a-i3 Tagung 2007:
Verdeckte Online-Durchsuchung
unverzichtbar oder überflüssig? -technische und rechtliche Perspektiven
Tagungsbericht
Hier finden Sie den Tagungsbericht im pdf Format.
Am 9. Oktober 2007 fand in Bochum eine interdisziplinäre Tagung der Arbeitsgruppe Identitätsschutz im Internet (a-i3) über die verdeckte Online-Durchsuchung statt. IT-Fachleute sowie Vertreter aus Justiz und Wissenschaft diskutierten aktuelle technische und rechtliche Aspekte.
Spätestens seit der Bundesgerichtshof die verdeckte Online-Durchsuchung im Januar 2007 mangels gesetzlicher Grundlage im Strafprozess für unzulässig erklärt hat[i], ist diese umstrittene Ermittlungsmaßnahme Gegenstand der tagespolitischen Diskussion. Ihre Befürworter planen gegenwärtig neue gesetzliche Regelungen. Das Geheimdienstgesetz Nordrhein-Westfalen erlaubt sie bereits.
Auf der Tagung diskutierten zahlreiche Teilnehmer verschiedener fachlicher Ausrichtungen über die technischen Möglichkeiten, die rechtlichen Probleme aktueller und künftiger Gesetze, den Nutzen für Ermittlungsbehörden und die Risiken für betroffene Bürger.
Die Tagung wurde durch Prof. Dr. Georg Borges[ii], Sprecher des Vorstands der Arbeitsgruppe Identitätsschutz im Internet, eröffnet. Er fasste einleitend den Streitstand der öffentlichen Diskussion zur Online-Durchsuchung zusammen. Die Einführung der Online-Durchsuchung werde als probates Mittel zur Bekämpfung von Internet-Kriminalität, insbesondere von Kinderpornographie und Terrorismus, propagiert. Ihre Befürworter gingen von ca. 10 bis 15 Fällen pro Jahr aus. Ihre Gegner bestritten, dass eine Online-Durchsuchung überhaupt technisch möglich und ihre Einführung rechtlich zulässig sei. Zudem werde in ihr eine Gefahr für die Vertrauenswürdigkeit elektronischer Kommunikation gesehen. Problematisch sei sowohl die Beherrschbarkeit der technischen Mittel als auch die Verwertung der gesammelten Daten. Nach einer kurzen Vorstellung der Arbeitsgruppe Identitätsschutz im Internet (a-i3), einem gemeinnützigen Verein mit technischer, juristischer und ökonomischer Ausrichtung[iii], kündigte Prof. Borges an, dass die zuvor aufgeworfenen Fragen nun im Rahmen der Tagung erläutert werden sollten.
Dem folgte ein Grußwort des Dekans der juristischen Fakultät der Ruhr-Universität Bochum, Prof. Dr. Peter A. Windel. Prof. Windel stellte fest, dass das Markenzeichen der a-i3 Aktualität sei. Einen Tag vor der mündlichen Anhörung des Bundesverfassungsgerichts zur Online-Durchsuchung in NRW[iv] finde die Tagung der Arbeitsgruppe zu diesem Thema statt. Aber auch nach dem Urteil des Bundesverfassungsgerichts sei die Thematik durchaus noch aktuell. Bestenfalls würde das Urteil Vorgaben enthalten. Im schlechtesten Fall werde es mehr Fragen aufwerfen als Lösungen enthalten. Die Sicherheit und Freiheit im modernen Staat müssten erhalten bleiben. Aus technischer Sicht sei zu erwarten, dass sowohl Identitätsschutz als auch Verbrechen sich weiterentwickeln.
Sodann führte PD Dr. Carl-Friedrich Stuckenberg, LL.M. als Leiter der strafrechtlichen Aktivitäten der a-i3, in das Thema der Tagung ein. Er stellte fest, dass die Diskussion über die verdeckte Online-Durchsuchung an die vergangene Debatte um den sog. „großen Lauschangriff“ erinnere. Auslöser der Diskussion sei der Beschluss des 3. Strafsenats des Bundesgerichtshofs vom 31. Januar dieses Jahres gewesen. Seitdem würde diskutiert, ob neue Gesetze erlassen werden sollten, die diese Maßnahme ermöglichen. Problematisch sei einerseits die technische Machbarkeit, aber auch die rechtliche Zulässigkeit. Die Frage, ob letztere zu bejahen ist, stelle sich erst, wenn die Machbarkeit und Geeignetheit der Online-Durchsuchung gegeben sind. Hierbei handele es sich um eine Frage de lege ferenda. Lediglich im nordrhein-westfälischen Verfassungsschutzgesetz gebe es seit dem letzten Dezember eine ausdrückliche Ermächtigungsgrundlage, deren Vereinbarkeit mit dem Grundgesetz morgen vor dem Bundesverfassungsgericht mündlich verhandelt werde.[v] Es bestehe Streit darüber, welche Grundrechte betroffen seien. In Betracht kämen die informationelle Selbstbestimmung, die Unverletzlichkeit der Wohnung, wobei sich die Frage stelle, ob der Rechner der Wohnung gleichzustellen sei, sowie die Menschenwürde. Teilweise werde angenommen, dass sich die Online-Durchsuchung nicht wesentlich von der Hausdurchsuchung unterscheide. Insbesondere sei auch die Heimlichkeit kein Problem, da auch eine Hausdurchsuchung nicht vorher angekündigt werde. Im Gegensatz dazu hielten andere Stimmen die Online-Durchsuchung für einen weiteren Sündenfall des Rechtsstaats. Bei der Online-Durchsuchung würden sich drei Hauptfragestellungen ergeben, die sich jeweils in mehrere Unterfragen teilen lassen. Faktisch stellten sich die Fragen: „Geht es und wenn ja, wie?“ und „Wenn es geht, braucht man das und wenn ja, in welchen Fällen?“ Rechtlich stellt sich die Frage: „Wenn es geht und man es braucht, ist es rechtlich möglich und wenn ja, wie?“ Die dritte Frage ist eine rechtspolitische: „Wenn es geht, man es braucht und es rechtlich zulässig gemacht werden kann, sollte man es auch gesetzlich erlauben?“ Zur Beantwortung dieser Frage sind Rechtsgüter der Sicherheit und Freiheit miteinander abzuwägen.
Hieran schloss sich eine Einführung von Dr. Christoph Wegener[vi], dem Vorsitzenden des Verwaltungsrats der a-i3, zu den technischen Aspekten der Online-Durchsuchung an. Voraussetzung für eine Online-Durchsuchung sei das Einbringen einer Remote Forensic Software (RFS). Hierbei ergäben sich folgende Probleme:
• Befindet sich die RFS auf dem richtigen Informationssystem?
• Können die Daten klassifiziert werden bevor sie an den Zentralserver weitergeleitet werden?
• Ergeben sich neue Gefährdungen durch die RFS, da sie durch Kriminelle missbraucht werden kann?
• Ist die RFS analysierbar?
• Sind sie Daten vor Gericht verwertbar?
Vor dem Start einer Online-Durchsuchung müssten Name und Anschrift der Person, deren informationstechnischen Geräte durchsucht/überwacht werden sollen, bekannt sein. Des Weiteren müsste man wissen, welchen Internet-Anschluss diese Person in der Regel nutzt. Dies werde durch eine begleitende TKÜ ermittelt. Gegebenenfalls benötige man auch Daten über alle genutzten Mobilfunk-Provider. Hilfreich seien zudem weitere persönliche Informationen über die Zielperson. Es gebe zahlreiche Möglichkeiten der Einbringung einer RFS: die unwissentliche Mitwirkung der Zielperson, die Verwendung von Viren, Trojanern und anderer Malware, das Ausnutzen vorhandener Schwachstellen, das Vergiften von Software-Downloads[vii], der Einbau von Hintertüren in Soft- und Hardware „ab Werk“, die Hinterlegung von Master-Schlüsseln (Key-Escrow), u.v.m. Diese Varianten könnten zum Teil erhebliche Nebenwirkungen haben. Zu denken sei beispielsweise an einen Vertrauensverlust im E-Commerce, eine Verbreitung von „unbekannten“ Schwachstellen sowie an Probleme bei der Haftung für die Folgen. Ein Erfolg dieser Maßnahmen zur Einbringung der RFS sei mehr als fraglich. Bei Maßnahmen, bei denen die Ermittler auf die unwissentliche Mitwirkung der Zielpersonen angewiesen seien, stelle sich die Frage, „wie dumm die Zielpersonen eigentlich seinen“. Von den Befürwortern der Online-Durchsuchung werde angeführt, dass diese genutzt werden solle, um die verschlüsselten E-Mails der Zielpersonen zu lesen. Es stelle sich jedoch die Frage, wie die Köder-Mail verschlüsselt werden solle, um die Zielperson zu überzeugen, dass sie authentisch ist. Bei Malware würde sich die Frage stellen, wie diese überhaupt auf das Zielsystem gelangen könne. Dies sei entweder möglich, indem der Zielperson eine CD untergeschoben werde oder indem die Ermittler in der Wohnung die Software selbst aufspielten. Zudem stelle sich das Problem einer möglichen Wechselwirkung mit Anti-Virussoftware. Vor vergifteten Software-Downloads könne man sich durch kryptographische Hash-Werte schützen. Key-Escrow würde sich in Deutschland wohl nicht durchsetzen lassen. Angesichts der Vielzahl von Herstellern seien Hintertüren ab Werk in Hard- und Software wohl auch nicht machbar. Zudem gebe es zahlreiche Schutzmaßnahmen vor RFS, die zum Teil sehr einfach durchzusetzen seien. Hier führte Dr. Wegener mehrere Beispiele an: Es könne von einem vertrauenswürdigen Medium gebootet, zwei getrennte PCs, von denen nur einer mit dem Internet verbunden wird, verwendet oder Internet-Cafes beziehungsweise zufällig wechselnde Kommunikationswege genutzt werden. Bei der Verwendung einer RFS könnten zahlreiche unterschiedliche Probleme auftreten. Es sei fraglich, ob die RFS überhaupt das gewünschte Ziel untersuche, da zwar das Gerät aber nicht die handelnde Person identifiziert würde. Auch die Klassifikation der Daten bereite Probleme (z. B., ob es sich um private Daten oder Daten eines Dritten handele), da eine automatische Klassifikation vor dem Versand nicht möglich sei. Nach der Aussage des Bundesdatenschutzbeauftragten müsste dies aus datenschutzrechtlichen Gründen jedoch geschehen. Falls bei der PFS ein offener Port zur Kommunikation verwendet werden solle, sei dieser auch von außen identifizierbar und würde die Existenz einer RFS enthüllen. Die Nutzung so zu gestalten, dass sie nicht identifizierbar ist, hält Herr Wegener für nicht möglich. Die RFS könnte im Falle von Programmierfehlern die Schwachstelle eines IT-Systems sein. Zudem stelle sich die Frage, wer für mögliche Schäden hafte. Herr Wegener ist der Ansicht, dass eine Analyse der RFS möglich sei. Beispielsweise stehe, wenn ein Programm ausgeführt würde, sein Quelltext teilweise im Klartext im Hauptspeicher. Dies könnte zum Missbrauch, Nachbau oder Modifikationen durch Kriminelle führen. Fraglich sei auch, ob eine sichere und vollständige Löschung möglich sei. Hier warf Dr. Wegener beispielsweise das Problem auf, was geschehe, wenn die Zielperson Backups gemacht hat. Bei der Frage, ob die erlangten Daten vor Gericht verwertet werden dürfen, würden sich Probleme ergeben.[viii] Allerdings ging Herr Wegener davon aus, dass das staatliche Instrumentarium sich an den Stand der Technik anpassen müsse.
Sodann erläuterte Christoph Fischer[ix], BFK edv-consulting in Karlsruhe, die Praxis der Online-Durchsuchung aus technischer Sicht. Auch er begann seinen Vortrag, indem er die verschiedenen Infektionswege im Internet darstellte. Er ging davon aus, dass es möglich sei, den „Bundestrojaner“ so zu designen, dass er nie durch Anti-Virenscanner erkannt würde. Dies setze voraus, dass das gleiche Modell nur zwei oder drei Mal verwendet würde. Herr Fischer erklärte in seinem Vortrag, dass Internet-Kriminelle aus dem Ostblock, die Technologie, die man zur Herstellung eines „Bundestrojaners“ benötigte, perfekt beherrschten. Sie hätten nicht nur theoretische, sondern auch bereits vierjährige praktische Erfahrung. Da die Authentifizierungssysteme beim deutschen Onlinebanking nicht so anfällig für das klassische Phishing seien wie beispielsweise in England, seien die Kriminellen schon früh dazu übergegangen, Trojaner einzusetzen.
Darauf folgte ein Vortrag von Felix Gröbert[x] vom Horst Görtz Institut für IT-Sicherheit in Bochum über mögliche Infektionsvektoren des „Bundestrojaners“ und Gegenmaßnahmen. Herr Gröbert begann seinen Vortrag mit einer kurzen chronologischen Darstellung der Entwicklung von Malware. Dann erläuterte er, dass es sich bei Trojanern um eine spezielle Form von Malware handele, die sich ohne das Wissen des Opfers installiere, sich jedoch nicht selbständig weiterverbreiten würde und somit kein Wurm sei. Auch Herr Gröbert erläuterte, dass es verschiedene Möglichkeiten zur Einbringung von Malware gebe. Nach einer allgemeinen Einführung erläuterte er, wie einfach ein "Man in the Middle", ein Spionageprogramm in einem vergifteten Firefox-Download auf den Zielrechner transportieren könne. Der Angreifer benötige hierzu Kontrolle über das Routing. In der von Herr Gröbert gezeigten Proof of Concept-Demonstration verwendete er einen arp-Angriff. Er erläuterte allerdings, dass der Angreifer auch jeden anderen MitM-Angriff verwenden könne. Maßnahmen gegen eine Download-Infektion seien die Verwendung von homogener Software, HTTPS, virtuellen privaten Netzen, sicheren Übertragungskanälen, GPG, Verifizierung sowie auf lange Sicht, Sandboxing bzw. sichere Betriebssysteme. Herr Gröbert kam zu dem Ergebnis, dass zwar Gegenmaßnahmen gegen die verschiedenen Infektionswege existierten, diese jedoch für die meisten Nutzer kaum in Betracht kämen.
Der letzte technische Vortrag von Christian Böttger, DN-Systems GmbH in Hildesheim,[xi] stellte Aspekte der Online-Durchsuchung aus der Sicht eines Forensikers vor. DN-Systems beschäftige sich mit digitaler Forensik und Security. Die digitale Forensik teile sich in drei Unterbereiche auf, die präventive, die investigative, d. h. die gerichtsfeste Sicherung von Beweisen, und die organisatorischen Maßnahmen, um Angriffe nachzuweisen und nachzuverfolgen. Die Aufgabe der digitalen Forensik sei dokumentiertes und nachvollziehbares Auffinden von evidenten Daten. Es müssten be- und entlastende Beweise gefunden werden. Dies würde durch logische Analysen, physikalische Analysen, d. h. die Wiederherstellung von gelöschten Daten, Datenintegritätsanalysen, d. h. die Ermittlung, ob und von wem Daten verändert wurden, sowie durch die Erstellung von Täterprofilen bzw. Zugriffsanalysen, d. h. die Feststellung des letzten Zugriffszeitpunkts, sichergestellt werden. Für die Verwendung bei einem Gerichtsverfahren sei eine nachvollziehbare, dokumentierte Vorgehensweise nötig, da man sich gegen Manipulationsvorwürfe an den Beweismitteln absichern müsse. Bei der Einbringung einer versteckten Software, würde eine Online-Durchsuchung auf dem Datenbestand der Festplatte erfolgen. Das Suchmuster und Schlüsselwörter würden auf dem Zielsystem gespeichert werden. Durch das Durchsuchen würde es zu Manipulationen an dem Betriebsystem des Rechners kommen. Es seien keine logischen bzw. physikalischen Analysen oder Täterprofile bzw. Zugriffsanalysen möglich, da durch die Suche die Systemzeitstempel zerstört würden. Die Suche sei zudem von Unbefugten manipulierbar. Bei der Online-Durchsuchung würden sich mehrere Probleme ergeben. Zum einen würde sich die Frage stellen, ob der Trojaner nicht von der Zielperson bemerkt wird. Zum anderen ergäben sich Probleme bei der Frage, ob die erlangten Informationen bei einem Gerichtsverfahren verwertet werden könnten. Hier würden sich daraus Probleme ergeben, da es bei der Online-Durchsuchung keine nachvollziehbare Vorgehensweise gebe und somit Manipulationsvorwürfe an den Beweismitteln aufkommen könnten. Bei einer Analyse müsste sichergestellt werden, dass weder Daten vernichtet noch verfälscht werden können. Das Labor müsse über die Kenntnis und das Know-How des zu analysierenden Betriebssystems verfügen. Es müssten ggf. Spezialkenntnisse für Server-Forensik-Analysen und evtl. noch weitere Fertigkeiten, wie das physikalische Restaurieren eines beschädigten Datenträgers, vorhanden sein. Durch die Online-Durchsuchung könnten Beweismittel manipuliert oder zerstört werden. Es sei durchaus möglich, dass die Zielperson merke, dass eine Durchsicht stattfinde, beispielsweise weil das System langsamer würde. Die Online-Durchsuchung könne eine spätere Forensik unmöglich machen. Zweck der Analyse eines Servers sei die Sicherstellung von Informationen. Dies beinhalte die Sicherstellung der Daten von Log- und Zeitservern, die Feststellung, wie und wo die Daten gespeichert sind, welche Metadaten manipuliert sein könnten sowie die Sicherung allgemeiner Betriebsdaten. Die Informationen würden dann sichergestellt. Diese normale Forensik könne nicht durch Online-Forensik abgelöst werden. Erstere verlange eine weitergehende Untersuchung. Mittels der verdeckten Online-Durchsuchung sei eine zu verwertbaren Beweismitteln führende Analyse nicht möglich. Bei der Online-Durchsuchung würden nicht alle Daten gefunden und durch sie könnten Daten verändert werden. Durch eine Online-Durchsuchung könnten nur Hinweise nicht aber Beweise erlangt werden.
Hieran schloss sich ein Vortrag von Dr. Jürgen Graf[xii], Richter im ersten Strafsenat des Bundesgerichtshofs, über die Praxis der Online-Durchsuchung aus rechtlicher Sicht an. Zunächst stellte er die in der StPO geregelten Eingriffs- und Zwangsmaßnahmen dar. Dann erläuterte er, dass zwischen der Online-Durchsicht als "einmalige Maßnahme", die höchstens zweimal durchgeführt werden könne, um Differenzen der Festplatteninhalte feststellen zu können, und der Online-Überwachung als Dauermaßnahme zu unterscheiden sei. Bezüglich der Online-Überwachung hätte er große Zweifel, ob diese rechtlich zulässig zu regeln sei. Bei der Online-Durchsicht seien bereits die Lesezugriffe auf das Untersuchungsziel zu beschränken. Es solle kein Zugriff auf Dateninhalte des geschützten Kernbereichs erfolgen. Da der Zugriff nicht offen erfolge, seien alle Untersuchungsschritte genauestens zu protokollieren. Gegebenenfalls seien geeignete Zeugen, möglichst aus dem Wohnumfeld des Betroffenen beizuziehen. Er wies auf die Möglichkeit hin, alle Tastatureingaben der Ermittlungsbeamten zu protokollieren und fortlaufend Screenshots ihrer Rechner anzufertigen, die selbst in einem Sicherheitsraum aufgebaut sein müssten. Vorteil der Online-Durchsicht sei, dass der Täter nicht frühzeitig gewarnt würde. Nach Auswertung des Durchsuchungsergebnisses könne über weitere Ermittlungsmaßnahmen entschieden werden. Eventuell ergebe sich, dass weitere Durchsuchungen nach §§ 102, 103 StPO nötig seien. Dann könne man immer noch den Rechner beschlagnahmen. Herr Graf hielt eine Online-Durchsicht für weniger belastend als eine Hausdurchsuchung. Er sprach sich für diese Maßnahme aus. Die Behörden müssten sich dem technischen Fortschritt anpassen. Er wies darauf hin, dass der Bundesgerichtshof bei seinem Stopp der Online-Durchsuchung die fehlende Gesetzesgrundlage bemängelt, aber nichts von einer etwaigen Verfassungswidrigkeit gesagt habe. Herr Graf nahm an, dass der Bundesgerichtshof sich in seiner Entscheidung auf die Gesetzeslage in NRW beschränken und keine allgemeinen Aussagen machen werde. Zu dem Einwand, dass mit Linux-Boot-CDs, getrennten Rechnern und Verschlüsselung der Erfolg einer Online-Durchsicht verhindert werden könne, wandte Herr Graf ein, dass in der Praxis Täter, wenn die Zeit drängt, ihre E-Mail nicht verschlüsseln würden.
Nach der Mittagspause berichtete Prof. Dr. Hans Kudlich von der Friedrich-Alexander-Universität in Erlangen über strafprozessuale Fragen der Online-Durchsuchung. Auch er betonte, dass zwischen der Online-Durchsuchung im engeren Sinne und der Online-Überwachung (monitoring), die mehrere Tage dauert, unterschieden werden müsse. In der öffentlichen Diskussion würden die Begrifflichkeiten häufig vertauscht. Ein Problem bei der Online-Durchsuchung sei die Frage, ob die gefundenen Daten verwertbar seien. Wenn dies nicht der Fall sei, könnten sie immer noch Anlass für weitere Maßnahmen darstellen. Die Online-Durchsuchung sei von ermittlungstaktischem Interesse, da ein frühzeitiger Zugriff, ohne den Täter zu warnen, möglich sei. Insbesondere könne die Maßnahme bei mehreren Tätern oder Organisationsdelikten geheim gehalten werden. Zudem ermögliche die Online-Durchsuchung den Zugriff auf Informationen, auf die bei sichergestellter Hardware nicht oder nur erheblich erschwert zugegriffen werden könne. Beispielsweise könne auf passwortgeschützte Daten, die extern gespeichert sind, zugegriffen werden. Der dritte Senat des BHG habe die Online-Durchsuchung de lege lata für nicht verfassungsgemäß erklärt. De lege ferenda hinge die Verfassungsmäßigkeit einer derartigen strafprozessualen Regelung von der Grundrechtsrelevanz der Maßnahme ab. In Betracht käme eine Verletzung von Art. 13, 10 und 2 I i. V. m. 1 I GG. Gegen die Anwendbarkeit von Art. 13 GG spräche, dass es Zufall sei, ob sich der Rechner im Arbeitszimmer, Büro oder in einem öffentlichen Park befände. Teilweise werde zudem eingewandt, dass der Internet-Nutzer sich freiwillig ins Internet, d. h. nach außen begebe. Dies sei bei der Wohnung jedoch auch der Fall, wenn man sie verließe oder sogar Leute in die Wohnung einlüde. Dies mindere den Schutz aus Art. 13 GG jedoch nicht. Es handele sich jedenfalls nicht im einen finalen Eingriff, da man nicht wisse, ob der Rechner in der Wohnung stehe. Prof. Kudlich ging davon aus, dass Art. 13 GG einschlägig sei, solange es kein Sondergrundrecht gebe. Art. 10 GG sei nicht betroffen, solange es nicht um die laufende Kommunikation geht. Die informationelle Selbstbestimmung sei in jedem Fall tangiert. Bei der Prüfung der Grundrechtsrelevanz der Maßnahme sei zu beachten, dass heimliche Maßnahmen als besonders eingriffsintensiv angesehen würden. Die Strafverfolgungsbehörden würden allerdings offensiv ohne übertriebenen Skrupel mit neuen Ermittlungsmethoden umgehen. Bei der materiellen Verfassungsmäßigkeit würde sich die Frage stellen, ob bei einem gravierenden Eingriff mit begrenztem Anwendungsbereich das Übermaßverbot beachtet würde. Prof. Kudlich ging davon aus, dass eine verfassungsgemäße Regelung möglich sei. Es handele sich lediglich um eine neue Quantität des Eingriffs. Diese könne mit formellen und materiellen Mittel abgefedert werden. Insbesondere schlug Prof. Kudlich vor, die Online-Durchsuchung nur für bestimmte Katalogtaten zu gestatten und die Rechtssprechung des Bundesverfassungsgerichts zum großen Lauschangriff zu beachten. Insbesondere müsse die Online-Durchsuchung unter Richtervorbehalt stehen. Eine Eilkompetenz der Staatsanwaltschaft und ihrer Ermittlungspersonen sei wohl nicht nötig. Prof. Kudlich sagte, dass er ein Ur- oder Grundvertrauen in die Justiz habe. Man müsse Vertrauen in die Integrität der Strafverfolgungsbehörden haben. Während Prof. Kudlich das Kollegialgericht für zuständig für die Anordnung einer Online-Durchsuchung hielt, ging Dr. Graf davon aus, dass eine Anordnung durch den Einzelrichter genügen würde. Ob eine Eilkompetenz der Staatsanwaltschaft bestehen sollte, stand für ihn noch nicht sicher fest.
Sodann referierte PD Dr. Carl-Friedrich Stuckenberg, LL.M., über Aspekte der grenzüberschreitenden Online-Durchsuchung. Hierbei ging er von der Hypothese aus, dass Online-Durchsuchungen technisch möglich und nach deutschem Recht zulässig seien. Er stellte fest, dass das Internet der ortlose Ort par exellence wäre. Rein technisch sei eine grenzüberschreitende Online-Durchsuchung ohne nennenswert größeren Aufwand möglich. Es sei allerdings fraglich, ob eine gezielte Durchsuchung im Ausland statthaft sei. Zumindest die gleichzeitige TKÜ würde die Mitwirkung ausländischer Behörden erfordern. Des Weiteren würde sich die Frage stellen, welche Konsequenzen es hätte, wenn aus Versehen ein im Ausland befindlicher Rechner durchsucht würde. Die Wahrscheinlichkeit, dass dies passiere, sei als eher gering einzustufen, da sich anhand der IP-Adresse in der Regel feststellen ließe, in welchem Land sich der Rechner befände. Dies sei bei der Verwendung einer UMTS-Karte im Grenzgebiet eventuell anders. Zudem könnten sich bei Anonymizern Probleme ergeben. Ohne Einwilligung des Staates, in dem die Maßnahme erfolge, sei eine Online-Durchsuchung völkerrechtswidrig. Die Bundesregierung hätte angekündigt, dass dafür gesorgt werden solle, dass die Online-Durchsuchung nur im deutschen Hoheitsgebiet erfolge. Voraussetzung für eine zulässige Beweiserhebung im Ausland sei das Einverständnis des betroffenen Staates. Die Rechtshilfe sei in einer Vielzahl bilateraler und multilateraler Abkommen sowie im Gesetz über die internationale Rechtshilfe in Strafsachen geregelt. Soweit keine abweichenden Vereinbarungen bestünden, sei grundsätzlich der diplomatische Geschäftsweg einschlägig. Wenn Vereinbarungen dies vorsähen, sei statt des diplomatischen der justizministerielle oder unmittelbare Geschäftsweg möglich. In der Regel werde der ersuchte Staat eine Ermittlungsmaßnahme nur vornehmen, wenn sie nach seinem Recht statthaft wäre. Nach Auskunft des BKA gebe es in Rumänien, Zypern, Lettland und Spanien bereits Gesetze zur Online-Durchsuchung. Herrn Stuckenberg sei es jedoch selbst mit Hilfe von Verfassungsjuristen vor Ort nicht gelungen, den Wortlaut des spanischen Gesetzes zu erfahren. Auf dem Rechtshilfeweg sei es nicht möglich, innerhalb weniger Tage eine Online-Durchsuchung im Ausland zu erreichen. Eine Vereinfachung solle auf EU-Ebene durch den Vorschlag zur europäischen Beweisanordnung erreicht werden. Allerdings sei zweifelhaft, ob die Online-Durchsuchung von dieser Regelung umfasst sei. Momentan sei fraglich, ob sich eine Online-Durchsuchung überhaupt durchsetzen ließe. Der zweite Aspekt der Online-Durchsuchung im Ausland sei die Frage nach der Verwertbarkeit der erlangten Beweismittel in einem deutschen Strafprozess. Ausdrückliche Regelungen über die Verwertung von Auslandsbeweisen fehlten im deutschen Strafprozessrecht. Allerdings gebe es einige durch die Rechtssprechung entwickelten Leitlinien. Probleme ergäben sich beispielsweise dann, wenn das Rechtshilfeersuchen zulässig wäre, der ersuchte Staat aber Beweise in einer Weise erheben würde, die nach deutschem Recht unzulässig wäre. Die Einhaltung des Rechts des ersuchten Staats genüge wohl, um eine Verwertbarkeit zu bejahen. Allerdings dürften sich die deutschen Strafverfolgungsbehörden und Gerichte nicht ihrer grundrechtlichen Bindung entledigen. Würde gegen ausländisches lex loci verstoßen, so käme ein Beweiserhebungsverbot dann in Betracht, wenn ein vergleichbarer Verstoß nach deutschem Recht ebenfalls zur Unverwertbarkeit führen würde. Wurden die Beweise unter Verstoß gegen das Völkerrecht erlangt, so sei wenigsten eine nachträgliche Zustimmung des betroffenen Staates nötig und die Online-Durchsuchung müsste nach dem lex loci zulässig gewesen sein.
Dem folgte ein Vortrag von PD Dr. Johannes Rux zu polizeirechtlichen Fragen der Online-Durchsuchung. Auch Herr Rux befasste sich zunächst mit den Begrifflichkeiten. Er erläuterte, dass der Begriff Online-Durchsuchung zu eng sei. Gemeint sei nicht nur die Durchsuchung von Datenbeständen, sondern auch die Echtzeitüberwachung der Nutzung eines Rechners. Dieser Zugriff stelle offensichtlich einen Eingriff in das Grundrecht der informationellen Selbstbestimmung dar. Das Tätigwerden der Polizei setze eine konkrete Gefahr voraus. Die Polizeibehörden seien darauf beschränkt, sich aus allgemein zugänglichen Quellen zu unterrichten. Gemäß § 40 PolG NW sei die Durchsuchung von Sachen zulässig, wenn nach Sachen gesucht werde, die sichergestellt werden könnten. Zwar könnten Daten grundsätzlich sichergestellt werden. Dies würde aber voraussetzen, dass von den Daten selber eine Gefahr ausginge. Somit sei de lege late ein verdeckter Zugriff auf private Rechner selbst bei einer Gefahr für die öffentliche Sicherheit oder Ordnung nicht zulässig. Im Gegensatz zur Polizei setze das Tätigwerden der Verfassungsschutzbehörden keine konkrete Gefahr voraus. Die Verfassungsschutzgesetze des Bundes und der meisten Länder enthielten keine ausdrückliche Regelung über den verdeckten Online-Zugriff auf den Rechner. Auch hier bedürfe es für die Online-Durchsuchung einer klaren Rechtsgrundlage, da keine anderen Maßstäbe als im Polizeirecht angelegt werden dürften. In Nordrhein-Westfalen gebe es eine ausdrückliche Regelung. § 5 Abs. 2 Nr. 11 VerfSchG NRW lautet: „Die Verfassungschutzbehörde darf nach Maßgabe des § 7 zur Informationsbeschaffung als nachrichtendienstliche Mittel die folgenden Maßnahmen anwenden: […] 11. heimliches Beobachten und sonstiges Aufklären des Internets, wie insbesondere die verdeckte Teilnahme an seinen Kommunikationseinrichtungen bzw. die Suche nach ihnen, sowie der heimliche Zugriff auf informationstechnische Systeme auch mit Einsatz technischer Mittel. Soweit solche Maßnahmen einen Eingriff in das Brief-, Post- und Fernmeldegeheimnis darstellen bzw. in Art und Schwere diesem gleichkommen, ist dieser nur unter den Voraussetzungen des Gesetzes zu Artikel 19 Grundgesetz zulässig.“ Diese Regelung sei jedoch nicht bestimmt genug. Neben einer Verletzung der informationellen Selbstbestimmung käme eine Verletzung des Grundrechts auf Unverletzlichkeit der Wohnung und des Telekommunikationsgeheimnisses in Betracht. Dr. Rux vertrat, dass es zur Verletzung von Art. 13 GG genüge, wenn mit Hilfe technischer Mittel Daten aus der Wohnung erhoben würden. Entgegen der Auffassung, dass man mit dem Besuch im Internet den Schutz freiwillig aufgebe, stelle der Aufbau einer Internetverbindung keinen Grundrechtsverzicht dar. Das Betreten einer Wohnung sei durch das Vorhandensein von Türen und Fenstern auch möglich. Ihr Einbau würde aber keinesfalls einen Grundrechtsverzicht darstellen. Im Internet müssten Firewalls und Virenscanner überwunden werden. Es käme auch nicht auf den Standort des Rechners an. Es hinge vom Zufall ab, ob die Daten innerhalb oder außerhalb einer Wohnung seien. Mögliche Unsicherheiten gingen zu Lasten der Behörde. Art. 13 GG sei direkt nur anwendbar, wenn sich der Rechner in einer Wohnung befinde. Allerdings schütze Art. 13 GG nicht die Wohnung selbst, sondern die Privatsphäre und ein „letztes Refugium“ für die Selbstentfaltung. Dies sei auch innerhalb des virtuellen Raums möglich. Es könne virtuelle Beziehungen geben, die den gleichen Grad wie Beziehungen in der realen Welt haben. Das Schutzbedürfnis sei somit identisch. Der Schutzbereich des Art. 13 GG könne jedoch nicht im Wege einer Analogie erweitert werden, da die allgemeine Handlungsfreiheit eingreife und somit kein Bedürfnis für eine Analogie bestünde. Allerdings müssten, um einen Eingriff in die allgemeine Handlungsfreiheit zu rechtfertigen, die Schranken des Art. 13 GG zur Anwendung kommen. Somit sei die Durchsuchung der Datenbestände nur in den Grenzen des Art. 13 Abs. 2 GG zulässig. Für die Gefahrenabwehr sei gemäß Art. 13 Abs. 4 GG dringende Gefahr nötig. Die Tätigkeit des Verfassungsschutzes könne auch nicht auf Art. 13 Abs. 7 GG gestützt werden. Der Online-Zugriff sei somit ohne vorherige Änderung der Verfassung unzulässig. Internet-Telefonie würde vom Schutzbereich von Art. 10 GG umfasst. Der Schutz beginne, wenn die Nachricht den Herrschaftsbereich des Absenders verlasse und ende, wenn sie im Herrschaftsbereich des Empfängers angekommen sei.
Die Tagung endete mit einer Podiumsdiskussion zu der Frage „Kosten und Nutzen der Online-Durchsuchung“. Die Moderation übernahm Prof. Dr. Georg Borges. Diskussionsteilnehmer waren Karl Peter Brendel, Staatssekretär im Innenministerium NRW, Michael Bruns, Bundesanwalt beim Bundesgerichtshof, Marie Luise Graf-Schlicker, Ministerialdirektorin beim Bundesministerium der Justiz, Lutz Neugebauer, Bereichsleiter Sicherheit beim BITKOM, Dr. Karsten Rudolph, innenpolitischer Sprecher der SPD-Landtagsfraktion NRW, Ronald Schlapka, ständiger Vertreter der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW, Marco Thelen von der Staatsanwaltschaft Bonn sowie Helmut Ujen vom Bundeskriminalamt.
Herr Brendel kritisierte, dass in der politischen Diskussion immer wieder das Mengenargument verwendet würde. Es sei von der Durchsuchung zahlreicher Computer in NRW die Rede. In der Realität solle die Online-Durchsuchung genutzt werden, um die Kommunikation von Terroristen und eines Teils der rechten Szene abzuhören. Die Maßnahme sei vergleichbar mit G 10 Maßnahmen. Es handele sich um Maßnahmen im einstelligen Bereich. Dies würde auch so bleiben. Die Voraussetzungen würden geprüft und wenn sie vorlägen, würde die Maßnahme stattfinden. Wegen des großen Aufwands der Online-Durchsuchung gebe es technische und personale Grenzen. Da es hohe Hürden für eine Online-Durchsuchung gebe, bestünde keine Gefahr einer Verletzung von Grundrechten, der Eingriff sei als verhältnismäßig anzusehen. Der Verfassungsschutz hätte nur so viele Befugnisse erhalten, wie er brauche, um in der Vorfeldaufklärung mithalten zu können.
Herr Rudolph wandte ein, dass der Gesetzgeber in den letzten Jahren mehr als einmal den verfassungsmäßigen Rahmen überschritten hätte. Man bekäme den Eindruck, dass dies gemacht würde, um den politischen Handlungsspielraum zu stärken. Das Verfassungsschutzgesetz NRW sei in mehreren Punkten verfassungswidrig. In der Praxis würde die NRW-Norm nicht angewandt, die akustische Überwachung würde durch das BKA erfolgen. Für die Online-Durchsuchung würde teilweise angeführt, dass ja nicht viele betroffen seien und wer nichts zu verbergen hätte, hätte nichts zu befürchten. Wenn man die Zahl der Telekommunikationsüberwachungen durch alle Ämter betrachten würde, sei die Gesamtzahl gar nicht mehr so gering. Auch er betonte, dass zwischen Online-Durchsuchung und Online-Überwachung zu unterscheiden sei. Die dauerhafte Überwachung stelle einen stärkeren Eingriff dar. Eine erfolgreiche Online-Überwachung setze einen Zugriff auf Heim-PC, Arbeits-PC, Laptop, PDA etc. voraus. Er glaube nicht, dass die Online-Überwachung zu einer effektiveren Verbrechensbekämpfung führen werde. Es handele sich um ein Gesetz für die Dummen, die nicht merken würden, dass man sie ausspioniert. Die Schlauen würden ihre Kommunikation einfach ändern.
Herr Ujen fühlte sich durch die Kritik, die sein Vorredner an der Online-Durchsuchung äußerte, angesprochen. Er ist Mitglied der interministeriellen Arbeitsgruppe aus BMJ und BMI unter Unterstützung des BKA. Auch er unterschied zwischen Online-Durchsicht als Einmalzugriff und Online-Überwachung als dauerhafte Überwachung. Das Wort Online-Durchsuchung könne als Oberbegriff verwendet werden. Des Weiteren sei von der Quellen-Telekommunikationsüberwachung zu unterscheiden. Hier würden sich Abgrenzungsprobleme ergeben. Im nordrheinwestfälischen Gesetz ging es seinem Verständnis nach um beide Formen der Online-Durchsuchung. Seit dem 23.04.2007 würde die vom BKA entwickelte Software nicht weiterentwickelt. Ob man die Online-Durchsuchung in der Praxis tatsächlich einführen sollte, sei durch die Philosophie bzw. durch den Gesetzgeber zu beantworten. Er lobte insbesondere die Vorträge von Dr. Wegener und Herrn Fischer und erklärte, dass er in seiner 28jährigen Tätigkeit als Ermittler gelernt habe, dass es auch bei bestehenden Schutzmöglichkeiten immer wieder Lücken gebe. Um diese zu nutzen, bräuchte man die Online-Durchsuchung. Man benötige sowohl eine Vorfeldbefugnis zur Online-Durchsuchung zur Bekämpfung terroristischer Gefahren als auch zur Strafverfolgung. In Zukunft würden sich bei der Telekommunikationsüberwachung Probleme ergeben. Die Telekom wolle 2011 ISDN abschalten, dann käme flächendeckend voice-over-ip zum Einsatz. Dort würden die Gespräche verschlüsselt übertragen. Dies würde eine Telekommunikationsüberwachung unmöglich machen.
Herr Bruns warf die Frage auf, ob man die Online-Durchsuchung im weiteren Sinne sowie die Telekommunikationsüberwachung brauchen würde. Man müsse zwischen präventiven und repressiven Maßnahmen unterscheiden. Es würde Probleme geben, wenn die Polizei zu Ermittlungszwecken Maßnahmen anwenden dürfe, die so erlangten Beweise aber nicht im Strafverfahren verwendet werden dürften. Auch er unterschied zwischen der einmaligen Online-Durchsicht, bei der während der Durchsuchung eine Festplattenspiegelung erfolge, und der Online-Überwachung, bei der Eingabeaktionen mitgeschrieben würden. Er könne sich nur wenige Fälle vorstellen, in denen erstere Maßnahme relevant würde. Die Quellen-Telekommunikationsüberwachung sei seiner Ansicht nach durch § 100 a StPO im Rahmen einer Annexkompetenz abgedeckt. Er vertat, dass das Aufspielen von Programmen auch bereits abgedeckt sei. Allerdings fände die Kommunikation zwischen Kriminellen verstärkt im virtuellen Raum statt. Wenn über Skype verschlüsselt kommuniziert werde, stünden die Ermittler außen vor.
Herr Schlapka nahm an, dass das Verfassungsschutzgesetz NRW gegen Art. 13 GG und die informationelle Selbstbestimmung verstieße. Er warnte davor, leichtfertig von einer Verfassungsänderung zu sprechen. Damit würde man auch ein bisschen den Staat ändern. Eine heimliche Untersuchung würde immer einen schwereren Eingriff darstellen als eine offene. Eine Online-Durchsuchung stelle immer einen Eingriff in den Kernbereich dar. Fraglich sei somit, ob man diesen Eingriff rechtfertigen könne. Die Online-Durchsuchung würde damit gerechtfertigt, dass sie der Terrorismusbekämpfung dienen soll. Nicht einmal der Datenschutz hätte etwas gegen effektive Terrorismusbekämpfung, aber gerade Terroristen könnten sich schützen. Man müsste abgrenzen, wofür man welche Maßnahme brauche. Er differenzierte zwischen präventiven, repressiven und Maßnahmen des Verfassungsschutzes. Gegen die Aussage, dass nur wenige betroffen seien, wandte er ein, dass alleine an einer Hochschule schon mehrere Zielpersonen denkbar seien. Man müsse sich, bevor man sich für oder gegen eine Online-Durchsuchung ausspräche, fragen, was für einen Staat und was für Bürger man will.
Herr Neugebauer erklärte, dass auch die Industrie für eine effektive Terrorismusbekämpfung wäre und bereit sei, den Staat zum Erhalt der Sicherheit zu unterstützen. Allerdings hielt er die Online-Durchsuchung für sehr problematisch, da sich auf Rechnern auch private Inhalte befänden. Er befürchte, dass bei der Online-Durchsuchung der Bogen durch die Behörde überspannt werde. Er betonte, dass keine Gefahr bestünde, dass eine „Polizeischnittstelle“ in deutsche IT-Produkte eingebaut würde. Der gute Ruf der deutschen IT-Industrie solle nicht leichtfertig verspielt werden.
Herr Thelen hielt die Online-Durchsicht für ein notwendiges Mittel im Kampf gegen Internet-Kriminalität. Es sei zu einer Verlagerung gekommen. Es gebe zahlreiche neue Erscheinungsformen innerhalb der IT-Kriminalität. Es hätte im Februar 2006 bereits eine positive Entscheidung des BGH zur Online-Durchsicht gegeben. Damals sei in einem Phishing-Verfahren auf Grund richterlichen Beschlusses auf einen Server zugegriffen worden, auf dem eBay und Bankdaten gespeichert waren. Zudem sei herausgefunden worden, dass über diesen Server ein Bot-Net gesteuert wurde. Man müsste klären, ob man einen rechtsfreien Raum wolle. Er sprach sich für den Einsatz der Online-Durchsicht zu repressiven Zwecken in Fällen schwerer Kriminalität, wie beispielsweise Terrorismus, Phishing und Kindesmissbrauch, aus.
Frau Graf-Schlicker erläuterte, dass das BMJ nie gesagt habe, dass es gegen die so genannte Online-Durchsuchung sei. Nach einer kurzen Erläuterung in die technischen Grundlagen, erklärte sie, dass es unterschiedliche Eingriffe gäbe, die unterschiedliche Grundrechte tangieren könnten. Die Durchsicht der Festplatte könne Art. 13 GG, die Überwachung der Kommunikation und des E-Mail-Verkehrs Art. 10 GG verletzen. Man sollte im Auge behalten, dass sich das Grundgesetz nicht so einfach ändern ließe. Hierzu sei vielmehr eine qualifizierte Mehrheit nötig. Bei verschlüsselter Telekommunikation müsse das Gespräch bei der Quellen-Telekommunikationsüberwachung abgehört werden, bevor es verschlüsselt werde. Sie vertrat, dass beide Maßnahmen nicht durch §§ 100a, 100 b StPO gedeckt seien. Man benötige hierfür eine klare gesetzliche Grundlage. Des Weiteren müsse geprüft werden, ob eine Online-Durchsuchung möglich sei.
Herr Brendel erwähnte erneut, dass zwischen den Begrifflichkeiten klar unterschieden werden müsse. Gegen das Argument, dass man sich vor der Online-Durchsuchung schützen könne, brachte er vor, dass es auch bei der Telekommunikationsüberwachung Erfolge gebe, obwohl bekannt sei, dass Telefongespräche abgehört werden könnten. Gleiches würde auch für die Online-Durchsuchung gelten. Herr Rudolph betonte, dass Ursachenbekämpfung wichtig sei. Die Bekämpfung von Terrorismus sei nicht nur eine technische Frage. Er fand es besorgniserregend, dass Herr Thelen sich dafür aussprach, die Online-Durchsuchung in Phishing-Fällen anzuwenden. Er meinte, dass die Entwicklung dahin ginge, dass sie irgendwann für Bekämpfung von Kleinkriminalität im Gespräch wäre. Herr Ujen versuchte durch eine Umfrage im Publikum zu beweisen, dass social engineering wirksam ist. Er erkundigte sich, wer einen E-Mail-Anhang von einem Fremden öffnen würde und stellte fest, dass viel mehr Zuhörer einen E-Mail-Anhang öffnen würden, der vermeintlich von einem Freund stammt und angeblich Fotos enthält, als erwartet. Herr Bruns meinte, dass er nicht glaube, dass es der Bundesrepublik gelingen würde, das Vertrauen in das Internet zu zerstören, wo es Google und Microsoft nicht gelungen sei. Es sei Aufgabe der Richter, zu entscheiden, wann eine Online-Durchsuchung erforderlich sei, und zu verhindern, dass sie in Fällen von Kleinkriminalität eingesetzt werde. Des Weiteren sei es Aufgabe der Politik, einen zu weitgehenden Einsatz der Online-Durchsuchung zu verhindern. Herr Schlapka erklärte, dass er Bedenken hätte, ob es sich bei der Online-Durchsuchung um ein erforderliches und geeignetes Mittel zur Verbrechensbekämpfung handele. Herr Neugebauer problematisierte, dass es keine Software gebe, die 100prozentig fehlerfrei sei. Dies könnte auch beim „Bundestrojaner“ der Fall sein. Zudem müsste verhindert werden, dass der Bürger Angst haben müsse, von Verwaltungssoftware ausspioniert zu werden. Bei der elektronischen Verwaltung handele es sich um eine gute Sache. Es müsse vermieden werden, dass es zu einem Vertrauensverlust käme. Herr Thelen entgegnete Herrn Rudolph, dass es sich bei Phishing gerade nicht um Bagatellkriminalität handele. Er spreche sich für die Online-Durchsuchung aus, damit Schwerstkriminelle wie Kinderschänder nicht straffrei blieben.
Frau Graf-Schlicker betonte nochmals, dass zwischen präventiven und repressiven Maßnahmen unterschieden werden müsse und dass sich bei repressiven Maßnahmen die Frage nach der Verwertbarkeit vor Gericht stellen würde. Man sei am Anfang der Debatte, nicht am Ende. Zunächst würde sich die Frage stellen, was das Bundesverfassungsgericht sage. Auch Herr Thelen betonte nochmals, dass zwischen präventiven und repressiven Maßnahmen unterschieden werden müsse. Herr Neugebauer stellte klar, dass die IT-Industrie zur Diskussion bereitstünde. Herr Rudolph erklärte, dass er es für wichtig hielte, dass über dieses Thema auch zu Hause diskutiert werde. Auch Herr Schlapka mahnte, dass man auf die Entscheidungen des Bundesverfassungsgerichts warten müsse. Herr Bruns erinnerte daran, dass man keinesfalls mehr präventive als repressive Maßnahmen gestatten dürfe. Herr Ujen schloss die Diskussion mit einem Verweis auf Umfrageergebnisse, nach denen 65 Prozent der Bevölkerung für Online-Durchsuchungen seien. Er stellte fest, „Sie wissen zwar nicht, was Online-Durchsuchungen sind, aber sie haben Recht“.
Hier finden Sie den Tagungsbericht im pdf Format.
[i] Siehe https://www.a-i3.org/images/stories/recht/bgh_online_durchsuchung.pdf.
[ii] http://www.ruhr-uni-bochum.de/ls-borges.
[iii] Siehe www.a-i3.org.
[iv] Siehe http://www.faz.net/s/Rub594835B672714A1DB1A121534F010EE1/Doc~E72CD628D71754A14AFB613
61A06035DA~ATpl~Ecommon~Scontent.html.
[v] Siehe http://www.bundesverfassungsgericht.de/pressemitteilungen/bvg07-082.html.
[vii] Siehe Vortrag von Felix Gröbert.
[viii] Siehe Vortrag von Christian Böttger.
[x] http://groebert.org/felix/.
[xi] http://www.dn-systems.de/.