Trojaner-Daten ohne Beweiskraft

10.04.2008

Die im Bericht der Arbeitsgruppe zur Online-Durchsuchung erwähnte "Remote Forensic Software" alias "Polizei-Trojaner" verletzt die wichtigste Anforderung an ein professionelles Werkzeug der Computerforensik. Denn als beweiskräftig gelten unter Fachleuten nur Daten aus Computersystemen, auf die nicht vonseiten der Fahnder vorher Einfluss genommen wurde.

Der Bericht der interministeriellen Arbeitsgruppe "Online-Durchsuchung" ist der Komplexität der Materie entsprechend mit knapp hundert Seiten recht umfangreich ausgefallen.

Das Papier führt die vielen Einwände technischer und rechtlicher Natur sehr detailliert auf. Die mithin interessantesten Passagen stammen aus dem Innenministerium.

Der Bericht

Das Justizministerium hat den Bericht und seine Anhänge am Mittwochnachmittag im PDF-Format ins Netz gestellt.

Innenministerieller Exkurs

Diese Passagen stehen in einem als "Exkurs" markierten Stück zur "Position des Bundesministeriums für Inneres im Zusammenhang mit der Einführung der Online-Durchsuchung", was für ein gemeinsames Dokument einer interministeriellen Arbeitsgruppe ungewöhnlich ist.

Beteiligt am Bericht waren Innen-, Justiz- und Verkehrsministerium, der Verfassungsdienst im Bundeskanzleramt, Richter, Vertreter der Internet-Provider und anderer Interessengruppen.

"Ausbringung" und "Fernzugriff"

Von den Ausführungen des Innenministeriums ist wiederum weniger die rechtliche als die technische Komponente interessant - wie man sich nämlich die Durchführung von Online-Durchsuchung mit "Fernzugriff" im Innenministerium in der technischen Praxis vorstellt.

Das beginnt schon einmal mit der "Ausbringung" des Trojaners, der nur dann im "Fernzugriff" eingesetzt werden soll, wenn ausgeschlossen werden kann, "dass die forensische Software nicht in ein Kommunikationssystem eines Dritten installiert wird".

Computerforensik

Die Hersteller von "Remote Forensic Software" nennen ihre Produkte zwar so, sagte Computerforensiker Peter Franck von der Wiener Datenrettungsfirma Attingo am Mittwoch zu ORF.at dazu. Daten von außen auf ein zu untersuchendes System "einzubringen widerspricht dem Grundsatz der Computerforensik".

Und der besage nun einmal, dass die betreffende Festplatte "Bit für Bit" auf ein anderes Speichermedium übertragen werden müsste, ohne das System neu zu starten oder gar Fremdprogramme einzubringen. Nur so bestehe überhaupt eine Chance auf Zulassung als Beweismittel vor Gericht.

Viele Terroristen

Denn mit "Remote Forensic Software" könne man ja auch beliebige andere Daten "einbringen", so Franck, der u. a. im Rahmen einer UNO-Mission 2003 die Festplatten irakischer Unternehmen und Regierungsstellen nach Hinweisen auf Massenvernichtungswaffen durchsucht hat.

Das österreichische Innenministerium wiederum ist, wie es das als "Exkurs" eingeschriebene Positionspapier zeigt, mehr hinter "großen terroristischen Vereinigungen" mit "vielen Benutzern" her. Aber nicht hinter allen, sondern technisch unbedarften bzw. undisziplinierten Terroristen.

Originaltext Innenministerium

"Es ist festzuhalten, dass es vonseiten der User von Kommunikationssystemen unterschiedliche Möglichkeiten gibt, sich gegen eine Online-Durchsuchung zu wehren. Die Praxis zeigt jedoch, dass nicht alle Täter ein derart hohes Sicherheitsbewusstsein haben und sich entsprechend schützen. Insbesondere bei großen Netzwerken, wie großen terroristischen Vereinigungen, an denen viele Benutzer beteiligt sind, kann oft ein Ansatzpunkt zur Durchbrechung von Abwehrstrategien von Tätern gefunden werden, weil sich zwar der Großteil der Beteiligten an die auferlegte User-Disziplin hält, aber eben nicht alle Beteiligten." [Seite 48]

"Auch in anderen Bereichen wie der Telefonüberwachung können sehr einfache Abwehrstrategien durch Zielpersonen getroffen werden. Dennoch stellt die Telefonüberwachung nach wie vor eine sehr effiziente Ermittlungsmaßnahme dar." [49]

Bedenken der Experten

Was die zuverlässige "Ausbringung mit Fernzugriff" anbetrifft, so haben die Experten im Innenministerium offenbar auch ihre Bedenken.

Immerhin müsse ausgeschlossen werden, dass etwa durch das Öffnen einer mit der getarnten Software versehenen E-Mail "eine Installation der Remote Forensic Software auf einem falschen System erfolgt".

Diese Vorstellung ist durchwegs realistisch. Ein reisender Tatverdächtiger schaut unterwegs in der Web-Mail nach, öffnet ein angefügtes Word-Dokument, und schon ist der vierte PC von links im Internet-Cafe Oia, Santorini, Gegenstand einer Online-Durchsuchung auf Anordnung eines ordentlichen österreichischen Gerichts.

Die Geheimdienste

Die innenministerielle Einschränkung, "ein Fernzugriff sollte nur dann eingesetzt werden, wenn ausgeschlossen werden kann, dass die forensische Software nicht in ein Kommunikationssystem eines Dritten installiert wird", schließt beinahe vollständig aus, dass auf intern vernetzte Rechner in der Praxis nicht von Ferne zugegriffen werden kann.

Interessanterweise findet sich direkt hinter dem "Exkurs" des Innenministeriums der Abschnitt "C. Militärbefugnisrecht". Hier geht es um Befugnisse der beiden österreichischen Militärgeheimdienste.

"Die Trennlinien zwischen Strafverfolgung und Gefahrenvorbeugung sind durchlässig geworden. Die Grenzen zwischen innerer und äußerer Sicherheit verschwimmen [S. 51]", heißt es da einleitend.

Befugt

Unter den Befugnissen wird unter anderem aufgezählt:

Daten zu verarbeiten, das heißt im Wesentlichen, diese zu ermitteln [insb. auch bei anderen Behörden], zu speichern, zu verwenden [§ 22 Abs 1]

[...]

Datenübermittlungen durchzuführen und Ressortvereinbarungen über Datenübermittlungen abzuschließen [§ 25 MBG und § 7 DSG 2000]

Verboten

Das heißt: Abwehr und Heeresnachrichtenamt haben Zugriff auf alle ministeriellen Datenbanken, verboten ist "das 'Abhören' von Telefongesprächen und das 'Abfangen' und 'Lesen' von E-Mails oder sonstiger Kommunikationsinhalte auf dem Übertragungsweg, da in das Fernmeldegeheimnis nicht eingegriffen werden darf", heißt es auf Seite 54.

Damit ist zwar automatisiertes Data-Mining in Verkehrsdaten aus Telefonie und Internet keineswegs ausgeschlossen. Eine Rechtsgrundlage für die Einbringung von Schadsoftware wie Trojanern, Backdoors und Rootkits, also "Remote Forensic Software" gibt es für besagte Stellen nicht.

Von China bis Bayern

(futurezone | Erich Moechel)