Web Cyberfahnder
über Suchmaschinen und -strategien
  Cybercrime    Ermittlungen    TK & Internet    Literatur    intern    Impressum 
Onlinedurchsuchung 1
zurück zum Verweis zur nächsten Überschrift Onlinedurchsuchung
 

 
Onlinedurchsuchung

Ermittlungshandlungen
Angriffsobjekt PC
Ermittlungsmaßnahmen
Mitschnitte
Webdienste
Online-Kommunikation
Ergebnisse


Einstieg

technische Komponenten
  PC
  Massenspeicher
  Router
  Anschlussnetze
  Zugangsprovider
  Hostprovider. Webdienste
  verteilte Kommunikation
 


Die Diskussion um die Onlinedurchsuchung wirkt sehr ideologielastig. Ihre lautstarken Verfechter und nicht minder präsenten Gegner argumentieren mit Untergangsszenarien, die entweder vor der Kapitulation vor der Organisierten und der Schwerkriminalität oder vor der grenzenlosen Schnüffelei im Privaten warnen.

 
  Den Beginn dieser Diskussion hat das Arbeitspapier Onlinedurchsuchung. Bundestrojaner. Das Cybercrimerecht weist erhebliche Lücken auf aufgenommen (Stand: März 2007) und ich habe mich über ein paar Autoren mokiert. Die dort angestellten Überlegungen werden hier wieder aufgenommen und erbringen zwei wesentliche Ergebnisse: Eine wirkungsvolle Onlinedurchsuchung wird eine Malware einsetzen und genau die Techniken und Methoden verwenden, die von den Kriminellen erprobt worden sind.

Sie ist bereits jetzt rechtlich möglich unter den Voraussetzungen, unter denen ein "großer Lauschangriff" zulässig ist.
 
Das ist das schärfste Schwert, das der Strafverfolgung für die Aufklärung von Straftaten zur Verfügung steht. Es hat einen absoluten Ausnahmecharakter und ist das letzte mögliche Mittel (ultima ratio), das ausschließlich für die Verfolgung der besonders schweren Kriminalität zur Verfügung steht.

Eine flächendeckende Onlinedurchsuchung oder ihr Einsatz bei der leichten oder mittleren Kriminalität ist nach der geltenden Gesetzeslage ausgeschlossen.

 
zurück zum Verweis zur nächsten Überschrift nach oben Einstieg
 
 

 
Ulf Buermeyer, Die "Online-Durchsuchung". Technischer Hintergrund des verdeckten hoheitlichen Zugriffs auf Computersysteme, hrr-strafrecht.de April 2007

Am 05.09.2007 erschien Teil 2 des Aufsatzes:
Ulf Buermeyer, Die "Online-Durchsuchung". Verfassungsrechtliche Grenzen des verdeckten hoheitlichen Zugriffs auf Computersysteme, hrr-strafrecht September 2007
 

Eine der wenigen ernsthaften Auseinandersetzungen stammt von Buermeyer. Er stellt im ersten Teil seines Aufsatzes die aktuellen Techniken im Zusammenhang mit der Crimeware vor und beschreibt die Malware, Sniffer, Keylogger, Backdoors und Rootkits. Das sind die Techniken, auf die auch schon der Cyberfahnder hingewiesen hat ( IT-Sicherheit, Schwachstellen, Angriffe).

Teil B seines Aufsatzes widmet sich den "erweiterte(n) Möglichkeiten der verdeckten Online-Überwachung im Gegensatz zu klassischen Ermittlungsmethoden" und ist sehr lesenswert. Nachdem er die bisherige Rechtsprechung zur Onlinedurchsuchung referiert hat (Teil C) nimmt er schließlich die technische Auseinandersetzung wieder auf und beschreibt die Grenzen des technisch Möglichen.
 

Hierzu geht Buermeyer zunächst auf die relevanten Angriffsszenarien ein, wie das Ausnutzen von Sicherheitslücken, die Schaffung einer hoheitlichen Backdoor oder technische Installationen in der Infrastruktur des Internets. Darauf beschreibt er die Grenzen der Technik, indem er das Erfordernis der ständigen Verbindung zwischen dem angegriffenen PC und dem Internet, die begrenzte Bandbreite bei der Datenübertragung und die Datenmengen anspricht, die dabei entstehen können.

Der Aufsatz ist insgesamt lesenswert und bietet einen wirklich guten Einstieg in das Thema.
 

zurück zum Verweis zur nächsten Überschrift nach oben technische Komponenten
 

Großansicht
  


Die wichtigsten Komponenten und Prozesse sind überschaubar und können schnell erklärt werden.

Der PC und die in ihm gespeicherten Daten dürften das wichtigste Angriffsziel für die Onlinedurchsuchung sein, wenn wir den Begriff der "Durchsuchung" dabei ernst nehmen. Seine Daten können sich auf verschiedenen Trägern befinden, die in der Abbildung rechts angedeutet werden (beschreibbare CD oder DVD, Wechselfestplatte, USB-Stick).

Die eingesetzte Routertechnik kann unterschiedlich sein. Technisch überholt und nur noch selten anzutreffen wird ein Modem sein, das akustische Signale herstellt und zurück übersetzt und dazu das analoge Telefonnetz verwendet. In Haushalten und Geschäftsräumen sind heute echte Netzwerkkomponenten zu erwarten, die digitale Daten per ISDN- oder DSL-Technik versenden (siehe Angriffe, Heimnetzarchitektur). Vielfach werden Router auch über örtliche Funknetze angebunden sein (WLAN, siehe Angriffe, Wardriving).

Abhängig von der verwendeten Routertechnik kann auch das "lokale Netz" vielgestaltig sein. Es kann aus einem Funknetz bestehen, kann die normale Telefon- oder eine selbständige Netzwerkverkabelung verwenden (siehe Angriffe aus dem Netz).



PC und Speichermedien. Unten: Router.

Anschlussnetze sind solche, die Endgeräte an die überörtliche Infrastruktur anbinden. Das sind besonders die klassischen Ortsnetze und die Mobilfunknetze (siehe Mobilfunk). Im Bereich der Datenkommunikation haben wir es in aller Regel mit drahtgebundenen Netzen zu tun (Kupfer- oder Glasfaserkabel), wobei die Sprach- und die Datenkommunikation prinzipiell dieselben Netze, aber mit verschiedenen Übertragungstechniken und Protokollen benutzen.

Über das Anschlussnetz wird die Verbindung zum Zugangsprovider hergestellt. Er weist die dynamischen IP-Adressen zu und stellt die Verbindung zu anderen Netzdiensten her.

zurück zum Verweis zur nächsten Überschrift nach oben
 
 
Hostprovider mit Datenspeichern

Das Internet wird hier vereinfacht als eine Art Spinnennetz dargestellt, an dem andere Netzdienste angeschlossen sind. Dazu gehören besonders die Hostprovider, die Datenspeicher für verschiedene Anwendungen zur Verfügung stellen.

Der bekannteste Hostdienst ist die Bereitstellung von Mailboxen, in denen die eingehenden E-Mails gespeichert und zum Abruf bereitgestellt werden ( Animation mit weiteren Erklärungen). Drei verschiedene Verfahren stehen dazu zur Verfügung (siehe auch Versand von E-Mails):

1. Die Mailbox dient allein als Zwischenspeicher. Der Inhaber nimmt über seinen Zugangsprovider Kontakt zur Mailbox auf und überträgt alle eingegangenen Meldungen auf seinen PC. Hier verwaltet er die Nachrichten, liest sie, beantwortet sie oder löscht sie.

2. Die Mailbox wird als Permanentspeicher verwendet. Die E-Mails bleiben dabei dauerhaft beim Hostprovider gespeichert, wenn der Inhaber sie nicht bewusst löscht (zum Beispiel web.de, gmx.de). Der Inhaber verwaltet die Nachrichten online auf dem Hostspeicher und ist dadurch in der Lage, von verschiedenen Orten und mit verschiedenen Geräten auf seine Nachrichten zuzugreifen.

3. Die dritte Technik ist kein Host-, sondern ein Zugangsdienst. Die Adresse der Mailbox dient dabei nur als Weiterschaltung. Sie ist ein Übergabepunkt, der zu einem ganz anderen Hostprovider führt.

Nach der Neufassung von § 110 StPO (ab 01.01.2008) ist im Zusammenhang mit einer Durchsuchung der Zugriff auf die zwischengelagerten E-Mails beim Host-Provider erlaubt.

Nur die wenigsten privaten und geschäftlichen Homepagebetreiber leisten sich den Luxus, einen eigenen Zugang zum Internet (feste IP-Adresse) und die Zugangstechnik wie ein Provider zu betreiben. Websites und sogar aufwändige Internetauftritte werden deshalb bei leistungsfähigen und spezialisierten Providern hinterlegt. Auch insoweit sind drei Techniken zu unterscheiden:

1. In der klassischen Variante erstellt der Kunde die Homepage auf seinem eigenen PC und übermittelt das fertige Produkt an seinen Hostprovider, der dafür sorgt, dass die Website ständig aus dem Internet abgerufen werden kann. Ergänzend bietet der Provider vielleicht noch Gästebücher, Besucherzähler (Counter) und andere Dienste an (wie sie auch der Cyberfahnder nutzt).  Inhaltsprovider der Website (nicht unbedingt des Gästebuchs, Blogs oder der Kommentare der Besucher) ist dabei der Homepagebetreiber, der die inhaltliche Gestaltung vollständig kontrolliert und deshalb auch verantwortet.

2. Der Hostprovider stellt einen "dedizierten" Webserver zur Verfügung, den der Kunde vollständig und eigenverantwortlich verwaltet. Der Kunde hat dabei alle Freiheiten, muss sich aber um die technische Sicherheit selber kümmern. Solche Server sind ein gefundenes Fressen für Hacker, Spammer und andere Zeitgenossen, auf die man gerne verzichtet.

zurück zum Verweis zur nächsten Überschrift nach oben
 

verteilte Kommunikation
 

3. Die Veröffentlichung wird einer Agentur überlassen, die darauf spezialisiert ist. Die inhaltliche Verantwortung ist dabei aufgeteilt. Das werbende Unternehmen muss für die Richtigkeit seiner Produktbeschreibungen, Liefer- und Zahlungsbedingungen sowie für die Geschäftsabwicklung einstehen. Die Agentur muss jedenfalls die technische Sicherheit gewährleisten. Über ihre inhaltliche Verantwortung besteht noch Streit.

Der jüngste Hostdienst ist die - häufig kostenlose - Bereitstellung von Speicherplatz für Urlaubsfotos und alle anderen Dokumente, auf die der Kunde von überall zugreifen will. Die Dokumente können Kopien sein oder tatsächlich das einzige Original, das entscheidet der Kunde.

Neu an diesem Webdienst ist die einfache Verwaltung der Dokumente mit einer grafischen Oberfläche und den gewohnten Werkzeugen für die Dokumentverwaltung (Umbenennen, Löschen, Kopieren usw.). Auch beim klassischen Webhosting bin ich als Kunde in der Lage, jedes Dokument - ob komprimiert, verschlüsselt oder mit ungewöhnlichen Extensionen versehen - abzuspeichern, von überall verfügbar zu haben und auch in passwortgeschützten Verzeichnissen zu halten. Dazu ist nur ein wenig Wissen erforderlich.
 

Newsgroups und Chats verwenden eine Synchronisationstechnik, an der mehrere Webdienste beteiligt sind. Hierbei kommunizieren mehrere Nutzer miteinander, bieten und tauschen Dokumente und sprechen dabei verschiedene Diensteanbieter über ihren jeweiligen Zugangsprovider an. Den Webdiensten obliegt deshalb die Aufgabe, ihre Datenbestände (Channels) miteinander abzugleichen (teilweise als Remote, active directory, Synchronisation u.v.m. bezeichnet).

Ganz modern ist das Schlagwort "Workgroups". In vernetzten Arbeitsgruppen werden dabei Dokumente arbeitsteilig erstellt, weiterentwickelt und letztlich freigegeben. Der damit verbundene Entscheidungsprozess ist der Workflow.

Das Interessante daran ist, dass der Arbeitsprozess vollständig nur auf den zentralen Servern dokumentiert wird (Sharepoint Service) und auf den privaten PCs nur wegen der eigenen Beiträge und Änderungen.

Besonders wichtig sind dabei die Entscheidungsbefugnisse. Ein Sachbearbeiter kann in ein Dokumentenmanagementsystem alles schreiben - das ist zunächst nur ein unverbindlicher Entwurf. Die Authorisierung ist wichtig, also die Frage: Wer hat beschlossen, dass eine Erklärung in die Öffentlichkeit kommt? War dieser Mensch zu der Entscheidung befugt (Workflow, Zeichnungsberechtigung) und wurden die Beteiligungsrechte gewahrt?
 

zurück zum Verweis nach oben Anmerkungen
 

 
 Jetzt ist in der Deutschen Richterzeitung - DRiZ (2007, 225) - ein Artikel von Markus Hansen und Andreas Pfitzmann über die Online-Durchsuchung erschienen, der zu ähnlichen Ergebnissen kommt wie der Cyberfahnder. Unter der Überschrift "2.2 Datengewinnung und Kommunikation" beschränken sie sich aber auf die Vorstellung, die Onlinedurchsuchung verlange nach der steuernden Präsenz eines Ermittlers. Das ist keine zwingende Annahme, wenn man weiß, was Programme wie Perkeo leisten können. Den Mitschnitt der fließenden Kommunikation betrachten sie nicht ausdrücklich.

Abschließend würdigen die Autoren die verfassungsrechtliche Bedeutung der Onlinedurchsuchung.

Der Cyberfahnder ist sicherlich kein ausgewiesener Verfassungsrechtler. Im Ergebnis bin ich aber strenger als die Autoren, weil ich die Onlinedurchsuchung als aktive Suche und Datenselektion dem großen Lauschangriff gleichstelle, der Verfolgung der besonders schweren Kriminalität vorbehalte und als Ultima ratio kennzeichne - mit dem Bundesverfassungsgericht und ohne Rückgriff auf das Recht auf informationelle Selbstbestimmung.
  

 
Siehe auch:
Ralph Neumann, Die elektronischen Schlapphüte kommen. Was soll, was kann und wozu nützt eine Online-Durchsuchung? DRiZ 2007, 226
Skeptische Stimmen zur Online-Durchsuchung - eine Ergänzung, Heise online 17.08.2007

Stefan Krempl, Festplatte im Staatsvisir, c't 20/2007, S. 86

leitendes Thema im August 2007
leitendes Thema im September 2007
 

zurück zum Verweis nach oben Cyberfahnder
 

 

 

 

 

 

 

 

 

 

 

© Dieter Kochheim, 05.09.2010