Wie sich Zollkriminalämter in den Mitgliedstaaten der Europäischen Union vermeintliche Kriminelle googeln

Im Oktober 2009 hatte die EU-Ratsarbeitsgruppe Zollzusammenarbeit (Customs Cooperation Working Party; CCWP) eine neue Strategie beschlossen, um die grenzüberschreitende Zusammenarbeit von Zollbehörden weiter zu forcieren. Ein 18 Monate dauernder Aktionsplan sah im Zeitraum vom 1. Juli 2011 bis 31. Dezember 2012 vor, in mehreren Arbeitsgruppen Vorschläge für Kooperationen zu entwerfen. Eine der „Aktionen“ widmete sich digitalen Ermittlungstechniken von Zollkriminalämtern, aber auch anderen Strafverfolgungsbehörden. Einen Abschlussbericht hat die britische Bürgerrechtsorganisation Statewatch nun online gestellt.

An der Aktion mit dem sperrigen Titel „To examine the working/investigative techniques applied by customs and other law enforcement authorities to combat customs related crime, including organised crime, through the Internet, and to explore the current situation regarding the existence of Customs Internet Crime specialised units“ haben neben der EU-Kommission und der Polizeiagentur EUROPOL unter anderem Deutschland, Frankreich, Italien Schweden, Großbritannien und die Niederlande teilgenommen. Ziel war die Zusammenstellung und Bewertung von Maßnahmen in den einzelnen Mitgliedstaaten. Dabei ging es einerseits um die „Nutzung des Internets für kriminelle Zwecke“.

Von besonderer Bedeutung war jedoch die Sammlung neuer „Arbeitsmethoden und Ermittlungstechniken“ unter Nutzung des Internet. Erfahrungen mit als hilfreich befundenen Anwendungen sollen ausgetauscht werden, was mit Sparzwängen wegen der Finanzkrise begründet wird.

Als Motto des Aktionsplans galt die größtmögliche Automatisierung von Ermittlungen. Einen gesonderten Bereich im Dokument nehmen „Software tools“ ein. Diese werden unterteilt in Suchmaschinen, Metadaten-Suchmaschinen, spezielle Suchwerkzeuge, Werkzeuge zum Ermitteln von IP-Adressen oder Domaininhabern, Kopierwerkzeuge und Software zur forensischen Analyse.

Die damalige tschechische Ratspräsidentschaft zirkulierte hierzu einen Fragebogen, der die Methoden sogenannter „Customs Internet Crime Units/Specialists“ (CICUs) abfragte. Heraus kam, dass das deutsche Zollkriminalamt unter Wolfgang Schäuble mit 24 Beschäftigten über den mit Abstand größten Pool von digitalen ErmittlerInnen verfügt. Die Aufgabenbereiche der CICUs variieren in den Zollkriminalämtern der EU-Mitgliedstaaten. Hierzu gehören etwa die „proaktive Suche in offenen Quellen nach Schlüsselwörtern“ oder eine „Analyse von Internetumgebungen“, wozu die Erhebung großer Mengen an Daten gezählt wird.

Eine „stetig wachsende Computerisierung der Gesellschaft“ begründet in mehreren Ländern den Aufbau digitaler forensischer Abteilungen auch bei Zollbehörden. Das „Sammeln digitaler und elektronischer Daten“ wird in dem Dokument als ein „Muss“ beschrieben. Zu den Ermittlungsmethoden gehört aber auch der „Kontakt zu Verdächtigen“: Über im Internet angegebene Mailadressen, etwa bei Auktionsportalen, werden die Betroffenen angeschrieben. Im Falle einer Antwort wird eine IP-Adresse generiert, die dann über den Provider abgefragt wird. Die Ratsarbeitsgruppe macht keine Angaben darüber, in welchen Ländern hierfür ein richterlicher Beschluss vonnöten ist. Der Strafrechtler Tobias Singelnstein hatte dies für Deutschland festgestellt.

Die ErmittlerInnen machen ausweislich des Abschlussdokuments reichlich von den Features der Google-Suche Gebrauch. Das Joint Research Centre der Europäischen Union hat zudem einen „Europe Media Monitor“ programmiert, der Nachrichtenportale abgrast und in Archiven mit 60 Sprachen ablegt. Inhalte werden angeblich automatisch analysiert, bei gefundenen Auffälligkeiten eine Meldung generiert. Um Ergebnisse grafisch darzustellen und Soziale Netzwerke zu analysieren, kommt die „EMM OSINT Suite“ zum Einsatz. Das Text Mining-Tool wurde ebenfalls vom Joint Research Centre zusammen mit den Firmen Website Watcher, Xenon und Paterva Maltego entwickelt.

Um ganze Webseiten herunterzuladen, zu analysieren oder zu archivieren, nutzen Zollbehörden Freeware wie WinHTTrack, den kommerziellen Offline Explorer oder Snagit. Zum Ausspähen von Auktionsportalen wie eBay oder Allegro kommt eine eigens hierfür geschriebene Software zum Einsatz. Die Liste endet mit „anderer genutzter Software“, die lapidar „Netzwerkanalyse, Paketanalyse und Entschlüsseln, Instrumente zur Suche im deep web oder Werkzeuge zur Bilderkennung“ aufzählt.

Besonderes Lob erhält die „Zentrale Internet-Recherche-Einheit“ (ZIRE) des deutschen Zollkriminalamts. Die Plattform habe sich demnach im grenzüberschreitenden Einsatz bewiesen, um Kriminalität im Internet nicht nur zu verfolgen, sondern irgendwie auch zu verhindern.

Mehrere EU-Agenturen nutzen indes weitere Werkzeuge. Die Antibetrugsbehörde (OLAF) verfügt wie EUROPOL über eine eigene forensische Abteilung, die Beweismittel ausliest, indexiert und, wenn möglich, entschlüsselt. EUROPOL betrieb ein „Open Sources Team“, das nun womöglich zum neuen European Cybercrime Center (EC3) gehört. Die Abteilung beobachtet das Internet nach Vorkommnissen in den Bereichen „organisierte Kriminalität, Terrorismus und Strafverfolgung“. EUROPOL hat überdies Zugang zu weltweiten, kommerziellen Datenbanken mit Büchern und Artikeln. Hierzu gehören beispielsweise Factiva, Meltwater News oder Dun & Bradstreet.

Ebenfalls bei EUROPOL angesiedelt ist die „European Cybercrime Training and Educational group“ (ECTEG). Die Gruppe soll Trainingskonzepte entwerfen, um die beschriebenen Techniken in den Mitgliedstaaten mit Trainingsmodulen zu verbreiten. Workshops tragen die Titel „Einführung in die IT Forensik“, „Ermittlungen in Netzwerken“, „Linux als Ermittlungswerkzeug“, „Mobiltelefonforensik“, „Internetermittlungen“, „WiFi- und VOIP-Ermittlungen“, „Malware Analyse“ oder „Data mining und Datenbanken“.

Das Dokument der Customs Cooperation Working Party endet mit „zukünftigen Herausforderungen“, die – andersherum gelesen – als Schutz vor dem digitalen Ermittlungseifer verstanden werden können. Die Ratsarbeitsgruppe bedauert die Nutzung von TOR, dessen Netzwerk von „Kriminellen“ zunehmend missbraucht würde. Verschlüsselungstechniken würden die Kommunikation für die Behörden unzugänglich machen. Cloud-Dienste könnten Ermittlungen behindern, da eine Datenherausgabe erschwert wird – erst Recht, wenn sich die Anbieter in Ländern befänden, mit denen es keine entsprechenden Abkommen gebe. Das Gleiche gilt demnach für Mailaccounts und Domains.

6 Ergänzungen

    1. Wieso sollten Nicht-Kriminielle denn unbeobachtet kommunizieren wollen? Das ist doch ein Widerspruch! Wer nichts zu verbergen hat, hat doch auch nichts zu befürchten!

      1. Also bist Du für Nacktscanner, Infrarot-Kameras, die in Dein Haus reingucken, Elektrogeräte, die der Staat abschalten kann wenn Du zuviel konsumierst, denunzierende Blockwarte und Drohnen, die uups… manchmal halt die Falschen abschiessen…, na ja, Kollateralschaden halt – oder vielleicht ein Mitglied des neuen EU-Trollkommandos?

      2. Satire sollte auch als solche gekennzeichnet werden! Es könnte sonst ernst genommen werden…!

  1. Ob bei einer zukünftigen EU-Sitzung rein zufällig und unglücklich ein Verbot von „terroristischen Anonymisierungsdiensten“ mit reinrutschen wird?

  2. Die durchforsten automatisiert Nachrichtenwebsites und analysieren die Inhalte um daraus Vorteile zu ziehen?
    Wo bleibt das Leistungsschutzrecht wenn man es mal braucht?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.