Datenschutz-Sommerakademie: Schutz und Trutz vor der Online- Durchsuchung
Datenschutzexperten bezweifeln, dass eine Online-Durchsuchung für eine forensische Analyse brauchbar ist und gerichtsfeste Beweise liefern kann; zudem gebe es Maßnahmen, um sich gegen die Online-Durchsuchung zu wehren.
Das Kontrastprogramm zum Thema "Offene Informationsgesellschaft und Terrorbekämpfung" der Kieler Datenschutz-Sommerakademie 2007 kam ebenfalls aus Kiel, vom Datenschutzzentrum höchstpersönlich. Die ULD-Mitarbeiter Markus Hansen und Christian Krause erklärten im großen, sehr gut besuchten Vortragssaal, welche Maßnahmen gegen eine heimliche Online-Durchsuchung mit der Remote Forensic Software die größte Wirkung zeigen.
Auf Basis der Antworten, die das Bundesinnenministerium auf Anfragen des Justizministeriums und auf den Fragenkatalog der SPD vergangene Woche gab (mit der Unterscheidung zwischen Online-Durchsicht und -Überwachung, Netzpolitik dokumentiert seit gestern beide Antwortschreiben im Wortlaut), befassten sich die Datenschützer zunächst mit der Frage, ob die Online-Durchsuchung überhaupt ein sachgerechtes Vorgehen garantieren kann. Sie knüpften damit gewissermaßen an die Forderung der Generalbundesanwältin Monika Harms an, die im Interview mit der Frankfurter Allgemeinen Sonntagszeitung gefordert hatte, dass die Online-Durchsuchung nicht nur im polizeilich-präventiven Bereich, sondern auch zum Zweck der Strafverfolgung eingesetzt werden soll.
Im Sinne eines beweissichernde Vorgehens der Polizei äußerten die Wissenschaftler ihre Zweifel. Auf der einen Seite soll die Software keine Daten auf dem Zielsystem lassen, auf der anderen Seite werden gefundene Daten so lange verschlüsselt auf dem System zwischengespeichert, bis eine Verbindung mit dem Steuerrechner des BKA hergestellt ist: Damit sei das System für eine strenge forensische Analyse schon kaum mehr zu gebrauchen, ein Beweis für die Echtheit der gewonnenen Informationen sehr schwer zu führen.
Grundsätzlich besteht die Remote Forensic Software (RFS) nach Hansen und Krause aus der Infiltration, der Datengewinnung und -versendung sowie der Beendigung der Maßnahme, gegen die man sich als Eigentümer eines einzelnen PC schützen kann – sowie Rechner ins Visier der Ermittler geraten, die von einem Adminstrator verwaltet werden, will das BKA die Ermittlung abbrechen. Bei der Infiltration, die offenbar durch E-Mail mit Dateianhängen, "herumliegende" CDs oder USB-Sticks erfolgen soll, genügt nach Hansen und Krause schon gesunder Menschenverstand, um der Maßnahme auszuweichen: "Hirn 2.0 sollte eigentlich reichen." Allerdings sollte man sich nicht auf Antivirentools verlassen, da vor einem Angriff das RFS-Programm beim BKA darauf geprüft wird, ob es die vorhandenen Firewalls und Antiviren-Einrichtungen unterlaufen kann.
Gegen die Online-Durchsuchung ist man nach Ansicht der Datenschützer am besten gefeit, wenn man zwei PC einsetzt und Daten auf einem Online-System grundsätzlich nur verschlüsselt empfängt und erst nach Übertragung mit einem USB-Stick auf einem Offline-PC entschlüsselt. Sicher sei außerdem die Methode, nur mit einer Live-CD online zu gehen – allerdings nur dann, wenn die Daten auf einem anderen System weiterverarbeitet werden. Von mittlerer Sicherheit, aber bequemer, sei die Arbeit mit einem virtuellen Zweitsystem, bei dem das Betriebssystem in einer geschützten Umgebung läuft. Alle übrigen Verfahren, mit dem Rechner direkt online zu gehen, sind nach Auffasung der Datenschützer zu unsicher.
Hansen und Krause bewerteten in ihrem Referat noch den Schutz der Privatsphäre auf einem Rechner. Nach den Angaben des BKA soll dieser Schutz allein schon dadurch gewährleistet sein, dass bei einer Online-Durchsuchung nur nach bestimmten Dateien oder Dateitypen gesucht wird. Diese Erklärung überzeugte die Datenschützer nicht. Selbst wenn es selektierende Programme gebe, müsse vor der Selektion eine Analyse oder Indexierung des gesamten Datenbestandes stattfinden, die selbst schon eine Verletzung der privaten Bereiche sei: "Ein eingebauter Schutz des Kernbereiches privater Lebensführung lässt sich technisch nicht realisieren", so das Fazit der Datenschützer. Dies sei zusammen mit den Anforderungen, die an eine forensische Analyse gestellt werden, Grund genug, den Einsatz der Remote Forensic Software abzulehnen.
Einen ausführlichen Einblick in die jüngsten Ausführungen des Bundesinnenministeriums zu den Plänen für Online-Razzien und in die Antworten Schäubles auf den Fragenkatalog des Bundesjustizminsteriums und die SPD-Anfrage zur Online-Durchsuchung bieten Meldungen vom Wochenende im heise-Newsticker und ein Bericht in c't – Hintergrund:
- Innenministerium verrät neue Details zu Online-Durchsuchungen
- Innenministerium bezeichnet Entdeckungsrisiko für Bundestrojaner als gering
- Heimliche Online-Durchsuchungen und der Schutz der Privatsphäre
- Bundesregierung sieht sich mit Online-Durchsuchungen nicht allein
Die heimliche Online-Durchsuchung von Computern stößt bei vielen Datenschützern und Juristen auf Skepsis. Sie melden grundsätzliche Bedenken an und warnen vor eventuell angestrebten Grundgesetzänderungen. Siehe dazu:
- Skeptische Stimmen zur Online-Durchsuchung - eine Ergänzung
- Ist die Online-Durchsuchung wirklich notwendig?
- Ist die Festplatte eine Wohnung?
- Skeptische Stimmen zur Online-Durchsuchung
Zu den Auseinandersetzungen um die erweiterte Anti-Terror-Gesetzgebung, die Anti-Terror-Datei sowie die Online-Durchsuchung siehe auch:
(Detlef Borchers) / (jk)