung disziplinarrechtlicher Maßnahmen gefragt wird (Nr. 2.b), und verwischen die Grenzen zwischen rechtsprechender und gesetzgebender Gewalt. So wird nach dem "kriminalistischen Erfolg"  in Bezug auf "Verhaftungen, Wohnungsdurchsuchungen, Anklagen, Verurteilungen" (Nr. 11) gefragt und von der Bundesregierung eine Auseinandersetzung mit der Behauptung verlangt, dass das Heraussuchen von Selbstbezichtigungsschreiben aus einer großen Zahl von Briefsendungen, die an Zeitungs-, Rundfunk- oder Fernsehredaktionen gerichtet sind, unter Berücksichtigung der Grundrechte aus Artikel 10 des Grundgesetzes (GG) (Brief- und Postgeheimnis) und Artikel 5 GG (Medienfreiheit, Informantenschutz) und der geringen Erfolgsaussichten für die Strafverfolgung nicht verhältnismäßig ist (Nr. 19).

Darin wird verkannt, dass die Postbeschlagnahme als solche zunächst gerichtlich angeordnet wurde. Über ungeklärte Rechtsfragen kann und muss gestritten werden. Ein funktionstüchtiges Rechtssystem zeigt sich einerseits dadurch, dass eine effektive Strafverfolgung erfolgt, an der angesichts stark reglementierender Verfahrensvorschriften bei gleichzeitigem Personalmangel Zweifel angemeldet werden können, und dass andererseits die Rechtsprechung Korrekturen bestimmt. Ungeachtet des Einzelfalls ist das auch gut so.
 

(1) Durchsuchung von Briefsendungen an Zeitungsredaktionen nach Selbstbezichtigungsschreiben, BT-Drs. 16/8344

siehe auch: rechtswidrige Briefkontrolle.
 

 
Wie einfach wäre es, wenn es nur hieße:

Die Herstellung und der Besitz von Gegenständen, die dazu bestimmt und geeignet sind, einen anderen zu verletzten (Waffe), sind verboten.

Wer eine Waffe herstellt oder besitzt oder einen Gegenstand, der einer Waffe gleicht, in der Öffentlichkeit führt, wird bestraft.

(1) Peter Mühlbauer, Verbot von "Fantasywaffen", Telepolis 15.03.2008