ULD-SH
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
www.datenschutzzentrum.de/

Dies ist unser Webangebot mit Stand 27.10.2014. Neuere Artikel finden Sie auf der ├╝berarbeiteten Webseite unter www.datenschutzzentrum.de.

02. April 2007

Hände weg von heimlichen Online-Durchsuchungen

Die gestrige Forderung des Leiters des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD), Dr. Thilo Weichert, nach der gesetzlichen Erlaubnis, heimlichen Online-Durchsuchungen für den Datenschutz durchführen zu können, war – natürlich – ein Aprilscherz. Weshalb diese Online-Durchsuchungen ohne jede Einschränkung abzulehnen sind, soll im Folgenden erläutert werden:

Unter heimlichen Online-Durchsuchungen versteht man den Zugriff von Ermittlungsbehörden auf den Computer eines Verdächtigen und dessen Datenträger über das Internet, um dort gespeicherte Daten unbemerkt auszulesen und ggf. zu kopieren. Dieser Zugriff kann direkt erfolgen, während der entsprechende Rechner mit dem Internet verbunden ist. Möglich ist auch, dass ein eingeschleustes Programm die Daten in Kopie an eine definierte Stelle sendet, wenn der Computer online ist. Bei diesen Online-Durchsuchungen sollen Sicherheitslücken ausgenutzt werden.

Der Bundesgerichtshof stellte Ende Januar 2007 fest, dass eine heimliche Online-Durchsuchung zum Zweck der Strafverfolgung nicht erlaubt ist, da die hierfür notwendige gesetzliche Ermächtigungsgrundlage fehlt. Dessen ungeachtet meint die Bundesregierung, dass deutsche Geheimdienste ein Recht zum heimlichen Ausspähen von Rechnern hätten. Das Land Nordrhein-Westfalen hat eine entsprechende Ermächtigung Ende 2006 explizit in sein Gesetz über den Verfassungsschutz aufgenommen.

Darüber, wie die staatliche heimliche Online-Durchsuchung funktionieren soll, wird derzeit viel spekuliert. Es verdichten sich die Hinweise, dass es durch Eingreifen in die Internet-Infrastruktur ermöglicht werden soll, ein Ausspäh-Tool – zugeschnitten auf das jeweilige Betriebssystem – über beliebige Downloads mitzugeben und zu installieren. Nur ein Rechner, der keinen ungeprüften Code von außen zulässt, wäre dagegen gefeit. Dies würde aber Probleme mit Online-Updates z.B. des Virenscanners und mit Patches von Betriebssystem und Anwendungssoftware verursachen mit der Folge, dass bekannt gewordene Sicherheitslücken nicht mehr oder nicht mehr so schnell wie nötig gestopft werden könnten. Dies würde den Rechner wiederum zur leichten Beute von staatlichen oder nichtstaatlichen Ausspähversuchen machen.

Die Behauptung von Vertretern von Sicherheitsbehörden, der Zugriff auf Nutzerrechner durch nicht autorisierte Personen wie z.B. Kriminelle könne sicher ausgeschlossen werden, ist – unabhängig von der tatsächlichen Implementierung – weder glaubwürdig noch nachvollziehbar. Der Beweiswert der über den Online-Zugriff gewonnenen Erkenntnisse ist fraglich, da ein vollständiger Datenabzug – wie es bei herkömmlichen Durchsuchungen gängig ist – unbemerkt über eine dünnbandige Rechneranbindung wohl kaum möglich ist. Darüber hinaus ist vermutlich nicht auszuschließen, dass inkriminierende Inhalte auf dem Nutzerrechner gar nicht vom Nutzer selbst stammen, sondern erst über so eine Zugriffsschnittstelle platziert worden sind.

Von Seiten des BKA heißt es, der besonders geschützte Kernbereich der privaten Lebensgestaltung solle nicht tangiert sein, da durch Verwendung bestimmter Schlüsselbegriffe ganz private Daten von der Polizei gar nicht zur Kenntnis genommen werden. Wie dies in der Praxis umgesetzt werden soll, ist aus technischer Sicht nicht vorstellbar. Betont wird weiterhin, es würde keine Schadsoftware zum Einsatz kommen, sondern ein gezielter Angriff auf eine ganz bestimmte Umgebung programmiert werden. Dass es sich damit eben um besonders gefährliche Schadsoftware handelt, wird so rhetorisch geschickt überspielt.

Eine Manipulation der Internet-Infrastruktur, die dem Staat – und damit sehr wahrscheinlich nicht nur diesem – grundsätzlich eine beliebige Änderung dessen ermöglicht, was Nutzer auf ihren Rechnern beim Surfen, in ihrer E-Mail, bei E-Government-Anwendungen usw. zu sehen bekommen, wäre ein massiver Eingriff, der Bespitzelung und Zensur gleichermaßen die Tür öffnen würde.

Nach Auffassung des ULD müssen staatliche Stellen ihre Bürger bei der Absicherung gegen Risiken aus dem Internet unterstützen, anstatt Hintertüren oder Sollbruchstellen einzubauen, deren Missbrauch sich technisch nicht ausschließen lässt. Sicherheitsbehörden, die ein Interesse daran haben, Sicherheitslücken in einer Infrastruktur eben nicht zu schließen, sondern auszunutzen oder gar gezielt zu eröffnen, sind nicht nur ein Widerspruch in sich, sondern eine Gefahr für unsere freiheitlich-demokratische Grundordnung.

Für Rückfragen wenden Sie sich bitte an:
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Holstenstr. 98, 24103 Kiel
Tel: 0431 988-1200, Fax: -1223