Alle Welt berichtete in den letzten Wochen über den Streit zwischen dem FBI und der Firma Apple um den Zugang zu Daten auf dem iPhone eines Verbrechers. Das Hickhack um Verschlüsselung auf Mobiltelefonen ist zwar nur ein weiterer Fall in einer schon lange währenden Diskussion, für uns aber Anlass, einen Blick auf die deutsche Rechtslage zu werfen. Wann dürfen hierzulande Computer und Telefone beschlagnahmt und ausgewertet werden, darf die Verschlüsselung umgangen werden?
Für Ermittler ist die Auswertung der Daten aus Mobiltelefonen besonders attraktiv, zum einen weil sie als gerichtsfest gelten, zum anderen weil die Fülle an Informationen wie Anrufdaten, Chat-Protokolle, Fotos und Lokationsangaben eine präzise Profilierung über das Verhalten und den zeitlichen Verlauf der Handlungen von Verdächtigen versprechen. Die Tatsache, dass mehr und mehr Geräte Daten standardmäßig verschlüsselt ablegen, erschwert jedoch Ermittlungen.
Technische Probleme beim Auswerten der Speicher von beschlagnahmten Systemen können wie im Fall von FBI vs. Apple die versehentliche Zerstörung oder Rücksetzung von Passwörtern sein sowie die Sicherung nachweislich unveränderter Beweismittel, um belegen zu können, dass beim Auswerten keine Daten verändert, gelöscht oder manipuliert worden sind.
Grundsätzlich gilt, dass informationstechnische Geräte als potentielle Beweismittel beschlagnahmt oder eingezogen werden dürfen, um digitale Spuren zu sichern, die darauf vorliegen. Man unterscheidet dabei:
- Repressiv, also zur Aufklärung bereits begangener Straftaten: Die Rechtsgrundlagen hierzu sind in der Strafprozessordnung (StPO),
- Präventiv, also zur Abwendung von Gefahren, unter anderem auch Straftaten: Hier gelten die Landespolizeigesetze und das BKA-Gesetz.
Grundrechte
Wie das Bundesverfassungsgericht in seinem Urteil zum Staatstrojaner 2008 ausführte, ist die Auswertung solcher beschlagnahmten Geräte ein schwerwiegender Eingriff in die Privatsphäre des Benutzers:
„Eine staatliche Datenerhebung aus komplexen informationstechnischen Systemen weist ein beträchtliches Potential für die Ausforschung der Persönlichkeit des Betroffenen auf. Dies gilt bereits für einmalige und punktuelle Zugriffe wie beispielsweise die Beschlagnahme oder Kopie von Speichermedien solcher Systeme […]“
Die Begründung ist naheliegend, denn die Fülle an darauf gespeicherten Informationen übertrifft…
„…herkömmliche Informationsquellen an Umfang und Vielfältigkeit bei weitem […] Dies liegt an der Vielzahl unterschiedlicher Nutzungsmöglichkeiten, die komplexe informationstechnische Systeme bieten und die mit der Erzeugung, Verarbeitung und Speicherung von personenbezogenen Daten verbunden sind. Insbesondere werden solche Geräte nach den gegenwärtigen Nutzungsgepflogenheiten typischerweise bewusst zum Speichern auch persönlicher Daten von gesteigerter Sensibilität, etwa in Form privater Text-, Bild- oder Tondateien, genutzt. Der verfügbare Datenbestand kann detaillierte Informationen über die persönlichen Verhältnisse und die Lebensführung des Betroffenen, die über verschiedene Kommunikationswege geführte private und geschäftliche Korrespondenz oder auch tagebuchartige persönliche Aufzeichnungen umfassen.“
Leider ist nach dem Urteil die Übertragung des Schutzkonzepts, das im Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität von informationstechnischen Systemen dargelegt ist und eigentlich auf alle Systeme mit Massenspeichern zwingend anzuwenden wäre, vom Gesetzgeber nicht umgesetzt worden. Da aber die Vertraulichkeit und Integrität technisch nur durch Verschlüsselung herzustellen ist, wird deutlich, dass das Bundesverfassungsgericht in seinem Urteil zum Staatstrojaner kryptographische Methoden explizit als legitimes Mittel zum digitalen Selbstschutz erkannt hat.
Verschlüsselung überwinden oder umgehen
Wenn keine Verschlüsselungsmaßnahmen verwendet wurden, sind die Daten auf den Mobiltelefonen technisch sehr einfach auszulesen, auch zuvor gelöschte Daten können wiederhergestellt werden. Sofern sie dazu technisch in der Lage sind, dürfen Ermittler auf Daten von SIM-Karten zugreifen oder eine Verschlüsselung umgehen oder überwinden, wenn die Beschlagnahme oder Einziehung des Geräts erfolgt ist. Dafür wird eine ganze Reihe von Werkzeugen zur „Password Recovery“ verwendet. Das ist vergleichbar mit dem Vorgehen bei einem Durchsuchungsbeschluss für ein Haus: Ist die Tür verschlossen, kann sich die Polizei mitunter auch mit brachialen Mitteln und unter Zerstörung der Tür Zutritt verschaffen oder auch etwa einen unter der Fußmatte gefundenen Schlüssel zum Öffnen nutzen, ohne den Hausbesitzer zu fragen.
Hersteller von Betriebssystemen und Verschlüsselungssoftware sind in Deutschland jedoch nicht dazu verpflichtet, Hintertüren in ihre Technologien einzubauen, die die Verschlüsselung der Nutzer umgeht.
Ob die Ermittlungs- und Gefahrenabwehrbehörden eine solche Hintertür überhaupt benötigen würden, steht aber auf einem anderen Blatt. Die Aussagen von Polizisten hinsichtlich ihrer Fähigkeiten bei der Entschlüsselung sind mitunter widersprüchlich. André Schulz, Bundesvorsitzender des Bundes Deutscher Kriminalbeamter, führte letztes Jahr über die Verschlüsselungsproblematik beispielsweise aus (Wortprotokoll des Videos):
„Es gibt so gut wie keine Verschlüsselung, die wir nicht knacken könnten – aus verschiedenen Gründen. […] Abgesehen davon du hast ein normales iPhone 6, was ja heute schon verschlüsselt, von sich aus, von der Hardware aus, [das] uns dann schon vor ernste Probleme stellt.“
Grundsätzlich gilt: Jede Beschlagnahme als Beweismittel setzt einen hinreichenden Verdacht voraus und ist bei schweren Straftaten immer möglich. Schließlich dient das der Sicherstellung von Beweismitteln. Die Durchsuchung des beschlagnahmten Geräts muss allerdings richterlich angeordnet werden. Nur in Eilfällen darf ausnahmsweise der Staatsanwalt die Durchsuchung anordnen.
Für Durchsuchungen von beschlagnahmten Geräten gibt es allerdings keinen Katalog an Straftaten wie etwa bei Abhörmaßnahmen. Das entscheidende Kriterium ist die Verhältnismäßigkeit.
Wenn es allerdings zu einer Durchsuchung und Auswertung eines informationstechnischen Systems kommt, die unrechtmäßig war, existiert kein generelles Verwertungsverbot, das es verbieten würde, die erlangten Daten gegen den Gerätbesitzer zu verwenden. Beweisverwertungsverbote greifen auch dann nicht, wenn beispielsweise ein Verstoß gegen das Fernmeldegeheimnis vorliegt. Ein Verwertungsverbot ist hierzulande nur bei Folterfällen oder vergleichbar schweren Missbräuchen zwingend gegeben.
Massenhafte Beschlagnahmungen
Dass sämtliche elektronische Systeme im Umkreis eines Verdachts einer Straftat einkassiert werden, ist keine Seltenheit. Bei einer einzigen Demonstration in Leipzig waren das etwa hundertfünfzig Mobiltelefone, drei Laptops, sechs SIM-Karten, drei iPods sowie vier SD- und zwei externe Mini-SD-Karten. Denn wer aus dem Polizeikessel in Leipzig raus wollte, musste seine Geräte und Speicherkarten abgeben. Die Verhältnismäßigkeit und damit Rechtmäßigkeit dieser Maßnahme ist allerdings umstritten.
Was vielen außerdem nicht bewusst ist: Von Mobiltelefonen oder auch Geräten wie Fotokameras mit GSM-Modul, Tablets, eBook-Readern oder Navigationsgeräten kann auch auf Daten zugegriffen werden, die etwa über Cloud-Dienste (oder andere „remote services“) entfernt abgelegt wurden. Solche Dienste werden mittlerweile sehr verbreitet genutzt. Einschlägig ist hier § 110 StPO, Absatz 3:
Die Durchsicht eines elektronischen Speichermediums bei dem von der Durchsuchung Betroffenen darf auch auf hiervon räumlich getrennte Speichermedien, soweit auf sie von dem Speichermedium aus zugegriffen werden kann, erstreckt werden, wenn andernfalls der Verlust der gesuchten Daten zu besorgen ist. Daten, die für die Untersuchung von Bedeutung sein können, dürfen gesichert werden.
Und in Zukunft?
Natürlich muss immmer abgewogen werden zwischen den Grundrechten von Betroffenen und der jeweiligen Rechtfertigung für die Beschlagnahme und Durchsuchung. Das Beschlagnahmen und die Durchsuchung aller elektronischen Geräte bei Ermittlungen ist aber alltäglich geworden, obwohl mittlerweile jeder von uns sehr persönliche Daten darauf speichert. Es drängt sich zu oft der Eindruck auf, dass die Strafverfolgungsbehörden und auch die Gerichte die Tiefe des Eingriffs nicht ausreichend würdigen und deshalb zu leichtfertig und teilweise formelhaft Durchsuchungs- und Beschlagnahmebeschlüsse durchwinken.
Das Urteil zum Staatstrojaner aus dem Jahr 2008, das der Gesetzgeber bisher zu wenig umgesetzt hat, misst dem Kernbereich privater Lebensgestaltung eine hohe Bedeutung bei, wenn es um die Durchsuchung von informationstechnischen Systemen geht – zumal die heimliche. Vielleicht kann das lange erwartete Urteil zum BKA-Gesetz am 20. April, das sich wieder mit diesem „Kernbereich“ und dem Staatstrojaner auseinandersetzt, neue Denkanstöße geben, wie man in Zukunft angemessener mit unseren ausgelagerten Gehirnen umgehen kann.
Bildlizenz:
Polizei-Sperrzone: CC BY 2.0, via flickr/swiss-truth.
4 x wurde bereits meine Handys per Imei-Nummer angerufen, das ältere Handy zeigt
den Anruf sorgar mit unbekannnter Nummer an, das Neue nicht!
Ich denke mal … es war die Landeskriminelle Anstalt .
Woran hast du das denn bei deinem altem Handy erkannt? Ist das vielleicht etwas, was man tracken könnte?
beidemale war keine Simkarte im Handy
im älteren Handy stand es im Display
das Neue war ausgeschlatet und klingelte 2 mal, dieses Handy habe ich noch nie benutzt.
Da wird sich nichts tun, der Gesetzgeber hat beim letzten mal auch nichts getan. Maximal wird er Freiheit und Privatsphäre weiter einschränken, da sie Wirtschaft/ Industrie/Politik/Justiz im Weg stehen.
Mit dem Schutz von Freiheit und Privatsphäre der Bevölkerung läst sich kein Geld verdienen,
mit ihrem „Verkauf“ dagegen schon.
Ist man denn verpflichtet Behörden beim Entsperren zu helfen? Sprich Passcode nennen und oder das Gerät mit dem Fingerabdruck entsperren, wie zB in England?
Nein, ist man meines Wissens nach noch nicht, was aber nicht heißen muss, daß es nicht schon geändert wurde, bzw noch geändert werden kann.
Allerdings kann der Mensch auch ein furchtbar schlechtes Gedächtnis haben, wenn er betroffen ist und daran trägt er selbst keine schuld. Ich mein so ein PW kann man ja schnell mal vergessen. ; )
BTW: Ist aktuell immernoch AES 256-bit die sicherste Verschlüsselungsart?
Ich glaube, dazu wurde schon was in diversen Juristenblogs geschrieben. (Bin mir nicht sicher, ob das nicht eh im lawblog war.)
Soweit ich mich erinnern kann, ist die Rechtslage in Deutschland so, daß das Nennen des Paßwortes unter das Recht, die Aussage zu verweigern, fällt. Wozu einen aber die Behörden zwingen können, ist das Entsperren über den Fingerabdruck.
@Robert aus Wien, sie dürfen dich (auch als Zeuge) aber in Beugehaft nehmen, so ein „öffentliches Interesse“ vorliegt, z.B. ohne deine Aussage der Prozess platzt …. bzw./evtl. wenn sie dich als Zeugen aus dem Vekehr haben wollen … wird auch mal die Terrorismuskarte ausgespielt!
Sie setzen dir dann eine nachrichtendienstliche Konstellation vor die Nase, wenn du aussagst wanderst du auch in den Knast, wartest du den Prozess im Knast (Beugehaft) ab und sagst nicht (z.B. zu Gunsten des Angeklagten) aus, so kommst du quasi Straffrei davon …
-> http://mobil.stern.de/noch-fragen/in-welchen-faellen-wird-eigentlich-genau-beugehaft-verhaengt-1000200682.html letzte Antwort …
-> https://de.m.wikipedia.org/wiki/Ordnungsmittel
Grundsätzlich sieht das deutsche Gesetz eigentlich vor, dass man sich selbst (oder Familienangehöriger) nicht mit einer Aussage belasten muss. Also so einfach muss man gar nichts rausrücken.
Allerdings sieht das wahrscheinlich mit Gerichtsbeschluss anders aus und ich erinnere mich dunkel schon genau den Fall gelesen zu haben. Damit sollten das auch deutsche Behören verlangen dürfen. Nur im Gegensatz zu den NSLs steht einem Deutschland der komplette Rechtsweg zur Verfügung.
Ich finde es leider nicht mehr, nur folgender Blog, der gegenteiliges behauptet:
https://www.lawblog.de/index.php/archives/2014/07/11/kein-passwort-gefaengnis/
Eine Perversion unseres Rechts`systems ist folgender Umstand, als Beschuldigter in eigener Person hat man ein Zeugnisverweigerungsrecht, wird man allerdings „lediglich“ als Zeuge geladen, hat man hingegen kein „Zeugnisverweigerungsrecht“, auf das man sich berufen könnte!
… allerdings braucht man auch als Zeuge nicht auf alle Fragen zu antworten!
-> http://mobil.n-tv.de/ratgeber/Zeuge-Das-sollte-man-wissen-article15265806.html
… wie die NRW Justiz die Zeugenangelegenheit sieht -> https://www.justiz.nrw.de/Gerichte_Behoerden/ordentliche_gerichte/Strafgericht/verfahren/Verfahrensbeteiligte/zeuge/index.php
Bei Passwörtern ist es zumeist so, das man sie sich explizit aufschreiben sollte, weil … man sie sich ja nicht merken könne!
… auf einem Gelben Spickzettel z.B.!
Erfolgt nun eine Hausdurchsuchung, so werden auch die Spickzettel beschlagnahmt, nicht?
… und was wäre, wenn man nun Wahrheitsgemäß berichtet, das man das Passwort auf mehreren Spickzetteln verteilt hätte und diese bei den Beweismitteln liegen müssten?
… selbstverständlich könnte dann die Polizei bei der Beschlagnahme nicht aufgepasst haben und tja … dadurch das Passwort unwiederbringlich verloren wäre?
… ich weiß nicht?
Klingt aber Plausibel, oder?
Ok, aber die Sache mit dem Fingerabdruckscanner scheint ja noch nicht ganz geklärt worden sein. Bei den Passwörtern war ich mir eigentlich auch recht sicher (Thema: Selbstbelastung) und auch Geräte bedienen scheint klar zu sein. Wobei eigentlich einem während eines Verhörs ja kein Zwang angetan werden darf, also somit könnte auch nicht der nette Polizeibeamte meinen Finger gegen meinen Willen auf den Scanner legen.
Wie verhält sich aber vor Gericht? Also kann ein Richter mich anweisen?
… hast du einen neuen Personalausweis?
… und?
Fingerabdrücke abgeben müssen?
… waren sie verwertbar?
Noch Fragen?
Was jetzt? Das hacken einer Anwaltskanzlei ist in Ordnung und sonst aber bitte nicht? Gibt es also gute und boese Hacker?
Was fuer ein scheinheiliger Laden …
Wer sagt denn, dass das Hacken einer Anwaltskanzlei in Ordnung wäre? Was/wer ist mit „scheinheiliger Laden“ denn gemeint?
Als Staatsbürger sollte man Denken vermeiden, ich weiß!
… aber hier denke ich mal, das er einen Dienst meint, der es sich heraus nehmen darf, eine Anwaltskanzlei zu „häckern“, um an deren „Zwielichtige“ Kundschaft heran zu kommen!
Politiker sind von der Verfolgung selbstverständlich ausgenommen, siehe Panama Papiere …
Bei letzterem muss ein Dienst den Rechts`staat schützen, und die Journalie Mundtod machen, diese Gefährder gefährden ja das etablierte Staatsgefüge! … egal!
Also, politisch gesehen, ist es die Pflicht eines staatlichen Hackers, schaden von seinem Brötchengeber abzuwenden, auch wenn er gegen Gesetze verstößt!
Ein privater Hacker hingegen, muss sofort hinter Gitter bzw. sozialpolitisch Vernichtet werden, sobald er auf Fakten stößt, die der Politik nicht genehm sind!
… Hook, isch àbe fertisch, ey!
@anon77
soviel ich weis ist AES-256 sehr gut ;)
http://www.heise.de/ct/ausgabe/2016-1-Der-Krypto-Wegweiser-fuer-Nicht-Kryptologen-3045089.html
Naja wurde halt noch nicht geknackt, zumindest war das mein letzter Stand, aber ich hab mich damit jetzt eine längere Zeit nicht befasst.
Danke für die Antwort.
Daß ein Verschlüsselungsverfahren knackbar ist (es also ein schnelleres Verfahren als Durchprobieren gibt) ist m.W. mathematisch gar nicht beweisbar.
Daher bleibt als einzige Möglichkeit, zu schauen, wie lange sich das Verfahren bewährt hat. (RSA ist ja z.B. schon sehr lange im Einsatz (seit 1977) – wird daher bei ausreichender Schlüssellänge als recht sicher betrachtet, obwohl es schon einige Angriffe gibt. AES gibt es mittlerweile auch schon seit über 10 Jahren.)
Eins ist Sicher, nix ist Sicher!
… siehe Dell, quasi „vorauseilender Gehorsam“ -> http://m.heise.de/security/meldung/Dell-Rechner-mit-Hintertuer-zur-Verschluesselung-von-Windows-Systemen-3015015.html
Apple bzw. Whats App sichern ihre Systeme ab, Dell sah das wohl anders und wurde dabei erwischt!