Vorratsdatenspeicherung: Bundeskriminalamt will hunderttausende Inhaber verwurmter Rechner identifizieren

Ablauf der Entstehung und Verwendung von Botnetzen. Lizenz: Creative Commons BY-SA 3.0.

Lizenz: Creative Commons BY-SA 3.0.

Das Bundeskriminalamt hat versucht, mehr als 200.000 Menschen zu identifizieren, deren Rechner Teil eines Botznetzes waren. Das wurde uns vom BKA bestätigt und steht als „Beweis“ für die Notwendigkeit der Vorratsdatenspeicherung in einem Papier der EU-Kommission. Seit letztem Jahr ist diese Vorgehensweise ein abgestimmtes Verfahren zwischen Bund und Ländern.

Die EU-Richtlinie zur Vorratsdatenspeicherung wurde politisch mit „schwerstem internationalen Terrorismus“ begründet, schon im Text steht nur noch die Bekämpfung von Straftaten. Jetzt haben wir noch einen Anwendungsfall entdeckt. In einem Bericht der Europäischen Kommission heißt es:

Die Deutsche Polizei erhielt Informationen aus Luxemburg nach der Analyse eines beschlagnahmten Command and Control Servers eines Botnets, die digitale Identitäten von ahnungslosen Nutzern enthielten. 218.703 deutsche IP-Adressen, die auf diesen Server zugegriffen hatten, wurden an die Polizei übermittelt, um die Besitzer der Computer zu informieren/warnen, aber die meisten der anschließend von den Polizeibehörden übermittelten Auskunftsersuchen liefen ins Leere, weil die Vorratsdaten nicht gespeichert wurden.

Nachdem wir uns die Augen gerieben hatten, ob das wirklich stimmt, haben wir vor drei Wochen beim BKA nachgefragt. Heute ist endlich die Antwort eingetroffen, in der es heißt:

Über eine Distributed Denial of Services-Attacke durch ein Botnetz wurde eine Webseite im Internet attackiert. Diese war daraufhin im Internet nicht mehr erreichbar. Über die Auswertung der Logdaten der angegriffenen Seite konnte ein Command&Control-Server identifiziert werden, der das zum Angriff genutzte Botnetz steuerte. Im Zuge der Auswertung wurden täterseitige Zugriffe auf den Command&Control-Server festgestellt. Die hierbei genutzten IP-Adressen lieferten Anhaltspunkte zur Identifizierung der Täter.

Dem BKA wurden in einem solchen Fall beispielsweise aus Luxemburg im Jahr 2010 insgesamt 218.703 deutsche IP-Adressen übersandt. Allein in Hessen und Nordrhein-Westfalen wurden im weiteren Verlauf zu insgesamt 169.964 Auskunftsersuchen mangels vorhandener Daten keine Auskünfte erteilt. Die betroffenen Internetnutzer konnten somit nicht davor gewarnt werden, dass sie Teil eines kriminellen Botnetzes sind.

Das BKA hat also in einem einzigen Fall versucht, mit dem Datenpool der Vorratsdatenspeicherung 218.703 Menschen, deren Internet-Anschluss von einem mit Malware befallenen Rechner verwendet wurde, zu identifizieren. Die Vorratsdatenspeicherung, die mit Terrorismus begründet wird. Und wenn 169.964 der 218.703 Anfragen leerliefen, macht das 48.739 identifizierte Menschen. Fünfzigtausend Menschen haben einen Brief bekommen, dass ihr Rechner mit Schadsoftware befallen ist? Und sie per Vorratsdatenspeicherung identifiziert wurden?

Laut BKA ist das mittlerweile sogar ein Standard-Verfahren beim Umgang mit solchen Fällen:

Folgendes Verfahren ist zwischen Bund und Ländern bei Kenntnisnahme massenhaft infizierter Computer/-systeme seit 2012 abgestimmt:

  • Das BKA nimmt die Daten aus dem Ausland entgegen.
  • Das BKA ordnet die IP-Adressen mittels eines automatisierten Skriptes dem jeweilig zuständigen Provider zu.
  • Das BKA nimmt Kontakt zur IuK-Schwerpunktstaatsanwaltschaft auf, um ein Strafverfahren einleiten zu lassen und um so den repressiven Ansprüchen gerecht zu werden.
  • Das BKA verschickt eigenständig im Rahmen seiner Zentralstellenaufgabe zur Unterstützung der Länderbehörde, in dessen Zuständigkeitsbereich der Provider seinen Sitz hat, unter Nutzung von Serienbriefen Mitteilungen gemäß § 10 Abs. 3 i.V.m. § 10 Abs. 2 Nr. 1 i.V.m. § 2 BKAG an die jeweiligen Provider, um diese über die Infektion der Rechner ihrer Kunden zu informieren und sie darum zu ersuchen, diese darüber in Kenntnis zu setzen.
  • Das jeweils zuständige Landeskriminalamt wird darüber in Kenntnis gesetzt und kann ggf. weitere Maßnahmen veranlassen.
  • Sollten im Einzelfall weitere Ermittlungsansätze vorhanden sein, die eine örtliche Zuständigkeit eines Landes begründen, gibt das BKA diesen Vorgang an das zuständige Landeskriminalamt zur dortigen Einleitung der weiteren Maßnahmen in eigener Zuständigkeit ab.

Wir wollten natürlich wissen, wie oft so etwas vorkommt, wie viele Fälle es schon gab und wie viele Menschen schon identifiziert wurden. Die Antwort:

Die Anzahl der Fälle in Bund und Ländern ist nicht registriert worden. Eine Identifizierung der kompromittierten Rechner bei Botnet-Kriminalität ist mangels Vorratsdatenspeicherung in der Regel nicht möglich.

Das ist die größte Zweckentfremdung der Vorratsdatenspeicherung, von der ich in Deutschland bisher erfahren habe. Umso schlimmer, dass das Bundeskriminalamt diesen Fall als Beispiel heranzieht, warum die anlasslose Massenüberwachung sämtlicher Kommunikation in ihren Augen notwendig ist. Und dass die Europäische Kommission das kritiklos in einem Papier übernimmt, dass den Titel „Beweise für die Notwendigkeit der Vorratsdatenspeicherung“ trägt. Unglaublich.

Patrick Breyer, Vorratsdatenspeicherungs-Gegner, Jurist und Pirat kommentiert gegenüber netzpolitik.org:

Es ist völlig unverhältnismäßig, wenn das BKA hunderttausende von Internetnutzern ohne ihre Einwilligung identifiziert, um sie vor Schadsoftware zu „warnen“. Die Sicherheit unserer Privatcomputer ist unsere Sache, nicht der Polizei. Es zeigt sich, dass die verfassungswidrige Bestandsdatenauskunft vollkommen ausufert und gestoppt werden muss. Außerdem beweist die BKA-Massenidentifizierung, dass die geforderte IP-Vorratsdatenspeicherung mit der Verfolgung schwerer Straftaten nichts zu tun hat und diese nur als Vorwand genutzt werden, um Internetnutzer wegen Bagatellen zu verfolgen.

Wehe, nach Homepageüberwachung, Funkzellenabfrage und nun Botnetzen erzählt mir noch einmal jemand etwas davon, dass die Vorratsdatenspeicherung nur gegen Terror ist und nur in Einzelfällen angewendet wird.

32 Kommentare
  1. Ralph Lange 4. Sep 2013 @ 17:59
    • Andre Meister 4. Sep 2013 @ 18:17
      • Andreas Fink 5. Sep 2013 @ 8:37
  2. Ralph Lange 4. Sep 2013 @ 18:52
  3. Hinterwäldler 5. Sep 2013 @ 8:48
  4. Nachdenklicher 5. Sep 2013 @ 8:56
  5. Robert Tale 5. Sep 2013 @ 9:18
  6. Frank Weiss 16. Sep 2013 @ 7:48
Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende. Spenden