HRRS
Onlinezeitschrift für Höchstrichterliche Rechtsprechung zum Strafrecht
April 2007
8. Jahrgang
PDF-Download
Aufsätze und Entscheidungsanmerkungen
Die "Online-Durchsuchung". Technischer Hintergrund des verdeckten hoheitlichen Zugriffs auf Computersysteme
Von Ulf Buermeyer, Berlin *
Der Beschluss des 3. Strafsenats des Bundesgerichtshofs zur sogenannten "Online-Durchsuchung"[1] hat ein lebhaftes Echo gefunden: Während einige der deutlichen Erinnerung des Senats an die eingriffsbegrenzende Funktion des Gesetzesvorbehalts für grundrechtsrelevante Ermittlungshandlungen zustimmten, forderten andere, die für das Strafverfahren bisher fehlende formalgesetzliche Grundlage einer solchen Maßnahme baldmöglichst zu schaffen.
Anders als die engagiert geführte Diskussion in Rechtwissenschaft und Politik vermuten ließe, handelt es sich bei "der" Online-Durchsuchung jedoch nicht um eine klar definierte Ermittlungsmaßnahme. Selbst in der bislang noch recht übersichtlichen Rechtsprechung finden sich unterschiedliche - intendierte oder angeordnete - Eingriffe.[2] Der folgende Beitrag möchte zur Begriffsklärung beitragen und darstellen, warum es bei der zutreffender als Online-Überwachung zu bezeichnenden[3] Maßnahme aus tatsächlicher Sicht geht. Dazu wird zunächst die Terminologie vorgestellt, die zur Kennzeichnung der allgegenwärtigen - illegalen - Angriffe verwandt wird, mit denen EDV-Anwender konfrontiert werden. Was ist eigentlich genau ein "Sniffer" oder ein "Root-Kit"?
Daran anknüpfend wird gegenübergestellt, welche Erkenntnismöglichkeiten sich den Ermittlungsbehörden bereits heute durch Überwachung des Internet-Verkehrs und Auswertung einer beschlagnahmten EDV-Anlage bieten und welche technischen und ermittlungstaktischen Vorteile eine Online-Überwachung bieten könnte. Dabei wird zwischen den unterschiedlichen Zugriffsformen zu differenzieren sein, die derzeit unter diesem allzu vagen Begriff diskutiert werden: Welche Zugriffe waren im zuletzt vom 3. Strafsenat des BGH entschiedenen Fall beabsichtigt, liegen anderen Entscheidungen zugrunde oder wären technisch denkbar?
In einem separaten Beitrag wird dargestellt werden, welche verfassungsrechtlichen Vorgaben nach der Rechtsprechung des BVerfG zu beachten sein werden, falls sich der Gesetzgeber zu einer gesetzlichen Regelung entschließen sollte. Doch auch wenn es zu einer solchen Normierung der Online-Überwachung nicht kommen sollte, ist der verfassungsrechtliche Hintergrund von Bedeutung. Es handelt sich dabei nämlich keineswegs um - atonale? - Zukunftsmusik: Der nordrhein-westfälische Gesetzgeber hat im Dezember 2006 in einer mit heißer Nadel gestrickten[4] und auch in der Fachöffentlichkeit bisher recht wenig beachteten[5] Novelle des Verfassungsschutzgesetzes[6] eine Eingriffsgrundlage geschaffen. Zwei Verfassungsbeschwerden,[7] die sich unmittelbar gegen dieses Änderungsgesetz richten, sind seit Februar bzw. März 2007 beim BVerfG anhängig; das Gericht hat sie "zugestellt".[8]
A. Die Welt der Viren - Überblick über die Rechtswirklichkeit des illegalen Fernzugriffs auf Computersysteme
Bereits das vielzitierte Schlagwort vom "Bundestrojaner" als Spitznamen für ein derzeit in Entwicklung befindliches Computerprogramm[9] zum staatlichen Fernzugriff auf EDV-Anlagen macht deutlich, dass die Ermittlungsbehörden hier technisch betrachtet kein Neuland betreten: Angriffe durch "Trojaner" sind jedenfalls für Nutzer von Rechnern mit dem Betriebssystem Microsoft Windows
alltägliche Realität.[10] Daher lohnt sich ein kurzer Blick auf den gegenwärtigen Stand der Technik auf der dunklen Seite des Internet: Was zu missbräuchlichen Zwecken technisch möglich ist, könnte auch auf gesetzlicher Grundlage zu hoheitlichen Zwecken eingesetzt werden.
1. Überblick über den Datenaustausch im Internet
Die Diskussion um die Online-Überwachung setzt ein grundsätzliches Verständnis der Datenübertragung im Internet voraus, die wie folgt zusammenzufassen ist:
Um mit einem Rechner "ins Netz" zu gehen, ist zunächst ein Anschluss an das Internet nötig. Von praktischer Bedeutung sind heute vor allem sogenannte DSL[11]-Zugänge, der Zugang über das Mobilfunknetz (insbesondere per UMTS) und immer noch die Einwahl über das klassische Telefonnetz mit einem sogenannten Modem. Diesen Zugangsformen ist bei allen Unterschieden vor allem bei den Kosten und der Geschwindigkeit der Übertragung gemeinsam, dass sie zunächst nur den Datenaustausch zwischen der Anlage des Benutzers und der Infrastruktur des Zugangsanbieters (des "Access-Providers" oder kurz "Providers") herstellen. Über diese providereigene Hardware werden die Daten aus dem weltweiten Netz an den Nutzer weitergereicht und umgekehrt. Aus rechtlicher Sicht ist dabei vor allem bedeutsam, dass der gesamte Datenverkehr des Nutzers außerhalb seiner Einflusssphäre an einem Punkt - nämlich beim Provider - "mitgeschnitten" werden kann.
Sobald ein Rechner die Verbindung zur Infrastruktur des Providers herstellt, wird ihm eine sogenannte IP[12]-Adresse zugeteilt. Jedes System - oder auch jeder "Host", wie ein Rechner im Netz bezeichnet wird - benötigt eine solche Adresse, um über das Internet Daten austauschen zu können, da allein aufgrund der IP-Adresse Absender und Empfänger der Daten bestimmt werden. Diese Adressierung ist deshalb so wichtig, weil im Internet im Gegensatz etwa zum klassischen Telefonnetz keine "Leitungen" unmittelbar zwischen den kommunizierenden Systemen geschaltet werden. Internet-Verbindungen sind vielmehr virtuell: Daten aus verschiedensten Kommunikationsvorgängen teilen sich dieselben Leitungswege; allein über die Adressierung der Daten lassen sie sich bestimmten Empfängern zuordnen. Die Informationen werden dabei zum Transport im Internet in relativ kleine "Pakete" von rund 1.500 Zeichen aufgeteilt, von denen jedes unabhängig von den anderen übertragen wird; man spricht daher von einer "paketorientierten" Datenübertragung.
Schließlich ist aus Sicht der EDV-Sicherheit von Bedeutung, dass ein Rechner die an seine IP-Adresse gerichteten Datenpakete prinzipbedingt zunächst empfangen muss - man kann im Internet "nicht nicht kommunizieren". Eine andere Frage ist, inwieweit ein einmal empfangenes Paket auch inhaltlich ausgewertet, ausdrücklich (d.h. unter Mitteilung an den Empfänger) abgelehnt oder stillschweigend verworfen wird.
2. Viren, Trojanische Pferde und Trojaner
Unerwünschte Eindringlinge plagten bereits in den 80er-Jahren die Nutzer des damals weit verbreiteten Home-Computers "Commodore 64" und Anwender der ersten PCs. Die schon damals gängige Bezeichnung unerwünschter Schadprogramme als "Viren" beruht auf einer Analogie zu den gleichnamigen Krankheitserregern: Ebenso wie diese sind auch Computer-Viren zu ihrer Verbreitung auf "Wirte" angewiesen, nämlich die betroffenen Computersysteme, auf denen sie sich verbreiten. Und ebenso wie die Krankheitserreger übernehmen auch Computerviren die Kontrolle über den "Wirt" und missbrauchen ihn zu ihrer eigenen Reproduktion. Die Bezeichnung "Virus" als Oberbegriff für verschiedenste Schadprogramme hat sich bis heute gehalten, geändert haben sich jedoch ebenso die Funktionsweise wie die Art der Weiterverbreitung.
Als "Trojanische Pferde" - bzw. kurz, wenn auch historisch unzutreffend,[13] als "Trojaner" - bezeichnete die EDV-Fachwelt ursprünglich Programme, die neben ihrer offen erkennbaren Funktion noch eine versteckte, regelmäßig vom Anwender nicht gewünschte Aufgabe erfüllen. Inzwischen ist die Bedeutung des Begriffs diffuser geworden, sodass er oft synonym mit der Bezeichnung "Virus" als generelle Bezeichnung für einen Eindringling verwandt wird.
3. Verbreitungsformen von Schadsoftware
Während in den 80er und 90er Jahren zunächst die Weitergabe von infizierten Disketten die entscheidende Rolle bei der Verbreitung von Viren spielte, führte der Siegeszug des Internet ab Mitte der 90er Jahre zu einer nahezu
vollständigen Umstellung der Viren-Programmierer auf die Infektion über Netzwerke. Viren, die sich auf diese Weise verbreiten, werden auch "Würmer" oder "Internet-Würmer" genannt. Hier dominieren zwei Formen:
a) Verbreitung als Dateianhang einer eMail
Die weitaus meisten Schadsoftware-Programme setzen auf die Weitergabe als Dateianhang in einer eMail. Dazu enthalten die Viren-Programme eine Funktion, die den befallenen Rechner zum Versand von eMails nutzt, die wiederum das Virus transportieren. Typischerweise durchsuchen Viren das befallene System nach eMail-Adressbüchern und versenden sich wahllos an alle gefundenen Adressen unter einem zufällig gewählten Absender aus dem lokalen Adressbestand. Dies führt zu der besonders gefährlichen Erscheinung, dass infektiöse eMails häufig vorgeben, von einem bekannten Absender zu stammen.
Dieses vertrauenserweckende Mimikry weist auf die zentrale "Schwachstelle" des Verbreitungswegs eMail aus der Sicht des Virus-Programmierers hin: In der Regel[14] führt der bloße Empfang einer infektiösen Botschaft selbst noch nicht zum Befall des Systems des Empfängers. Vielmehr muss er dazu den Anhang öffnen, was typischerweise einen "Doppelklick" mit der Maus erfordert. Aus der Sicht des Virus-Programmierers gilt es also, die - hoffentlich vorhandene - gesunde Skepsis des Empfängers gegenüber versandten Dateien zu überwinden und ihn zum Öffnen des Anhangs zu verleiten. Dazu setzen Viren-Programmierer vielfältige Tricks ein. Derzeit beliebt sind etwa angebliche Rechnungs-eMails mit horrenden Forderungen, wozu sich Details im Anhang finden sollen. Wer hier seiner Neugier nachgibt, wie es zu einer so hohen Forderung kommen mag, hat schon verloren, es sei denn, ein leistungsfähiger Virenscanner ist installiert, der vor allem aktuell genug ist, um den Eindringling in letzter Sekunde zu erkennen und unschädlich zu machen.
b) Verbreitung unter Ausnutzung von Sicherheitslücken des Systems
Einige wenige, dafür aber umso gefährlichere Schadprogramme benötigen keinen eMail-Verkehr, sondern nutzen Programmierfehler der EDV-Systeme aus, um diese zu infizieren, während sie mit dem Internet verbunden sind. Daraufhin übernimmt die eingedrungene Software die Kontrolle über das befallene System und versucht, von dort aus weitere zufällig ausgewählte Rechner über das Internet zu infizieren.
Zwar ist die Zahl der Sicherheitslücken, die sich als Einfallstor eignen, nur begrenzt. Andererseits muss der Benutzer zur Infektion - anders als regelmäßig[15] bei Viren in eMail-Anhängen - nicht überlistet werden. Wird daher in interessierten Kreisen eine solche Lücke bekannt und reagiert der Anbieter der lückenhaften Software nicht schnell genug, so führt dies typischerweise zu sehr hohen Infektionsraten binnen kurzer Zeit und mitunter wegen des zusätzlichen Datenverkehrs zu deutlichen Störungen des Internet.
Ein Beispiel für einen besonders "erfolgreichen" Wurm ist "Sasser", der die Netzgemeinschaft im Sommer 2004 heimsuchte[16] und einige Millionen Windows-Rechner infizierte. Bei Sasser führt der bloße Empfang eines einzigen Datenpakets, das an eine bestimmte Schnittstelle des Zielrechners gerichtet ist, aufgrund eines Fehlers des Betriebssystems Windows zur Ausführung eines winziges Schadprogramms, das in dem zugesandten Datenpaket enthalten ist. Einmal gestartet, lädt es den eigentlichen Virus-Code vom Absender des infektiösen Datenpakets herunter und führt ihn aus. Unmittelbar nach der Infektion beginnt der angegriffene Rechner seinerseits damit, zufällig ausgewählte andere Hosts zu infizieren, indem er ihnen ein infektiöses Datenpaket zusendet und den eigentlichen Virus-Code zum Abruf bereitstellt, sodass es binnen Minuten zu einem Lawineneffekt mit zahllosen Neuinfektionen ungeschützter Windows-Rechner kommt.
4. Typische Schadfunktionen
Schließlich soll an dieser Stelle noch ein kurzer Überblick über typische Schadfunktionen heutiger Schadsoftware - in jüngerer Zeit in Anlehnung an den Begriff "Software" für Computerprogramme auch als "Malware" bezeichnet - gegeben werden.
Aus der Sicht eines Virus-Programmierers grundlegend ist die möglichst weite Verbreitung seines Schadprogramms. Bis etwa zum Jahr 2000 wurden Viren überhaupt nur um dieses Selbstzwecks willen entwickelt und enthielten darüber hinaus keine oder nur "kosmetische" Funktionen, wie etwa der Wurm "Win32.Melting", der den Bildschirminhalt scheinbar wie Raclettekäse schmelzen ließ, sodass er am unteren Bildschirmrand "zusammenfloss".[17] Auch heute noch enthalten praktisch alle
aktuellen Viren eine Funktion zur automatischen Weiterverbreitung. Dabei ist zunächst kein Schaden für den Inhaber des Wirtssystems beabsichtigt, sodass die Reproduktionsfunktion nicht als Schadfunktion im engeren Sinne zu bezeichnen ist. Allerdings sind "Kollateralschäden" denkbar, etwa wenn der Internet-Zugang nach übertragener Datenmenge abgerechnet wird, sodass versandte Virus-Kopien unmittelbar zu Buche schlagen, oder indem die Bandbreite des Netzzugangs durch das Senden zahlloser virenverseuchter eMails verstopft wird.
a) Sniffer / Keylogger
Die ersten Viren, die nicht nur verbreitet werden sollten, sondern darüber hinaus einen weiteren Zweck verfolgten, brachten einen sogenannten "Sniffer" [18] oder auch "Keylogger" [19] mit, d.h. eine Funktion, die jede auf der Tastatur gedrückte Taste erfasste und die so gesammelten Daten dem Autor des Virus zusandte oder ihm zum Abruf zur Verfügung stellte.[20] Auf diese Weise - so die Intention des Urhebers - können u.a. Zugangsdaten (Benutzernamen und Passwörter) mitgeschnitten und missbraucht werden, etwa um unter fremdem Namen betrügerische Auktionen auf der Handelsplattform eBay durchzuführen. Zugleich können Passwörter mitgelesen werden, die der Benutzer eingibt, um z.B. auf durch Verschlüsselung besonders geschützte Dateien zuzugreifen.[21]
b) Backdoors
Heutige Würmer enthalten häufig eine Komponente, die es dem Autor ermöglicht, den befallenen Rechner "fernzusteuern"; sie bieten also eine "Backdoor", eine Hintertür zu dem befallenen System. Eine grundlegende Funktion dieses Schleichweges besteht darin, dem Angreifer über das Internet vollen Zugriff auf die gespeicherten Daten zu gewähren, als säße er vor dem angegriffenen Rechner. Die Möglichkeiten des Missbrauchs sind mannigfaltig - man denke nur an Kreditkartendaten oder Zugangscodes zu kostenpflichtigen Online-Angeboten, die auf dem Rechner möglicherweise gespeichert sind.
Ein weiterer typischer Anwendungszweck von "Backdoors" ist das Nachladen neuer Komponenten je nach Bedarf des Angreifers. Aktuelle Viren sind regelmäßig modular aufgebaut, wobei eine Komponente für die Infektion und Reproduktion zuständig ist, während weitere Komponenten - aus der Sicht des Viren-Programmierers die eigentliche "Nutzlast" - erst nach der Infektion aus dem Internet heruntergeladen werden.[22] Auf diese Weise lässt sich die Flexibilität einer Schadsoftware steigern, weil lediglich die Programmteile zur Verbreitung nach der Freisetzung des Schädlings fest definiert sind, während die darüber hinausgehenden Funktionen beliebig geändert werden können. Der einmal von einem Virus befallene Rechner verwandelt sich so zum äußerst praktischen, ganz nach Bedarf zu missbrauchenden "Nutztier". Eine Gruppe parallel ferngesteuerter Rechner wird als "Bot-Netz" bezeichnet, deren Mitgliederzahl bisweilen einige Tausend erreicht.
In der Praxis werden befallene Rechner häufig zum massenhafte Versand von Werbe-eMails (sogenannter "Spam-eMails") genutzt, indem ihnen über eine Hintertür "Versandaufträge" erteilt werden. Ein anderes reales Einsatzszenario sind sogenannte "DDOS"-Attacken:[23] Ein Bot-Netz, also eine Vielzahl infizierter Rechner, wird zeitgleich über die jeweilige "Backdoor" veranlasst, auf denselben Internet-Server zuzugreifen, etwa durch den Abruf einer Webseite. Die schiere Masse tausender gleichzeitiger Anfragen lässt den betroffenen Server schließlich zusammenbrechen oder beeinträchtigt zumindest seine vorgesehene Nutzung erheblich. Damit lassen sich unliebsame Internet-Seiten - etwa von Antivirus-Herstellern - vorübergehend faktisch lahm legen oder auch Schutzgelder von den Betreibern kommerzieller Internet-Angebote erpressen, die einen verlustträchtigen Ausfall ihrer Seite unbedingt vermeiden wollen.
c) Rootkits
In jüngerer Zeit haben einige Virenautoren ihre Programme mit einer besonders perfiden Technik ausgestattet, damit die Schädlinge nur schwer entdeckt und beseitigt werden können: Sie nutzen sogenannte "Rootkit" [24] -Techniken. Damit werden Methoden bezeichnet, mit denen das Betriebssystem so manipuliert wird, dass bestimmte Dateien und aktive Programme dem Benutzer gar nicht mehr angezeigt werden. Er mag also sein Dateisystem manuell oder mittels einer Antivirus-Software durchsuchen, soviel er mag - der Virus ist sowohl im Hauptspeicher als auch auf den Datenträgern schlicht unsichtbar geworden. Für besonderes Aufsehen sorgten vor einiger Zeit Versuche von Unternehmen der Unterhaltungsindustrie,[25] die PCs ihrer Kunden ungefragt und verschleiert mittels Rootkit-Technologie so zu manipu-
lieren, dass Kopien von CDs und DVDs verhindert werden sollten.
5. Schutzkonzepte von Virenscannern
Wichtig ist schließlich ein grundlegendes Verständnis der Technik von Antivirus-Software. Aktuelle Programme können sowohl Dateien beim Lesen oder Schreiben seitens des Benutzers auf Viren prüfen (sog. On-Access-Scan [26] ) als auch im Hintergrund Hauptspeicher und Medien nach dort gespeicherten Schädlingen durchsuchen. Dabei verfolgen sie eine doppelte Strategie, um Schadsoftware zu erkennen:
Zum einen stützen sie sich auf sogenannte Signaturen. Dies sind Kurzbeschreibungen typischer Kennzeichen von Virusdateien, in etwa vergleichbar ihrem Fingerabdruck. Findet die Antivirus-Software beim Zugriff auf eine Datei einen Zeichenfolge, die ihr als Virensignatur bekannt ist, schlägt sie Alarm. Schwäche dieser Erkennungsmethode ist jedoch, dass sie ein Virus grundsätzlich nur dann erkennen kann, wenn die passende Signatur vorliegt. Dies setzt voraus, dass der Hersteller des Virenscanners bereits eine Signatur erstellt und der Nutzer sie heruntergeladen und eingespielt hat.
Zum anderen versuchen Antiviren-Programme, Viren anhand eines typischen Verhaltens, insbesondere typischer Anweisungen im Programmcode zu erkennen (sogenannte heuristische Verfahren). Die Heuristik hat den Vorteil, dass sie möglicherweise auch neue, unbekannte Viren anhand verdächtigen Verhaltens erkennen kann. Andererseits ist die Einschätzung eines Programms als "gut" oder "böse" relativ heikel: Eine Sicherheitssoftware, die häufig Fehlalarme produziert, wird irgendwann nicht mehr ernstgenommen; lässt sie aber aufgrund großzügigerer Prüfung Viren passieren, vermittelt sie eine gefährliche, weil trügerische Sicherheit.
B. Erweiterte Möglichkeiten der verdeckten Online-Überwachung im Gegensatz zu klassischen Ermittlungsmethoden
Auch nach bisheriger Rechtslage stellt eine EDV-Anlage aus der Sicht der Ermittlungsbehörden keine terra incognita dar. So unterliegen die Computeranlagen selbst - die sogenannte Hardware - ebenso der Sicherstellung und Beschlagnahme wie externe Speichermedien, etwa CD-ROMs oder DVDs.[27] Datenträger - interne, vor allem Festpatten, ebenso wie externe - können gem. § 110 Abs. 1 StPO ("Durchsicht von Papieren") ausgelesen und auf verfahrensrelevanten Inhalt hin analysiert werden.[28] Der Datenaustausch eines Rechners über das Internet kann als Telekommunikation gem. § 100a StPO überwacht werden.[29] Doch stoßen diese Ermittlungsmaßnahmen an spezifische Grenzen.
1. Grenzen der Erkenntnisgewinnung bei der "klassischen" Durchsuchung
a) Ermittlungstaktische Nachteile
Die physische Beschlagnahme des Computers setzt eine klassische Durchsuchung voraus. Diese ist gem. § 106 StPO eine offene Maßnahme, wie der BGH gerade mit seinem Beschluss zur "Online-Durchsuchung"[30] bekräftigt hat. Der Betroffene erfährt also vom Zugriff und damit von dem geführten Ermittlungsverfahren. Aus ermittlungstaktischer Sicht kann dies Nachteile haben, weil dadurch oftmals weitere Ermittlungsansätze verloren gehen werden,[31] etwa indem Kontakte zu noch unbekannten Mittätern abgebrochen werden oder indem Dritte Gelegenheit erhalten, Beweismittel zu vernichten.
b) Momentaufnahme des Systems ohne die Inhalte des Hauptspeichers
Naturgemäß kann das System nach dem Zugriff der Ermittlungsbehörden nicht mehr im laufenden Betrieb beobachtet, sondern lediglich ein bestimmter Endzustand der Datenträger analysiert werden. Ein Speichermedium bleibt dabei der Beweisgewinnung vollständig entzogen: Der Arbeitsspeicher des Systems (auch Hauptspeicher oder RAM genannt) wird beim Abschalten der Stromversorgung irreversibel gelöscht.[32]
Allerdings erscheint eher zweifelhaft, von welchem praktischen Nutzen der Zugriff auf den Arbeitsspeicher tatsächlich wäre, da praktisch alle auf einem Rechner verarbeiteten Informationen früher oder später ihren Weg auf die Festplatte finden. Eine Ausnahme mag für Passwörter gelten. Doch wäre es ein grober Designfehler einer Verschlüsselungssoftware, einmal eingegebene Passwörter im Klartext im Arbeitsspeicher zu halten. Daher kann ein solcher Fund im Arbeitsspeicher allenfalls als seltenes Glück, kaum aber als ernsthafter Ermittlungsansatz angesehen werden kann. Dies gilt zumal angesichts der Größenverhältnisse: Sucht man auf einem Rechner, der heute typischerweise mehr als 500 Millionen Zeichen[33] im Hauptspeicher fassen kann, nach einem vielleicht ein Dutzend Zeichen langen Passwort, so gleicht dies der Suche nach der sprichwörtlichen Nadel im Heuhaufen.
c) gelöschte Dateien
Ein Problem für die Ermittlungsbehörden stellen vom Betroffenen[34] einmal angelegte, aber bereits wieder gelöschte Dateien dar. Zwar kann deren Inhalt unter optimalen Bedingungen rekonstruiert werden, wenn der - unbedarfte - Anwender eine Datei nur mit den Mitteln des Betriebssystems "löscht".[35] In diesem Falle werden nämlich nicht die Dateiinhalte als solche von der Festplatte entfernt, sondern nur der sogenannte Directory-Eintrag, d.h. der Hinweis in Datenstrukturen des Betriebssystems, dass ein bestimmter Bereich der Festplatte einer Datei unter einem bestimmten Namen zugeordnet ist - vergleichbar etwa einer Karteikarte im Katalog einer Bibliothek, die den Standplatz eines Bandes im Regal angibt. Die gezielte Suche nach "gelöschten" Dateien ist bereits kriminalistische Praxis und führt bisweilen zu bemerkenswerten Erfolgen.[36]
Allerdings werden die ehemals bereits gelöschten Dateien zugeordneten Festplattenbereiche vom Betriebssystem als frei angesehen und früher oder später mit neuen Inhalten überschrieben, was die Rekonstruktion nahezu[37] unmöglich macht. EDV-gewandte und zugleich auf Geheimhaltung bedachte Benutzer werden zudem spezielle Lösch-Programme einsetzen,[38] die die Inhalte einer zu löschende Datei auf dem Datenträger unwiederbringlich überschreiben.
d) externe Datenspeicher
Soweit Daten auf externen Speichern abgelegt sind - etwa auf bestimmten Servern im Internet - können sie naturgemäß auf einem beschlagnahmten Rechner nicht gefunden und ausgewertet werden. Zum Zugriff sind regelmäßig Benutzernamen und Passwort notwendig. Der Einsatz solcher Server erfordert kein besonderes Fachwissen, lässt sich aber auf dem Rechner, von dem aus darauf zugegriffen wird, kaum nachweisen. Daher stellen externe Speicher auch in der Ermittlungspraxis bereits ein Problem dar.[39]
e) Einsatz von Verschlüsselungssoftware
Zudem kann der Zugriff der Ermittlungsbehörden auf gespeicherte Daten durch den Einsatz geeigneter Verschlüsselungssoftware erheblich erschwert und - bei Verwendung entsprechend starker Software und geeigneter Passwörter[40] - auch gänzlich vereitelt werden.[41] So bieten Windows-Betriebssysteme ab der Version Windows 2000 die Verschlüsselung ganzer Festplatten[42] an - der Zugriff ist dann nur möglich, wenn sich ein Benutzer mit seinem Benutzernamen und Passwort am System angemeldet hat, der als zugriffsberechtigt erkannt wird. Ein systemübergreifendes Beispiel ist das Programm TrueCrypt[43], das derzeit[44] unter Microsoft Windows und Linux lauffähig ist und sowohl ganze Festplatten[45] verschlüsseln als auch "virtuelle Laufwerke" zur Verfügung stellen kann. "Virtuelle Laufwerke" werden technisch betrachtet in normalen Dateien abgelegt, erscheinen dem Anwender jedoch unter Windows wie ein "normales" Laufwerk, d.h. können unter einem Laufwerksbuchstaben genau wie z.B. eine Festplatte oder eine CD-ROM angesprochen werden. TrueCrypt bietet verschiedene Verschlüsselungsalgorithmen an, die bei richtiger Wahl des Passworts in realistischen Zeiträumen nach gegenwärtigem Stand der EDV-Technik nicht zu "knacken" sind.[46]
2. Grenzen der Telekommunikationsüberwachung
Auch die Überwachung des Internet-Verkehrs als Telekommunikation gem. § 100a StPO kann bestimmte Inhalte systembedingt nicht erfassen.
a) verschlüsselte Übertragungskanäle
Durch eine Anordnung gem. §§ 100a, 100b StPO können Internet-Zugangsanbieter verpflichtet werden, an der Überwachung des Internet-Verkehrs des Betroffenen mitzuwirken. Technisch werden dabei alle Daten in unsortierter Form zur Verfügung gestellt, die über die Internetverbindung des Betroffenen empfangen oder gesendet werden. Zwar ist es technisch mit einigem Aufwand möglich, die abgegriffenen Rohdaten wieder einzelnen Kommunikationsvorgängen - etwa dem Abruf einer WWW-Seite - zuzuordnen. Allerdings sind die Daten aus der Sicht der Ermittlungsbehörden praktisch wertlos, wenn der Benutzer eine verschlüsselte Verbindung genutzt hat, etwa zu einer WWW-Seite, die das Protokoll HTTPS einsetzt. Denn die eingesetzten Verschlüsselungsverfahren gelten nach gegenwärtigem Stand der Mathematik als nicht zu brechen.
Ein alltägliches Beispiel für den Einsatz verschlüsselter Kommunikation im Internet ist der schlichte Abruf einer Seite für das Online-Banking. Naturgemäß haben Bank und Kunde ein Interesse daran, dass niemand die übertragenen Daten "unterwegs" abhören kann, und setzten entsprechend starke Verschlüsselungsverfahren ein. Damit aber lässt sich mit der Überwachung der Telekommunikation lediglich noch ermitteln, dass zwischen dem Rechner des Betroffenen und dem Server der Bank eine Kommunikation stattgefunden hat. Welche Daten jedoch ausgetauscht wurden, bleibt unbekannt. Vergleichbare Verschlüsselungsverfahren existieren für alle Internet-Protokolle.[47]
b) Internet-Telefonie
Seit einigen Jahren werden Computer zunehmend für Zwecke der Telefonie über das Internet genutzt. Dazu werden verschiedene sogenannte VoIP[48]-Verfahren eingesetzt werden. Je nach verwandter Software ist es technisch nicht möglich, den VoIP-Telefonie-Verkehr auf der Strecke zwischen den beteiligten Rechnern abzuhören. Auch in diesem Fall laufen Eingriffsbefugnisse wie § 100a StPO derzeit faktisch leer, wenn die Kommunikationspartner gewisse "Sicherheitsvorkehrungen" treffen. Dazu genügt es, die weit verbreitete und kostenfreie Software Skype [49] zu nutzen. Für dieses Programm werden bereits handyähnliche Geräte angeboten, die nicht einmal mehr einen Computer benötigen.[50]
3. Vorteile der Online-Überwachung
Demgegenüber bietet der heimliche Zugriff auf eine EDV-Anlage über das Internet aus Sicht der Ermittlungsbehörden verschiedene Vorteile. Dabei sind unterschiedliche Formen des Zugriffs denkbar: In der denkbar mildesten Form der Online-Überwachung wird von außen auf das Dateisystem des betroffenen Computers zugegriffen, um einmal eine Kopie sämtlicher Datenträger oder bestimmter Teile hiervon herzustellen (unten a). In einer weitergehenden Form der Online-Überwachung wäre denkbar, das Dateisystem zunächst ebenfalls zu kopieren, sodann aber auf mögliche Änderungen hin zu überwachen und so einen Einblick in die Aktivitäten des Anwenders zu gewinnen (b). Schließlich wäre als wesentlich weitergehender Eingriff auch ein Vollzugriff auf den Rechner möglich, der eine Reihe von Einblicken eröffnet (c).
a) einmaliger Zugriff auf das Dateisystem - Suche nach Dateien und "Daten-Spiegelung"
Der einmalige Zugriff auf die gespeicherten Daten - ob in Form der Suche nach bestimmten Dateien oder in Form der Komplettkopie eines Datenträger, der sogenannten Spiegelung - kommt der klassischen Beschlagnahme und Auswertung eines Rechners am nächsten: Hier wie dort steht der Ermittlern eine Momentaufnahme der EDV-Anlage zur Verfügung.
Dennoch bietet bereits die einmalige Kopie eines Teils der gespeicherten Daten oder der gesamten Datenträger erhebliche technische Vorteile. Von besonderer praktischer Bedeutung dürfte sein, dass die Durchsuchung des laufenden Rechners einen Zugriff bieten kann, der demjenigen des am Rechner arbeitenden Anwenders entspricht. Damit behindert der Einsatz von Verschlüsselungssoftware die Ermittlungen nicht mehr oder zumindest deutlich weniger: Die Verschlüsselung mittels NTFS wird komplett umgangen, da der Zugriff nach der Anmeldung des Benutzers an seinem Rechner für ihn und alle aktiven Programme - und damit auch das staatliche Durchsuchungsprogramm - freigeschaltet wird. Setzt der Anwender andere Verschlüsselungstechnologien ein, hängt es vom Zufall ab, in welchem Umfang er während des Zeitraums der Spiegelung den Zugriff durch Eingabe des Passworts freischaltet.
b) kontinuierliche Überwachung des Dateisystems - "Daten-Monitoring"
Hängt der konkrete Erkenntnisgewinn bei der einmaligen Spiegelung der Festplatte noch vom Zeitpunkt des Zugriffs ab, so kann bei kontinuierlicher Überwachung der gespeicherten Daten, bei der jede einzelne Änderung mitgeschnitten wird ("Monitoring"), auf die Hilfe von
"Kommissar Zufall" verzichtet werden: Auch wenn Teile der Festplatte verschlüsselt sein mögen, so wird der überwachte Anwender früher oder später den Zugriff "freischalten", etwa indem er sein Passwort eingibt, um mit den verschlüsselten Daten arbeiten zu können. Damit wird zugleich dem staatlichen Überwachungsprogramm die Möglichkeit eröffnet, die entschlüsselten Daten zu spiegeln. Bei genügend langer Überwachung des Rechners kann daher mit großer Wahrscheinlichkeit ein komplettes Abbild aller gespeicherten Daten einschließlich der verschlüsselten oder sonst besonders gesicherten Daten gewonnen werden.
Hinzu kommt, dass beim Monitoring auch die Inhalte von Dateien "mitgeschnitten" werden können, die nur für begrenzte Zeit gespeichert werden. Relevant kann dies zum einen werden, wenn der betroffene Nutzer Daten bewusst löscht. Zum anderen legen Internet-Browser[51] regelmäßig einen sog. Cache-Speicher einer bestimmten Größe an, in dem sie die Inhalte der zuletzt aufgerufenen Internet-Seiten hinterlegen und dabei ältere Inhalte löschen, um Platz für die neuen zu schaffen. Aus den so gespeicherten Daten lässt sich relativ mühelos das WWW-Nutzungsverhalten rekonstruieren. Auch bei der Spiegelung (vgl. oben a) werden zwar die letzten besuchten Seiten erfasst. Wird aber das Cache-Verzeichnis über längere Zeiträume überwacht, so ergibt sich auch bei der bloßen Online-Überwachung mittels Monitoring ein ebenso detailliertes Profil der Internet-Nutzung des Betroffenen, als wenn der Datenverkehr von und ins Internet unmittelbar - etwa gem. § 100a StPO - beim Zugangsprovider mitgeschnitten worden wäre. Soweit der Datenverkehr verschlüsselt ablief,[52] können die Ermittlungsbehörden überhaupt nur mittels Zugriffs auf einen der beiden Endpunkte der Kommunikation Kenntnis von den übermittelten Inhalten nehmen, während ein Zugriff auf der Internet-Strecke - also praktisch beim Zugangsprovider - lediglich unverständliche verschlüsselte Daten liefern würde. Soweit es um die Kenntnisnahme bestimmter Inhalte der Kommunikation via Internet geht, ist damit die Online-Überwachung in der Form des Monitoring wesentlich eingriffsintensiver als eine Überwachung der Telekommunikation.
Analog gilt dies für den eMail-Verkehr: Alle gängigen eMail-Programme[53] legen heruntergeladene eMail-Nachrichten auf dem Rechner des Anwenders in bestimmten Dateien ab. Erfasst das Monitoring im Rahmen einer Online-Überwachung diese Dateien, so ergibt sich daraus ein komplettes Abbild aller empfangenen eMail-Botschaften, und zwar auch derer, die der Benutzer inzwischen längst gelöscht hat.
Da bei einer kontinuierlichen Online-Überwachung in Form des Monitoring auch solche Dateien erfasst werden, die der Betroffene nach dem Beginn des Monitoring wieder gelöscht hat und die daher von einer Spiegelung gerade nicht erfasst wären, verliert der Betroffene insoweit die Hoheit über den Bestand seiner Daten.
c) Weitere Zugriffsformen
Neben den gespeicherten Dateien können aus technischer Sicht noch wesentlich mehr Informationen von einem Computersystem aus der Ferne abgerufen werden. Es drängen sich verschiedene Szenarien auf:
aa) Keylogging
Als relativ schlichte Funktion würde es sich anbieten, einen "Bundestrojaner" mit einer Funktion auszustatten, die in der Tradition der Sniffer/Keylogger sämtliche Tastatureingaben mitschneidet. Auf diese Weise könnten eingegeben Passwörter mitgelesen werden, sodass beispielsweise auf verschlüsselte Daten auf der Festplatte oder auf externe Speicher im Internet[54] mit den Zugangsdaten des Betroffenen zugegriffen werden könnte.
bb) Mitschneiden von Internet-Telefonie
Vor dem Hintergrund, dass Internet-Telefonie unter Einsatz bestimmter Technologie derzeit nicht auf der Übertragungsstrecke abzuhören ist, könnte aus der Sicht der Ermittlungsbehörden ein Bedürfnis entstehen, stattdessen einen der beteiligten Rechner "anzuzapfen".[55] Denn dort werden die Audio-Daten notwendigerweise von der Telefoniesoftware in entschlüsselter Form wieder an das Betriebssystem zur Ausgabe über Lautsprecher oder Kopfhörer übergeben. Dass das Mitschneiden auf einem der beteiligten Rechner technisch keine besondere Herausforderung darstellt, zeigen Programme wie TotalRecorder[56], die in der Lage sind, jeden Ton mitzuschneiden und zu speichern, der von einem Windows-Rechner ausgegeben wird. Was sich speichern lässt, kann jedoch ebenso gut in Echtzeit an einen Rechner z.B. des Bundeskriminalamts über das Internet zur dortigen Aufzeichnung übertragen werden.
cc) Aktivieren von Mikrofon und Kamera
Praktisch alle heute gängigen Laptops haben ein eingebautes Mikrofon, leistungsfähigere Modelle bringen oftmals auch eine eingebaute Kamera (eine sogenannte "Webcam") mit. Aber auch an viele ortsgebundene Rechner sind Mikrofone und Kameras angeschlossen. Aus technischer Sicht ist es kein Problem, diese Aufnahmevorrichtungen aus der Ferne zu aktivieren und die
aufgenommenen Audio- und Video-Daten an Ermittlungsbehörden zu übertragen. Der Anwender würde in diesem Falle unfreiwillig selbst die Geräte stellen, mit denen gegen ihn eine akustische und optische (Wohnraum-)Überwachung durchgeführt wird - also ein kumulierter großer Lausch- und Spähangriff über das Internet.
dd) Fernsteuerung des Rechners
Über eine hoheitliche "Backdoor" können schließlich auch alle übrigen Funktionen des Rechners benutzt werden, die einem Benutzer offen stehen, der unmittelbar am Gerät arbeitet. Dies könnte realisiert werden, indem die dortige Bildschirmausgabe über die Überwachungssoftware an die Ermittlungsbehörden übertragen wird, während Tastatureingaben und Mausbewegungen in umgekehrter Richtung, also aus der Ferne, auf den überwachten Rechner übertragen werden. Technisch ist auch dies Alltag - jeder Rechner unter Windows XP Professional bietet beispielsweise die Funktion "Remote-Desktopverbindung" [57] , die genau dies leistet. Damit wäre es etwa möglich, anstelle des Benutzers den Abruf von eMails auf seinen Rechner zu veranlassen, um sie von dort zu kopieren. Insgesamt werden hier die Grenzen zwischen der bloßen Überwachung und der Manipulation des Rechners des Betroffenen fließend.
C. Kasuistik bisheriger "Online-Durchsuchungen"
Die bisher im Rahmen von Strafverfahren beantragten Online-Überwachungen sind soweit ersichtlich entweder bereits nicht genehmigt oder später aus tatsächlichen Gründen nicht ausgeführt worden. Auch der Bundesregierung waren im Dezember 2006 keine durchgeführten Online-Überwachungen - weder zu repressiven noch präventiven Zwecken - bekannt[58]. Allerdings lässt sich den veröffentlichten Entscheidungen folgendes entnehmen:
1. Beschluss des Ermittlungsrichters des BGH vom 31. Juli 1995
Bereits vor fast zwölf Jahren erging ein Beschluss des Ermittlungsrichters des BGH [59] , der einen heimlichen Fernzugriff auf eine Mailbox zuließ:
"In dem Ermittlungsverfahren gegen X. wegen
Verdachts der Mitgliedschaft in einer terroristischen Vereinigung u. a. wird gemäß §§ 100a Satz 1 Nr. 1c und Nr. 2, Satz 2, 100b Abs. 1, 103 Abs. 1 Satz 1, 169 Abs. 1 Satz 2 StPO
I. die Überwachung und Aufzeichnung des Fernmeldeverkehrs bezüglich der Telefonanschlüsse X.
II. der einmalige Zugriff auf die Daten, die in den unter den genannten Anschlüssen erreichbaren Mailboxen gespeichert sind, soweit diese Daten X. betreffen, angeordnet.
Die Frist zu Ziff. I. beginnt mit dem Tag der Schaltung."
Mit den bei einer Wohnungsdurchsuchung aufgefundenen Zugangsdaten des Beschuldigten, einem mutmaßlichen Mitglied der Bremer "Antiimperialistischen Zellen", sollte dessen elektronisches Postfach "durchsucht" werden. Der Sache nach ging es dabei also um eine teilweise Spiegelung, allerdings gerade nicht über eine "Hintertür" zu der Mailbox, sondern mit dem elektronischen "Schlüssel" des Beschuldigten. Damit betrifft der Beschluss, der im Zusammenhang der "Online-Durchsuchung" bisweilen zitiert wird,[60] jedenfalls aus tatsächlicher Sicht eine andere Konstellation.[61]
2. Beschluss des Ermittlungsrichters des BGH vom 21. Februar 2006
Durch Beschluss des Ermittlungsrichters des Bundesgerichtshofs vom 21. Februar 2006 wurde
"1. gemäß §§ 102, 105 Abs. 1, 169 Abs. 1 Satz 2 StPO die Durchsuchung des von dem Beschuldigten ... benutzten Personalcomputers/Laptops, insbesondere der auf der Festplatte und im Arbeitsspeicher abgelegten Dateien, angeordnet.
2. Zur verdeckten Ausführung dieser Maßnahme wird den Ermittlungsbehörden gestattet, ein hierfür konzipiertes Computerprogramm von außen auf dem Computer des Beschuldigten zu installieren, um die auf den Speichermedien des Computers abgelegten Daten zu kopieren und zum Zwecke der Durchsicht an die Ermittlungsbehörden zu übertragen." [62]
Dem Tenor des Beschlusses ist nicht zu entnehmen, ob eine einmalige Spiegelung des Datenbestandes (oben a) oder ein längerfristiges Monitoring (oben b) gestattet werden sollte. Aus den Gründen ergibt sich jedoch, dass der Generalbundesanwalt nur "einen einmaligen Online-Zugriff" - also eine Spiegelung - beantragt hatte[63]. Dennoch ordnete der Ermittlungsrichter - also ultra petita [64] -
an, dass auch ein mehrmaliger Zugriff gestattet sei, nämlich solange, bis der gesamte Datenbestand abgegriffen sei, da sich dies als "rechtlich unselbständige, von der richterlichen Anordnung gedeckte Fortsetzung einer begonnenen, einheitlichen Durchsuchungsaktion" darstelle[65]; eine zeitliche Begrenzung des wiederholten Zugriffs sieht der Beschluss nicht vor. Letztlich wurde die gestattete Maßnahme aber aus tatsächlichen Gründen nicht ausgeführt.[66]
3. Beschlüsse des Ermittlungsrichters des BGH vom 25. und 28. November 2006 sowie des 3. Strafsenats vom 31. Januar 2007
Nach dem Tenor des Beschlusses vom 25. November 2006 hatte die Generalbundesanwältin beantragt,
"gemäß §§ 102, 105 Abs. 1, 169 Abs. 1 Satz 2 StPO die Durchsuchung des von dem Beschuldigten
...
benutzten Personalcomputers/Laptops, insbesondere der auf der Festplatte und im Arbeitsspeicher abgelegten Dateien, insbesondere nach
- Dateien, die Hinweise ...
- gesendeten oder empfangenen E-Mails in diesem Zusammenhang,
- Text- oder sonstige Dateien mit Bezug zu ..."
anzuordnen. Den Gründen lassen sich keine weitergehenden Angaben zur vorgesehenen Maßnahme entnehmen. Demnach ist von einer Online-Durchsicht der Datenträger ähnlich dem Fall des § 110 StPO und Kopie der für relevant erachteten Dateien auszugehen, wobei wiederum nicht deutlich wird, ob beides einmalig oder in Form eines Monitoring vorgesehen war.
D. Technische Umsetzung der Online-Fernüberwachung
Die oben aufgezeigten Zugriffswege mögen verlockend erscheinen - zunächst aber müsste ein entsprechendes Programm in den Rechner eingeschleust werden. Hierzu bieten sich wiederum verschiedene Verfahren an.
1. Möglichkeiten der Infiltration
a) Ausnutzen bekannter Sicherheitslücken
Zum einen könnte ein "Bundestrojaner" versuchen, bekannte Sicherheitslücken auszunutzen, um von außen in ein Computersystem eingeschleust zu werden. Dieses Verfahren brächte jedoch erhebliche Nachteile mit sich. So ist die Zahl der bekannten Sicherheitslücken begrenzt. Außerdem bemühen sich die Software-Anbieter, bekannt gewordene Lücken möglichst umgehend zu schließen. Demnach müsste eine entsprechende Überwachungssoftware ständig aktualisiert werden, was einen ganz erheblichen Aufwand bedeuten würde.
b) Ausnutzen einer für hoheitliche Zwecke vorgesehenen "Bundes-Backdoor"
Diskutiert wurde im Zusammenhang mit der Entscheidung des Bundesgerichtshofs die Möglichkeit, Software-Anbieter zu verpflichten, in jedem Betriebssystem eine Schnittstelle vorzusehen, über die Hoheitsträger unerkannt Zugriff auf Computersysteme erlangen können.
Dieser Weg erscheint jedoch aus mehreren Gründen praktisch kaum gangbar. Zum einen würde es Jahre dauern, bis alle EDV-Systeme auf ein neues, entsprechend eingerichtetes Betriebssystem umgestellt wären. Außerdem läge ein Missbrauch nahe: Wer könnte sicherstellen, dass eine "Bundes-Backdoor" nicht ihrerseits eine Schwachstelle enthielte, die sich nichthoheitliche Software zunutze machen könnte, um in Computersysteme einzudringen? Schließlich existieren nicht nur Betriebssysteme großer Softwarehersteller wie Windows von Microsoft oder MacOS der Firma Apple, sondern auch eine Vielzahl freier Kreationen auf der Basis von Linux oder dem ebenfalls Unix-ähnlichen FreeBSD. Deren weltweit vernetzt arbeitende Autoren fühlen sich typischerweise dem Datenschutz und dem Schutz der Privatsphäre besonders verpflichtet, sodass es faktisch als ausgeschlossen gelten kann, dass sie einer gesetzlichen Verpflichtung in der Bundesrepublik nachkämen, ihre Systeme mit einer Hintertür auszustatten. Solange aber praxistaugliche Betriebssysteme existieren, die keine Hintertür enthalten, dürfte eine entsprechende Regelung leer laufen: Eine Online-Überwachung, die sich schon durch Einsatz bestimmter Betriebssysteme umgehen ließe, würde sich selbst ad absurdum führen. Das Bundesministerium des Innern teilte schließlich auf eine Kleine Anfrage der Fraktion der F.D.P. im Deutschen Bundestag[67] mit, dass die Schaffung von Sicherheitslücken nicht geplant sei.[68]
c) Manipulation der Internet-Infrastruktur
Schließlich wird über eine dritte Methode zur Infiltration spekuliert,[69] um eine staatliche Überwachungssoftware unbemerkt aufzuspielen, nämlich über den unbemerkten Austausch von Dateien, die der Nutzer selbst herunterlädt. Das Szenario geht davon aus, dass jeder Anwender früher oder später eine ausführbare Datei aus dem Netz laden wird - sei es ein Update für den Virenscanner, eine
neue Software oder auch eines der vielen Updates für das Betriebssystem selbst, die die Firma Microsoft nahezu täglich bereitstellt. Schiebt man ihm nun anstelle der eigentlich gewünschten Datei einen staatlicherseits um das Überwachungsprogramm erweiterten "Zwilling" unter, so wird er die heruntergeladene Datei ausführen und dabei unbemerkt zugleich den "Bundestrojaner" einspielen.
Aus technischer Sicht stellt dies keine besondere Herausforderung dar - die unbemerkte Umleitung von Internet-Verkehr und das gezielte Austauschen von Dateien sind Standardverfahren. Wer etwa schon einmal per UMTS über ein Mobilfunknetz online war, wird vielleicht die schlechte Qualität von Grafiken im WWW-Browser bemerken: Sie beruht darauf, dass die Mobilfunknetzbetreiber die vom Nutzer angeforderten und aus dem Internet eintreffenden Bilddateien stillschweigend vor der Weiterleitung an den mobilen Surfer komprimieren, um Übertragungskapazität zu sparen. Dies geht allerdings mit einem deutlichen Qualitätsverlust einher, der dem aufmerksamen Nutzer in Auge springt.
Auf ähnlichen Techniken beruht die Weiterleitung, die man beim Einbuchen in kommerzielle WLANs (drahtlose Funknetze) - etwa in vielen Hotels und neuerdings auch in manchen ICE-Zügen zwischen Köln und Frankfurt am Main - mitunter beobachtet: Auch wenn man Google oder Spiegel online als Startseite im Browser definiert hat, erscheint dort zunächst völlig ungefragt eine Seite des WLAN-Betreibers, auf der der Nutzer freundlich, aber bestimmt gebeten wird, sich kostenpflichtig anzumelden. Anstelle einer Umleitung von einer Webseite auf eine andere wäre natürlich auch der Verweis auf eine mit einem "Bundestrojaner" angereicherte Datei statt der vom Betroffenen eigentlich angeforderten möglich.
Vorteil dieser Infiltrationsmethode wäre, dass sie sich automatisieren und per Fernzugriff der Ermittlungsbehörden auf die Infrastruktur des Providers kurzfristig aktivieren ließe. Auch die Inanspruchnahme der Provider zur Mitwirkung an der Überwachung des Netzverkehrs ist bereits gängige Praxis: Seit 2005 verpflichtet sie etwa die Telekommunikations-Überwachungs-Verordnung (TKÜV)[70] in Verbindung mit einer dazu aufgrund einer Ermächtigung in § 11 TKÜV ergangenen Technischen Richtlinie,[71] Standardschnittstellen zur Ausleitung bestimmter Daten an die Strafverfolgungsbehörden bereitzustellen. Es bleibt also abzuwarten, ob sich eine entsprechende Ermächtigungsgrundlage in einem etwaigen Entwurf eines Online-Überwachungs-Gesetzes finden werden.
Demgegenüber bleibt aber zu bedenken, dass auch diese Infiltrationsmethode trotz ihrer Komplexität leicht zu umgehen ist: Wer auf das Herunterladen ausführbarer Dateien verzichtet oder konsequent auf verschlüsselte Übertragungen und Vergleich der verwendeten Zertifikate setzt, dem kann keine manipulierte Datei untergeschoben werden. Außergewöhnlichen technischen Sachverstand erfordert beides nicht.
d) "social engineering"
Als realistische Möglichkeit, um einen "Bundestrojaner" anzuwenden, erscheint daher vor allem das Aufspielen durch den Nutzer selbst, indem ihm in bewährter Manier heutiger Viren eine infektiöse Datei per Mail zugespielt wird, oder durch einen Dritten, der Zugriff auf die zu überwachende EDV-Anlage hat. Beides setzt ebenfalls einige Nachlässigkeit beim Betroffenen voraus - er müsste entweder per Mail empfangene Dateien unbesehen ausführen oder Dritten Zugriff auf den eigenen Rechner gewähren. Einen wirklich zuverlässigen Weg zur Infiltration stellt auch dies nicht dar.
2. Technische Grenzen der Online-Überwachung
Neben den beschriebenen Schwierigkeiten bei der Installation einer staatlichen Überwachungssoftware stößt die "Online-Durchsuchung" auch dann noch auf erhebliche technische Probleme, wenn die Installation einmal gelungen sein sollte. An dieser Stelle kann nur auf die augenfälligsten hingewiesen werden.
a) Abhängigkeit von der Internet-Verbindung
Eine praktisch bedeutsame Einschränkung ergibt sich aus der Natur der Online-Überwachung selbst: Der Zugriff auf den überwachten Rechner ist selbstverständlich nur möglich, solange dieser mit dem Internet verbunden ist. Außerdem begrenzt die Kapazität des verwendeten Internet-Zugangs die Ermittlungsmöglichkeiten: Wer nur per Modem online geht, dessen Festplatte kann schon wegen der sehr geringen Bandbreite dieses Zugangs kaum effektiv ausgeforscht werden.
b) Datenvolumen
Eine vollständige Spiegelung und noch mehr ein vollständiges Monitoring der Datenträger des Zielrechners ist angesichts des dabei zu übertragenden Datenvolumens kaum zu realisieren. Heutige Rechner enthalten Festplatten in der Größenordnung einiger Dutzend bis mehrerer hundert Gigabyte, wobei jedes Gigabyte einer Milliarde Zeichen entspricht. Selbst über eine sehr schnelle DSL-Leitung lassen sich zwar in Empfangsrichtung ("aus dem Internet") Rohdaten von 16000 kBit, also rund 2000
kByte pro Sekunde, übertragen; in Senderichtung[72] sind es jedoch nur 1024 kBit, also 128 kByte. Wegen des Verlusts (sog. overhead) durch Verwaltungsinformationen bei der Übertragung können letztlich auch unter günstigen Bedingungen nur rund 100 kByte pro Sekunde gesendet werden. Die vollständige Kopie einer mittleren Festplatte von 50 GByte würde damit fast sechs Tage dauern. Außerdem würde eine so umfangreiche Übertragung die DSL-Leitung des Nutzers in Senderichtung komplett auslasten, was wegen der Geschwindigkeitsverluste sehr auffällig wäre.[73]
Praktisch kommt also nur ein Vorgehen in zwei Schritten in Betracht: Zunächst müsste die Liste der insgesamt auf den Datenträgern gespeicherten Dateien an die Ermittlungsbehörden übertragen werden, die sodann die mutmaßlich "relevanten" Dateien und Verzeichnisse auswählen und sich diese gezielt einmalig (Spiegelung) bzw. kontinuierlich jeweils bei Änderungen (Monitoring) zusenden lassen könnten.[74]
c) Entdeckung durch Virenscanner
Schließlich droht einem etwaigen "Bundes-Trojaner" Ungemach seitens der Schutzsoftware, die der Betroffene auf seinem Rechner möglicherweise installiert hat. Zum einen könnten sog. Firewalls, also Programme, die den Datenverkehr mit dem Internet überwachen, den Benutzer warnen, sobald die staatliche Überwachungssoftware erfasste Daten "nach Hause" senden möchte. Vor allem aber liegt die Annahme nahe, dass Antiviren-Programme einen "Bundes-Trojaner" als Schädling erkennen: Wie oben gezeigt versuchen aktuelle Virenscanner, Schadsoftware anhand ihrer Funktionen zu erkennen. Zwar wird eine staatliche Software - anders als Viren - keine Funktionen zur Weiterverbreitung mitbringen, sodass die Heuristik hier nicht anschlagen wird. Umso eher aber dürften Sniffer [75] , Backdoor-Funktionen[76] oder gar die Verwendung von Rootkit-Techniken[77] zum Verbergen des "Bundestrojaners" die Aufmerksamkeit eines Heuristik-Virenscanners auf sich ziehen. Und wenn erst einmal die Warnung "Vorsicht - verdächtige Software entdeckt: Wollen Sie SCHAEUBLE.EXE wirklich ausführen?" auf dem Bildschirm erscheint, ist der Vorteil der "heimlichen" Online-Überwachung passé.
Denkbar wäre zwar, mit den Anbietern von Antivirensoftware zu kooperieren, um sie zu veranlassen, bei staatlicher Überwachungssoftware ein Auge zuzudrücken. Realistisch erscheint dieser Ansatz jedoch nicht: Zum einen dürften die Hersteller der typischerweise weltweit vermarkteten Programme kaum ein Interesse haben, ihre Produkte auf deutsche Sonderwünsche einzurichten. Vor allem aber würde damit ein Sicherheitsleck geschaffen, weil kaum auszuschließen wäre, dass geschickt programmierte nichtstaatliche Software ebenfalls von der Nachsicht des Virenscanners profitieren würde. Konsequenterweise teilte das Bundesministerium des Innern auf die bereits genannte Kleine Anfrage[78] mit, dass eine Zusammenarbeit mit Software-Herstellern zur Realisierung der Online-Überwachung nicht geplant sei.[79]
E. Zusammenfassung und Ausblick
Hinter dem Schlagwort "Online-Durchsuchung" verbirgt sich ein bunter Strauß verschiedenster Möglichkeiten des staatlichen Online-Zugriffs auf EDV-Anlagen. Sie bieten einerseits ein beträchtliches Ermittlungspotential, das teils deutlich über das hinaus geht, was mit dem klassischen Instrumentarium etwa der StPO zu erreichen ist.
Andererseits erweist sich zwar nicht die technische Realisierung der Überwachungskomponente selbst, umso mehr aber die Infiltration des ins Visier genommenen Systems als ausgesprochen komplex. Daher beantwortet sich bereits die Frage nach dem Verhältnis von technischem Aufwand und tatsächlich zu erwartendem Nutzen keinesfalls von selbst.[80] Dies gilt umso mehr, wenn man sich vor Augen führt, dass alle Wege der Infiltration wie eben gezeigt schon mit wenig technischem Sachverstand relativ problemlos zu verstellen sind. Damit erweist sich die Online-Überwachung zwar als potentiell scharfes Schwert, das aber gerade gegen intelligente Täter - also die eigentlichen "Gefährder" - kaum wirksam geführt werden kann. So scheiterte die Online-Überwachung im einzigen bisher vom Ermittlungsrichter des BGH genehmigten Fall an der Unmöglichkeit ihrer praktischen Durchführung.[81]
Dieser Umstand entlarvt die zur Begründung der Maßnahme stets gern zitierte "Abwehr terroristischer Gefahren" als Rhetorik: Selbst wenn es legitim sein mag, "die Online-Durchsuchung" zu fordern, so gebietet es die Redlichkeit des Diskurses, offen zu bekennen, dass die Maßnahme regelmäßig nur gegen "virtuelle Eierdiebe"
vom Schlage eines amateurhaft agierenden eBay-Betrügers wirksam anzuwenden sein wird.[82] Wer hingegen Anschläge vom Zuschnitt des 11. September 2001 logistisch abwickeln kann, dem ist jedenfalls nach der aktuellen breiten öffentlichen Diskussion der Online-Überwachung ohne weiteres zuzutrauen, einige wenige Gedanken auf EDV-Sicherheit zu verwenden, zumal sich zumindest deren Grundbegriffe fast so schlicht wie ein Kochrezept formulieren lassen.[83]
Angesichts der beschriebenen Eingriffsdichte und der Bedeutung des Computers für Leben und Privatsphäre des Einzelnen, für den der PC oftmals die Funktion eines "ausgelagerten Gehirns" hat,[84] unterliegt schließlich auch die verfassungsrechtliche Zulässigkeit der beschriebenen Zugriffsoptionen zumindest erheblichen Zweifeln. Dem wird in einem eigenen Beitrag nachzugehen sein.
* Der Verfasser ist Redakteur der HRRS und Richter in Berlin, wo er am Amtsgericht Tiergarten als Strafrichter und Ermittlungsrichter tätig ist. An der Universität Leipzig arbeitete er von 1999 bis 2003 als Netzwerk-Administrator in einer gemischten Windows-Linux-Umgebung.
[1] BGH StB 18/06 - Beschluss des 3. Strafsenats vom 31. Januar 2007 (HRRS 2007 Nr. 197).
[2] Vgl. dazu unten unter C.
[3] Zutreffend betonte die Bundesministerin der Justiz, Zypries, in ihrer Rede vom 13. Februar 2007 zur Eröffnung des 10. Europäischen Polizeikongresses, diese Maßnahme habe "mit dem, was wir in Deutschland unter Durchsuchung verstehen, [...]nichts zu tun", vgl. http://www.bmj.bund.de.
[4] Zwischen der 1. und der 3. Lesung des Gesetzes vergingen keine vier Monate. Trotz umfangreicher gutachterlicher Stellungnahmen im Rahmen eines Anhörungsverfahrens empfahl der Hauptausschuss des Landtages mit den Stimmen der Düsseldorfer Regierungsfraktionen, den Gesetzentwurf ohne eine einzige Änderung anzunehmen, vgl. LT-Drucksache NRW Nr. 14/3045 vom 30. November 2006.
[5] Vgl. aber jüngst Hornung CR 2007, 144; Rux JZ 2007, 285, 287.
[6] GVBl. NRW 2006 Seite 620.
[7] Die Redaktion der HRRS stellt den Text der Verfassungsbeschwerdeschriften und einige Materialien zum Gesetzgebungsverfahren im Rahmen einer Prozessdokumentation zur Verfügung.
[8] D.h. den im Verfassungsbeschwerdeverfahren Äußerungsberechtigten (vgl. § 94 Abs. 1 und 4 i.V.m. § 77 BVerfGG) Gelegenheit zur Äußerung gegeben. Wenn dem auch keine Präjudizwirkung zukommt, so ist der Zustellung nach den Usancen des Gerichts zu entnehmen, dass es die Verfassungsbeschwerden jedenfalls nicht für offensichtlich unbegründet hält.
[9] Die Existenz eines solchen Projekts beim Bundeskriminalamt folgt aus den Antworten der Bundesregierung auf eine Kleine Anfrage der Fraktion der F.D.P., BT-Drucksache 16/3972, Seite 2 sowie der Fraktion Die Linke, BT-Drucksache 16/3973, Seite 3. Aus letzterer Antwort ergibt sich weiter, dass der "einmalige" Investitionsaufwand rund 200.000 Euro betragen werde. In der Antwort der Bundesregierung (BT-Drucksache 16/4997) auf eine Nachfrage der Fraktion der F.D.P. (BT-Drucksache 16/4795) werden weitere Details geschildert.
[10] Der Beitrag konzentriert sich im Folgenden auf die Situation unter dem Betriebssystem Microsoft Windows. Dies beruht darauf, dass Benutzer der Betriebssysteme Linux und MacOS mit Viren kaum konfrontiert sind. Ausschlaggebend hierfür sind neben der weiten Verbreitung von Windows-Systemen, die sie für Viren-Programmierer besonders attraktiv machen, vor allem die Sicherheitskonzepte von Linux und MacOS. Beispielweise arbeiten unter Windows bis zur Version XP sehr viele Anwender dauerhaft mit vollen Zugriffsrechten ("Administrator-Rechten"), was einem Virus ebenfalls die Möglichkeit eröffnet, das infizierte System vollständig unter seine Kontrolle zu bringen. Dies ist bei Linux und MacOS (das seit Version X ebenfalls zur Familie der UNIX-artigen Systeme gehört) anders: Hier arbeiten Benutzer mit eingeschränkten Rechten, sodass auch Viren in diesem Kontext zumindest weit weniger Schaden anrichten können. Eine ähnliche Funktion enthält der XP-Nachfolger Windows Vista.
[11] Digital Subscriber Line - Digitale Teilnehmeranschlussleitung.
[12] Internet Protocol.
[13] Das namensgebende Trojanische Pferd wurde nach Homer (Odyssee, 8. Lied, Vers 493 ff.) von den Griechen zur Eroberung Trojas eingesetzt, sodass die Kurzbezeichnung "Trojaner" das mythische Geschehen streng genommen auf den Kopf stellt: Der Computer-"Trojaner" ist schließlich eher einem griechischen Angreifer vergleichbar als einem überlisteten Einwohner Trojas.
[14] In bestimmten Fällen genügt dagegen bereits das bloße Anzeigen einer infektiösen Mail in dem Programm Outlook der Firma Microsoft: Intern greift Outlook zur Anzeige von eMails mit HTML-Code auf Funktionen des WWW-Browsers Internet Explorer zurück und übernimmt damit viele Sicherheitslücken dieses Programms. Diese wiegen beim Anzeigen von eMails umso schwerer, weil die infektiösen Botschaften ohne Zutun des Empfängers in seinem Posteingang eintreffen und angezeigt werden, während er eine infektiöse Webseiten ja erst einmal von Hand aufrufen müsste. Ein Beispiel für diese Angriffstechnik ist der Wurm Bagle.Q; nähere Einzelheiten finden sich unter http://www.heise.de/newsticker/meldung/45716.
[15] Zur Ausnahme vgl. obige Fußnote.
[16] Eine detaillierte Funktionsbeschreibung findet sich auf den Seiten des Bundesamts für Sicherheit in der Informationstechnik unter http://www.bsi.de/av/vb/sasser.htm. Der für Sasser verantwortliche Programmierer wurde vom Landgericht Verden - Jugendkammer - im Juli 2005 zu einer Jugendstrafe von einem Jahr und neun Monaten verurteilt, deren Vollstreckung zur Bewährung ausgesetzt wurde; vgl. die Pressemitteilung auf http://www.landgericht-verden.niedersachsen.de.
[17] Nähere Beschreibung unter http://www.viruslist.com/en/VirusList.html?page=0&mode=1&id=3930&key=00001000130000100011.
[18] Sinngemäß: Schnüffler.
[19] Sinngemäß: Tastendruck-Protokollierer.
[20] Vgl. auch Borges NJW 2005, 3313, 3314 zum Mitschneiden von PIN und TAN mittels eines Keyloggers.
[21] Einen Beschluss eines Ermittlungsrichters zum Einsatz eines Keyloggers im Rahmen eines Ermittlungsverfahrens auf der Grundlage der §§ 102, 105 Abs. 1 StPO (!) erwähnen Jahn/Kudlich JR 2007, 57, 58.
[22] Vgl. auch Schmidt, "Bundestrojaner: Geht was - was geht", http://www.heise.de/security/artikel/86415.
[23] Distributed denial of service - sinngemäß: verteilter Angriff mit dem Ziel der Leistungsverweigerung.
[24] "Rootkit" - sinngemäß: Handwerkszeug des Systemverwalters. Ursprünglich bezeichnete dieser Terminus bestimmte Methoden, um einen Einbruch in ein Serversystem unter den Betriebssystemen Unix bzw. Linux zu verschleiern, indem der Angreifer sich zunächst die Zugriffsrechte des Systemverwalters ("root") verschafft und sodann ein aus bestimmten Programmen bestehendes Handwerkszeug - also ein "kit" - verwendet, um sich selbst unsichtbar zu machen.
[25] Nämlich die Firmen Sony BMG (http://www.heise.de/newsticker/meldung/65602) und Kinowelt (http://www.heise.de/newsticker/meldung/71115).
[26] On access - beim Zugriff.
[27] BVerfG 2 BvR 1027/02 - Beschluss vom 12. April 2005, HRRS 2005 Nr. 549; KK-Nack, 5. Auflage 2003, § 94 StPO Rn. 4.
[28] BVerfG a.a.O.; KK-Nack, 5. Auflage 2003, § 110 StPO Rn. 2; BGH - Ermittlungsrichter - 1 BGs 186/06, Nichtabhilfebeschluss vom 28. November 2006.
[29] KK-Nack, 5. Auflage 2003, §100a StPO Rn. 6; Einzelheiten regeln § 110 TKG und § 9 Abs. 2 TKÜV.
[30] Vgl. oben Fußnote 124.
[31] Vgl. Hofmann NStZ 2005, 121, 121 und die Stellungnahme des Bundesministers des Innern unter http://www.bmi.bund.de/Internet/Content/Nachrichten/Pressemitteilungen/2007/02/BGH__Urteil.html.
[32] Darauf verweist etwa das Bundesministerium des Innern auf Seite 4 der Antwort (BT-Drucksache 16/4997) auf eine Kleine Anfrage der Fraktion der F.D.P. vom 21. März 2007 (BT-Drucksache 16/4795).
[33] Entsprechend 512 MByte.
[34] Der Begriff wird hier und im Folgenden untechnisch verwandt; gemeint ist nicht derjenige, gegen den sich ein Verfahren nach dem OWiG richtet, sondern jeder, der von hoheitlichem Zugriff auf eine von ihm eingesetzte EDV-Anlage berührt ist.
[35] Vgl. BVerfG 2 BvR 2099/04 - Urteil vom 2. März 2006 - "Heidelberger Richterin", HRRS 2006 Nr. 235, Rn. 79; ebenso die Einschätzung des Bundesministerium des Innern auf Seite 4 der Antwort (BT-Drucksache 16/4997) auf eine Kleine Anfrage der Fraktion der F.D.P. vom 21. März 2007 (BT-Drucksache 16/4795).
[36] So hat das BKA in einer Kopie der Festplatte eines Rechners, der im Libanon bei dem Beschuldigten Jihad Hamad - mutmaßlich einem der Kölner "Kofferbomber" - beschlagnahmt und den deutschen Behörden übergeben wurde, "gelöschte" Pläne zum Bombenbau rekonstruieren können, vgl. Süddeutsche Zeitung vom 8. März 2007, Seite 7.
[37] Zur Problematik, Inhalte magnetischer Datenträger unwiederbringlich zu löschen, vgl. Gutmann, Secure Deletion of Data from Magnetic and Solid-State Memory, Proceedings of the Sixth USENIX Security Symposium 1996.
[38] Etwa die freie Software Eraser, vgl. http://www.heidi.ie/eraser, die ebenfalls auf den Erkenntnisse von Gutmann (vgl. vorige Fußnote) aufbaut.
[39] Darauf wies auch der Präsident des BKA, Ziercke, auf der Jahrespressekonferenz seiner Behörde hin, vgl. http://www.heise.de/newsticker/meldung/86887.
[40] D.h. solcher, die in keinem Lexikon enthalten sind, weil sonst bloßes automatisches Ausprobieren anhand im Internet frei verfügbarer Wortlisten genügt (sogenannte brute-force-Attacke), sondern die aus einer möglichst langen Kombination augenscheinlich sinnloser Buchstaben, Ziffern und sonstigen Zeichen bestehen.
[41] So auch die Einschätzung des Präsidenten des BKA, Ziercke, in seiner Rede auf dem 10. Europäischen Polizeikongress, abzurufen unter http://bka.de/pressemitteilungen/hintergrund/vortraege/070213_rede_pr_europ_polizeikongress.pdf, dort Seite 11.
[42] Genauer: von Partitionen, die mit dem Dateisystem NTFS verwaltet werden. Partitionen sind logische Verwaltungseinheiten einer physikalischen Festplatte. Als NTFS wird der Nachfolger des Dateisystems FAT bezeichnet, das die Firma Seattle Computer Products 1980 einführte und das die Firma Microsoft mit ihrem Betriebssystem MS-DOS weltbekannt machte. Auch Microsoft Windows setzte lange auf FAT und kann bis heute Datenträger unter FAT verwalten.
[43] Vgl. http://www.truecrypt.org.
[44] Unterstützung für MacOS X ist geplant, vgl. http://www.truecrypt.org/future.php.
[45] Wiederum genauer: Partitionen einer physikalischen Festplatte, vgl. oben Fußnote 165.
[46] Vgl. hierzu auch Rux JZ 2007, 285, 286.
[47] HTTPS statt HTTP für WWW-Seiten, SCP oder SFTP statt FTP zum Dateitransfer, SSH statt Telnet für den Terminalzugriff, TLS oder SSL statt SMTP für den Mailversand, IMAPS oder POP3S zum Abrufen von eMails.
[48] Voice over IP - Übermittlung von Sprache über das Internet-Protokoll.
[49] Das Verbindungsprotokoll von Skype ist nicht öffentlich dokumentiert, sodass eine unabhängige Evaluation nicht möglich ist. Die Verfahren, mit denen die Verbindung zwischen den beteiligten Rechnern nach Herstellerangaben verschlüsselt wird, gelten jedoch ebenfalls als gegenwärtig nicht in realistischen Zeiträumen zu "knacken". Denkbar wäre allenfalls, dass der Hersteller eine Hintertür - für wen auch immer - vorsieht.
[50] Http://www.wifi-info.de/category/wlan-handy.
[51] D.h. Programme zum Betrachten von WWW-Seiten, die gängigsten Beispiele sind Internet Explorer, Opera und Mozilla.
[52] Vgl. dazu oben B 2. a)
[53] Etwa das Programm Microsoft Outlook oder die weit verbreitete freie Alternative Thunderbird.
[54] Hierzu erläuterte der Präsident des BKA, Ziercke, dass Täter ihre "Daten oft sogar ganz in die Weiten des World Wide Web ausgelagert" hätten, sodass die Polizei "den Schlüssel zu diesem Versteck[...] nur durch die Online-Durchsuchung" finden könne, vgl. tageszeitung vom 26. März 2007, Seite 6.
[55] So auch Ziercke (vgl. vorige Fußnote) in einer Diskussionsveranstaltung im Deutschen Bundestag, vgl. http://www.heise.de/newsticker/meldung/87421.
[56] Http://www.totalrecorder.com.
[57] Unter Start / Progamme / Zubehör / Kommunikation.
[58] Antwort der Bundesregierung vom 22. Dezember 2007 auf eine Kleine Anfrage der Fraktion der F.D.P., BT-Drucksache 16/3972, Seite 3; vgl. zum Ermittlungsverfahren auch die Antwort der Bundesregierung vom 22. Dezember 2007 auf eine Kleine Anfrage der Fraktion Die Linke, BT-Drucksache 16/3973, Seite 1 sowie zur Gefahrenabwehr a.a.O. Seite 2.
[59] BGH 1 BGs 625/95 - Beschluss vom 21. Februar 1995 = NJW 1997, 1934.
[60] Störing, c't 5/2007, 58, 59.
[61] Vgl. zu den hier aufgeworfenen Rechtsfragen BVerfG 2 BvR 902/06 - Beschluss (einstweilige Anordnung) vom 29. Juni 2006 m. Anm. Schlegel HRRS 2007, 44.
[62] BGH 3 StB 31/06, Beschluss vom 22. Februar 2006 - juris.
[63] A.a.O. unter II. 3. b) ee) am Ende; irreführend ist hier, dass der folgende Abschnitt ebenfalls als ee) bezeichnet ist.
[64] Wobei ersichtlich kein Fall des § 165 StPO vorlag.
[65] A.a.O unter 3. d).
[66] So jedenfalls die vorsichtige Antwort ("nach Informationen der Bundesregierung") vom 22. Dezember 2007 auf eine Kleine Anfrage der Fraktion der FDP, BT-Drucksache 16/3972, Seite 3. Deutlicher ("wurde nicht durchgeführt") fällt die Antwort der Bundesregierung vom selben Tage auf eine Kleine Anfrage der Fraktion Die Linke, BT-Drucksache 16/3973, Seite 2 aus.
[67] BT-Drucksache 16/4795 vom 21. März 2007.
[68] BT-Drucksache 16/4995, Seite 2.
[69] Vgl. die Stellungnahme des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein unter https://www.datenschutzzentrum.de/presse/20070402-online-durchsuchung.htm.
[70] Verordnung über die technische und organisatorische Umsetzung von Maßnahmen zur Überwachung der Telekommunikation (Telekommunikations-Überwachungsverordnung - TKÜV) vom 3. November 2005, BGBl. I Seite 3136.
[71] Technische Richtlinie zur Umsetzung gesetzlicher Maßnahmen zur Überwachung der Telekommunikation (TR-TKÜ) der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen, derzeit Version 5.0 vom Dezember 2006.
[72] Fast alle kommerziellen "DSL"-Anschlüsse bieten technisch präzise ADSL-Leitungen, wobei das A für asymmetrisch steht: Die meisten Nutzer senden deutlich weniger Daten als sie empfangen, weswegen die ADSL-Anbieter der Empfangsrichtung deutlich mehr Bandbreite zuweisen als der Senderichtung.
[73] Skeptisch zur Realisierbarkeit der Komplettkopie äußert sich auch das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein, vgl. https://www.datenschutzzentrum.de/presse/20070402-online-durchsuchung.htm.
[74] Dass eine selektive Übertragung vorgesehen sei, deutete auch der Präsident des BKA, Ziercke, in einer Diskussionsveranstaltung im Deutschen Bundestag an, vgl. http://www.heise.de/newsticker/meldung/87421.
[75] Vgl. oben unter A. 4. a).
[76] Vgl. oben unter A. 4. b).
[77] Vgl. oben unter A. 4. c).
[79] BT-Drucksache 16/4995, Seite 2.
[80] Skeptisch zur Notwendigkeit der Online-Durchsuchung äußerten sich die Bundesministerin der Justiz, Zypries, vgl. Süddeutsche Zeitung vom 16. April 2007, Seite 6, ebenso wie die Berliner Senatorin für Justiz, von der Aue, in einer Antwort auf eine Anfrage des Abgeordneten Jotzo im Berliner Abgeordnetenhaus, vgl. http://www.parlament-berlin.de:8080/starweb/adis/citat/VT/16/NichtbehMdlAn/n16-00918.pdf, A.A. Hofmann NStZ 2005, 121, 125: "unabweisbares Bedürfnis" bei der Bekämpfung der Schwerkriminalität und des Terrorismus.
[81] Vgl. oben Fn. 66.
[82] Ebenso die Einschätzung des Berliner Innensenators Körting, vgl. http://www.heise.de/newsticker/meldung/85471.
[83] Nämlich etwa wie folgt: Lade keine Programme aus dem Netz; öffne keine Dateianhänge, auch nicht wenn sie scheinbar von Bekannten stammen; installiere einen aktuellen Virenscanner. Oder noch konsequenter: Sattle daneben auf eine Linux-Variante um, die sich von CD-Rom starten lässt, wie etwa Knoppix. Wenn nämlich das Betriebssystem von einem schreibgeschützten Datenträger gestartet wird, laufen alle Versuche dauerhafter Infiltration notwendigerweise ins Leere.
[84] So der ehemalige Vizepräsident des Deutschen Bundestages, Burghard Hirsch, zitiert nach http://www.heise.de/newsticker/meldung/84748.