Screenshot-Trojaner: LKA Bayern reizt mit illegalen High-Tech-Ermittlungen

von Jan Spoenle, veröffentlicht am 01.03.2011

Auch wenn die Diskussion um den Bundestrojaner seit der Entscheidung des Bundesverfassungsgerichts im Jahr 2008 wieder etwas abgekühlt ist, bleibt das Thema "Malware im Dienste des Staates" brandaktuell, wie ein Fall aus Bayern in den letzten Wochen gezeigt hat. Wie der Berliner Strafrichter Ulf Buermeyer in seinem Blog berichtet hatte, setzte das bayrische Landeskriminalamt einen Trojaner auf der Festplatte eines Verdächtigen ein, der nicht nur zur Quellen-Telekommunikationsüberwachung gedacht war, sondern nebenbei alle 30 Sekunden einen Screenshot erstellt und so auch den jeweils aktuellen Bildschirminhalt an die "Hacker im Auftrag des Freistaats" übermittelte.

 

Öffentlich wurde die Angelegenheit erst, nachdem der Beschuldigte – übrigens nicht etwa ein potentieller Internetkrimineller, es ging vielmehr um Straftaten im Zusammenhang mit Betäubungsmitteln – erfolgreich Beschwerde gegen die Anordnung der Überwachung durch das Amtsgericht Landshut (Volltext) erhoben hatte. Beim Kollegen Buermeyer findet sich auch der Beschluss des Landgerichts Landshut, der zwar die Screenshot-Funktion als rechtswidrigen Eingriff erkennt, aber die – mindestens umstrittene – Quellen-Telekommunikationsüberwachung durchwinkt. Natürlich liegt es auf der Hand, dass ein permanentes Festhalten des Bildschirminhalts mehr erfasst als die von § 100a StPO gedeckte Telekommunikationsüberwachung – schließlich werden so auch Textschnipsel erfasst, die wieder verworfen werden und den Rechner nie verlassen hätten. Phillip Brunst hat sich dazu ebenfalls Gedanken gemacht.

 

Inzwischen ist auch bekannt geworden, wie der Trojaner auf die Festplatte des Beschuldigten gelangte: Spiegel Online hat recherchiert, dass man künftig ins Grübeln kommen sollte, wenn man am Flughafen festgehalten und der Laptop kurz zu Spurentests etc. mitgenommen wird ...

 

 

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

8 Kommentare

Kommentare als Feed abonnieren

Deshalb immer TrueCrypt installieren und Festplatte komplett verschlüsseln, für den Todesfall Kennwort an Verwandte oder Pfarrer oder Anwalt geben. Nicht nur wegen neugierigen Staatsanwälten, sondern auch für den Fall dass das Notebook verloren geht oder geklaut wird.

0

Hilft auch nicht, wenn der Trojaner Screenshots macht und Tastendrücke mitloggt. Dann hat der Spion Bilder von den Dateien und Programmen und zudem noch das eingegebene Passwort.

0

Angesichts der Tatsache, dass ein Trojaner inzwischen auch über die Firmware in ein System geschmuggelt werden kann, sollte man sich mit einem verschlüsselten System nicht zu sicher fühlen.

Der Vorfall zeigt im Übrigen exemplarisch, dass die sog. Quellen-TKÜ nicht einfach auf § 100 a StPO gestützt werden sollte. Die Norm wurde zu einem Zeitpunkt erlassen, zu dem man eine Verbindung in das Internet über ISDN-Modem als rasend schnell angesehen hat. Die Norm ist deshalb allein auf die Überwachung von analogen Anschlüssen ausgerichtet und enthält im Bezug auf informationstechnische Systeme weder besondere Voraussetzungen noch Beschränkungen. Dies erscheint im Hinblick auf mögliche Eingriffe in das Grundrecht auf Integrität und Vertraulichkeit informationstechnischer Systeme besonders problematisch. Letztlich führt dies dazu, dass der Umfang der Maßnahmen allein vom zuständigen Ermittlungsrichter festgelegt werden muss. 

Schließlich halte ich auch die Argumentation des Landgerichts Landshut für eine Anwendung des § 100 a StPO auf die Quellen-TKÜ nicht für überzeugend. Wenn ein Bedürfnis für die Überwachung von Telekommunikation besteht, die mittels Software durch verschlüsselte Signale zwischen zwei Computern getätigt wird, ist es die Aufgabe des Gesetzgebers eine entsprechende Ermächtigungsgrundlage zu schaffen. Eine Füllung dieser Lücke durch Gerichte verbietet sich in einem Rechtsstaat.

 

0

Verschlüsselung hilft nicht im geringsten, der Bootloader sowie das Passwort-Prompt und die Funktionen zum entschlüsseln müssen immer im Klartext vorliegen, da sie sonst nicht ausgeführt werden können. Das gebootete System kann die Integrität derselben nicht überprüfen, da es bereits kompromittiert sein könnte.

0

Der Bootvorgang ist leider nicht durch Verschlüsselung absicherbar. Hier müssen organisatorische Maßnahmen die Risiken minimieren helfen. Bootloader und /boot-Partition können auf einer SD-Karte liegen; das restliche des OS nebst Daten kann auf der vollverschlüsselten Platte bleiben. Die SD ist zu entnehmen - entweder grundsätzlich nach dem Booten bzw. bevor man den Laptop aus der Hand gibt oder er aus anderen Gründen unbeaufsichtigt ist. Schwachstelle bleibt aber das BIOS sowie sämtliche Firmware als solches.

0

@2: Ich meinte natürlich dass sowas vor der Reise gemacht wird. Notebooks durchsuchen wird in China und USA auch zur Industriespionage gemacht.

@3: Theoretisch, ja.

http://www.newscientist.com/blogs/shortsharpscience/2010/07/pc-giant-war...

http://en.wikipedia.org/wiki/Rootkit#Hardware.2FFirmware

Ein mit Festplattenverschlüsselung gesichertes System ist aber immer noch besser als ein gar nicht gesichertes, siehe Rainer Speer :-)

0

@3: Ich bin schon der Meinung, dass der 100a sachgerecht durchgeführte Quellen-TKÜs decken kann.

Der vorliegende Fall ist ein Beispiel für rechtswidrige Ermittlungstätigkeit, aber nicht typisch für eine Quellen-TKÜ. Die durchgeführte Maßnahme bewegt sich hinsichtlich der Screenshots irgendwo zwischen Quellen-TKÜ, Online-Durchsuchung und optischer Wohnraumüberwachung (z.B. wenn der Verdächtige eine Videokonferenz führt) und ist damit evident nicht auf 100a StPO zu stützen. Eine grundrechtsschonende Durchführung des  Eingriffs, bei der neben den Audio- und Chatdaten von Skype nur Texteingaben in den jeweiligen Webmail-Dienst ausgeleitet werden, ist aber problemlos umsetzbar. Überhaupt hätte aus der operativen TKÜ der genutzte Mail-Dienst ersehen werden können, und somit vorrangig versucht werden müssen, über den Dienst-Anbieter den von dem Anschluss des Verdächtigen durchgeführen Login zu ermitteln und dann die Mails dieses Kontos zu erhalten. Erst wenn dies scheitert, beispielsweise an der Anonymisierung des Zugriffs gegenüber dem Dienst-Anbieter, ist eine Quellen-Ausleitung erforderlich. Insofern ist mir unverständlich, warum das AG Landshut - gerade bei einer so langwierigen Ermittlung - gleich ein "Komplettpaket" absegnet, ohne zu berücksichtigen, dass der vorauszusehende Erkenntnisgewinn eines Teils der Maßnahme einen anderen Teil möglicherweise überflüssig macht.

0

@7 Ich sehe das anders. Eingriffe in Grundrechte müssen ausdrücklich vom Gesetzgeber legitimiert werden. Da der Gesetzgeber bei der Schaffung des § 100a StPO nicht absehen konnte, dass inzwischen Telefongespräche mittels Software und Computer verschlüsselt über das Internet geführt werden und insoweit ein Eingriff in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme möglich ist, muss für entsprechende Maßnahmen eine rechtliche Grundlage geschaffen werden. Eine "grundrechtsschonende" Durchführung ohne gesetzliche Grundlage ist nicht möglich.

Auch den Vorschlag, neben den Audio- und Chatdaten nur die Texteingaben zu erfassen, die in den jeweiligen Webmail-Dienst ausgeleitet werden, halte ich nicht für umsetzbar. Denn es ist technisch nicht möglich, zwischen einer Eingabe in einen Webmail-Dienst und in sonstige über den Browser geführte Eingaben (z.B. die Benutzung Cloud-Diensten) zu unterscheiden. Es können auch keine Vorkehrungen getroffen werden, um die Übermittlung von verworfenen oder nicht gesendeten Mail über Webmail-Dienste zu unterbinden. Eine Aufzeichnung von nicht nicht versandten e-Mails wird insoweit sogar in dem oben genannten Beschluss des Landgerichts Landshut für unzulässig erachtet.

Letztlich sind in Hinsicht auf die technische Umsetzung der Quellen-TKÜ viele Details ungeklärt. Der Gesetzgeber müsste auch im Interesse der meist technisch nicht so versierten Amtsrichter eine Klärung durch die Schaffung einer Ermächtigungsgrundlage herbeiführen.

0

Kommentar hinzufügen