Content

Holger Morgenstern, Rüdiger Spendel, Das Darknet und Ermittlungen zu Strafverfolgungszwecken in:

Marion Albers, Ioannis Katsivelas (Ed.)

Recht & Netz, page 395 - 416

1. Edition 2018, ISBN print: 978-3-8487-5127-3, ISBN online: 978-3-8452-9328-8, https://doi.org/10.5771/9783845293288-395

Series: Hamburger Schriften zum Medien-, Urheber- und Telekommunikationsrecht, vol. 12

Bibliographic information
395 Das Darknet und Ermittlungen zu Strafverfolgungszwecken Holger Morgenstern/Rüdiger Spendel Abstract The well-known World Wide Web is only one part of the Internet. Below the surface are the Deep Web and the Darknet, whose contents are not easily accessible. The Darknet is also characterized by the fact that the content is regularly encrypted and users, and in some cases also providers, appear anonymously. This article first explains the technical basics of Darknet and anonymized communication. Subsequently, the problems arising from this for prosecution investigations become clear. The focus will then be on explaining the possibilities of digital forensics and analyzing the legal provisions available to the security authorities for their investigations. I. Technische Probleme bei Ermittlungen im Darknet 1. Internet – Deep Web – Dark Web – Darknet Das Internet bietet mit dem World Wide Web (WWW) und modernen, einfach zu bedienenden Benutzerschnittstellen, den sogenannten Browsern, einen komfortablen Zugang zu den vielfältigsten Inhalten und einem Großteil des kollektiv verfügbaren Wissens der Welt. Der Name World Wide Web leitet sich dabei von der Grundstruktur der weltweit verteilten und über Hyperlinks untereinander verknüpften, mit vielfältigen Multimedia Elementen angereicherten Dokumente ab, die sich wie ein riesiges Spinnennetz um die ganze Welt spannt. Innerhalb dieses Netzes kann man sich leicht von einem Dokument zum nächsten bewegen, indem man den enthaltenen Hyperlinks folgt. Um aber überhaupt einen Einstieg in einen bestimmten Teil des Netzes zu finden, benötigt man entweder die konkrete Adresse eines Dokuments, den sogenannten Universal Ressource Identifier (URI) oder man benutzt einen Themenkatalog oder eine Suchmaschine. Holger Morgenstern/Rüdiger Spendel 396 Für die meisten Nutzer dürfte heutzutage eine Suchmaschine wie Google oder Bing den Startpunkt für die vielfältigen Aktivitäten im WWW, von der einfachen Information über das Onlineshopping bis hin zu elektronischen Behördengängen, darstellen. Suchmaschinen und Themenkataloge basieren auf einer meist sehr umfangreichen Sammlung von Dokumentenadressen, die nach ihrer Relevanz zum jeweiligen Thema gewichtet und nach verschiedenen Kriterien gruppiert sind. Diese Datenbasen werden im Fall von Katalogen von einem offenen oder geschlossenen Autorenteam erstellt, im Fall von Suchmaschinen größtenteils automatisch durch sogenannte Robots oder Webcrawler. Diese Webcrawler sind kleine Programme, die in gewisser Weise das Surfen im Netz simulieren, indem sie ausgehend von einem Startdokument allen darin enthaltenen Verknüpfungen folgen und für jedes so gefundene Dokument diesen Prozess erneut durchlaufen. Im Laufe der Zeit finden sie so theoretisch alle öffentlichen, d. h. ohne besondere Zugangsbeschränkungen und auf irgendeinem Pfad vom Startdokument aus verknüpften Dokumente. Diese Datenbasen umfassen heute URIs im mehrstelligen Billionenbereich – eine mit traditionellen Bibliotheken verglichen kaum mehr überblickbare Informationsmenge, in der sich jeder normale Internetnutzer mit seinem Browser beliebig bewegen kann, ebenso wie ein Bibliotheksbenutzer in einer physischen Bibliothek. Und wie in einer physischen Bibliothek geschieht dies nicht anonym. Dieses Surfen im Netz kratzt allerdings wiederum nur an der Oberfläche der tatsächlich im Internet gespeicherten Informationsmenge. Google, Bing und Co. bewegen sich mit ihren Webcrawlern wie große Fischkutter auf dem Meer und lassen ihr Fangnetz, um in der Analogie zu bleiben, nur ein kleines Stückchen unter Wasser treiben. Tiefer unter der Oberfläche befindet sich das sogenannte Deep Web. Damit werden Inhalte beschrieben, die zwar über die normalen Strukturen zu erreichen sind, aber entweder keine statischen Verlinkungen haben oder spezielle Zugangsdaten erfordern. Dieses Deep Web ist Schätzungen zu Folge 400 – 500-mal größer als das sichtbare Netz. Zu den Inhalten des Deep Web zählen unter anderem öffentliche oder gegen Bezahlung zugängliche Datenbanken, vielfältige private Daten, soziale Netzwerke, Inhalte von Instant Messengern, Regierungsdatenbanken, Daten von NGOs, Daten von Industrieanlagen und vieles mehr. Somit besteht das Deep Web, oft auch Invisible Web oder Hidden Web genannt, aus ganz normalen, größtenteils legalen Inhalten. Es ist aber – technisch bedingt – von den großen Suchmaschinen nicht indiziert und deshalb dem normalen Internetbenutzer verborgen. Falls man über die Adressen oder Das Darknet und Ermittlungen zu Strafverfolgungszwecken 397 die entsprechenden Zugangsdaten verfügt, ist es gleichwohl mit normalen Internetbrowsern zugänglich. Noch tiefer und wesentlich dunkler ist das sogenannte Darknet oder Dark Web. Ebenso wie das Deep Web ist auch dieser Bereich von den üblichen Suchmaschinen nicht indiziert. Es geht aber noch einen Schritt weiter, da dieser Bereich nicht ohne Weiteres mit den Standard-Webbrowsern erreichbar ist. Ein weiteres, sehr wichtiges Merkmal des Dark Web ist die Anonymität von Benutzern und teilweise auch von Anbietern. Und auch die Kommunikation selbst ist anonym. Diese gegenseitige Anonymität ermöglicht zahlreiche legale oder zumindest legitime Anwendungen. Dazu zählt ein privater, sicherer Austausch von Daten und Informationen ebenso wie die Umgehung von Zensur und Überwachung, zum Beispiel in totalitären Systemen. Oppositionsbewegungen und NGOs nutzen für eine sichere Kommunikation oft die anonymen Strukturen des Darknets, da ansonsten Gefahr für Leib und Leben drohen könnte. Auch Whistleblowing und die Kommunikation von und mit Journalisten erfordern teilweise sichere und anonyme Kommunikationswege. Entsprechend gibt es im Darknet Plattformen wie SecureDrop oder GlobalLeaks und auch viele Zeitschriften betreiben dort anonyme Dienste, über die sie einfach und sicher Informationen von Informanten erhalten können. Chelsea Manning, Julian Assange und Edward Snowden sind nur einige populäre Vertreter, die die Notwendigkeit derartiger Möglichkeiten eindrucksvoll demonstriert haben. Wie so vieles, hat diese Anonymität zwei Seiten. Das fängt im einfachsten Fall schon damit an, dass über derartige Kanäle anonym in Umlauf gebrachte Anschuldigungen kaum dingfest gemacht werden können und, sollten sie sich als falsch herausstellen, für den Verursacher folgenlos bleiben. Anonyme Kommunikation, Anbieter und Nutzer sind aber auch Grundvoraussetzungen für vielfältige illegale Aktivitäten. Daher findet man im Darknet eine große Anzahl illegaler und illegitimer Angebote und Dienste. Es existieren Marktplätze für Falschgeld, Drogen, Waffen, illegale Daten wie z. B. gestohlene Kreditkartendaten, Sicherheitslücken, Schadsoftware und Ähnliches. Der dortige Dienstleistungssektor umfasst auch Dienste von Auftrags-Crackern und Auftrags-Killern. Das Darknet wird von der organisierten Kriminalität ebenso genutzt wie von Einzeltätern. Hier können relativ sicher Botnetze gesteuert und betrieben werden. Zudem findet der in letzter Zeit unrühmlich bekannt gewordene Erpressungstrojaner, die sogenannte Crypto- oder Ransomware, im Darknet ein bequemes Zuhause. Nicht zuletzt ist das Darknet auch ein Ort, an dem terroristische Aktivitäten geplant und abgestimmt werden können. Holger Morgenstern/Rüdiger Spendel 398 2. Etwas Technik Eine wesentliche technische Grundlage des Internet ist das Internetprotokoll IP. Es regelt die Netzwerkkommunikation zwischen den Beteiligten und sorgt unter anderem dafür, dass Anfragen eines Benutzers an den richtigen Anbieter zugestellt werden und dessen Antworten wiederum den Weg zum Benutzer finden. IP ist zustandslos, d. h. es existiert keine feste Verbindung zwischen den Kommunikationspartnern wie z. B. im klassischen Telefonnetz. Will ein Benutzer ein Dokument aus dem Internet anschauen, wird vom Benutzer bzw. dessen Browser eine Anfrage nach dieser Ressource an einen Anbieter bzw. dessen Server gestellt und dieser beantwortet die Anfrage, indem eine Kopie des Dokumentes oder eine Fehlermeldung zurück an den Benutzer geschickt wird, dessen Browser das Dokument oder die Fehlermeldung entsprechend anzeigt. Klickt der Benutzer danach z. B. auf einen im Dokument enthaltenen Link, beginnt der Prozess von neuem. Der Weg, den die Anfragen und Antworten dabei gehen, kann jedes Mal unterschiedlich sein. Das Internet zeichnet sich unter anderem dadurch aus, dass es sich gewissermaßen selbst organisiert und beim Ausfall einzelner Verbindungen automatisch alternative Routen für die Kommunikation wählen kann. Bei so viel Flexibilität muss es natürlich auch ein paar Fixpunkte geben, damit überhaupt kommuniziert werden kann. Hierzu zählen unter anderem die Internetprotokoll-Adressen des Benutzers und des Anbieters, die sogenannten IP-Adressen. Diese identifizieren die jeweiligen Kommunikationspartner zum jeweiligen Zeitpunkt weltweit eindeutig. Es sind gewissermaßen die Anschriften und Hausnummern der Beteiligten. Der durchschnittliche Internetnutzer ist sich dieser technischen Details in der Regel kaum bewusst und glaubt, sich beim normalen Surfen im Internet anonym zu bewegen. Tatsächlich aber bezieht das Kommunikationsgerät des Benutzers bei jeder Einwahl in das Internet eine meist dynamisch vergebene IP-Adresse von dessen Internetzugangsprovider. Die Server der Anbieter haben in der Regel statische, d. h. über einen längeren Zeitraum gleichbleibende IP-Adressen. Diese IP-Adressen werden in der Folge automatisch in jeden Kommunikationsvorgang eingebettet, so dass für die Beteiligten zu jedem Zeitpunkt klar ist, mit wem gerade kommuniziert wird. Die Zugriffe auf Internetressourcen werden von vielen Anbietern protokolliert, so dass sich auch im Nachhinein noch feststellen lässt, von welcher IP-Adresse zu welchem Zeitpunkt auf ein bestimmtes Angebot zugegriffen wurde. Das Darknet und Ermittlungen zu Strafverfolgungszwecken 399 Eine IP-Adresse ist aber nicht ohne Weiteres einem konkreten Benutzer zugeordnet. Zum einen wird sie in der Regel dynamisch vergeben, d. h. die gleiche IP-Adresse kann zu unterschiedlichen Zeiten unterschiedlichen Benutzern zugeordnet sein. Zum anderen kann nur der jeweilige Internetzugangsprovider über die bei ihm vorhandenen Vertragsdaten und Verbindungsprotokolle eine Zuordnung einer IP-Adresse und eines Zeitpunktes zu einem konkreten Anschlussinhaber vornehmen. Über diesen Prozess kann zum Beispiel im Rahmen einer Strafverfolgung der Bezug zum Inhaber des beteiligten Anschlusses erfolgen. Bereits diese relativ einfachen Zugriffe im normalen Web sind aber unter Umständen mit erheblichen Ermittlungsproblemen im Rahmen der Strafverfolgung verbunden. Wie oben beschrieben, ist die Protokollierung der IP-Adressvergabe des Providers an seine Kunden für eine spätere Zuordnung von dynamischen IP-Adressen zu Anschlussinhabern kritisch. Wurde diese gar nicht protokolliert oder ist diese Protokollierung zum Zeitpunkt der Ermittlung bereits gelöscht, kann keine Zuordnung mehr erfolgen. In diesem Zusammenhang sei auf die umfangreiche Diskussion zum Thema Vorratsdatenspeicherung verwiesen, die sich u. a. genau mit dieser Protokollierung beschäftigt. Aber auch wenn die Protokollierung erfolgte und gespeichert wurde, identifiziert die IP-Adresse in Analogie zur oben erwähnten Anschrift und Hausnummer lediglich den Anschlussinhaber bzw. die Haustür und nicht den konkreten Benutzer, der an der Kommunikation beteiligt war. Es ist heutzutage Standard, dass sich innerhalb einer Wohnung und über den gleichen Internetanschluss zahlreiche Kommunikationsgeräte über einen privaten Zugangsrouter mit dem Internet verbinden. Im Rahmen eines Ermittlungsverfahrens kann dies allerdings über die IP-Adresse nicht weiter aufgelöst werden. Das kann ein strafverfolgungsrechtliches Problem darstellen. Analog zur Wohnung teilen sich beim mobilen Internetzugriff in der Regel auch viele Benutzer eine IP-Adresse, so dass hier technisch ähnliche Probleme auftreten. Wenn Internetbenutzer nicht direkt, sondern über Vermittlungsdienste, sogenannte Proxyserver oder VPN-Verbindungen, im Internet kommunizieren, kann dies als eine Vorstufe zu einer anonymen Nutzung gesehen werden. Die Kommunikation zwischen Benutzer und Anbieter wird hier vom Proxy- oder VPN-Server unterbrochen und in beide Richtungen weitergereicht. Dadurch kann beim Dienstanbieter nur die IP-Adresse des jeweiligen Proxy- oder VPN-Servers gespeichert werden. Im Rahmen eines Holger Morgenstern/Rüdiger Spendel 400 Ermittlungsverfahrens kann dann im ersten Schritt wiederum nur der Betreiber des Proxy- oder VPN-Servers ermittelt werden. Weitere Ermittlungen müssen dann dort erfolgen, was sowohl juristisch, sollte der entsprechende Betreiber z. B. im Ausland sein, aber auch technisch mit Schwierigkeiten verbunden sein kann, wenn der Serverbetreiber z. B. keine Protokolle der über seine Server erfolgten Kommunikation speichert oder herausgibt. Allerdings ist diese Möglichkeit der anonymen Kommunikation über Proxy- und VPN-Server, wie dargestellt, vom Verhalten der Dienstanbieter abhängig und keine wirkliche technische Anonymisierung. 3. Anonym das Darknet benutzen Eine verbreitete technische Möglichkeit, anonym im Internet unterwegs zu sein, stellt das Kommunikationsprotokoll Onion Routing und der zugehörige The Onion Router oder kurz TOR1 dar. Hier kommen derzeit als sicher geltende asymmetrische Kryptografieverfahren zum Einsatz und die Kommunikation erfolgt im »Zwiebelschalenprinzip«, daher auch der Name des Protokolls. Die Kommunikation zwischen Sender und Empfänger erfolgt dabei über eine Kette von jeweils ver- und entschlüsselnden Proxyservern, sogenannten TOR-Knoten. Die Kommunikationskette ist dabei im Prinzip so aufgebaut, dass nur jeweils direkte Nachbarn sich kennen. Jeder TOR- Knoten schält in der Analogie zur Zwiebel eine Verschlüsselungsschicht ab und kann so die Nachricht an den nächsten Knoten weiterleiten. Kryptografisch ist sichergestellt, dass er auch jeweils nur diese eine, für ihn bestimmte Schicht und nicht mehr abschälen kann. Die TOR-Knoten auf den Zwischenstationen der Kommunikation kennen daher weder die ursprüngliche Herkunft noch das eigentliche Ziel noch den Inhalt der Kommunikation. Für die Ermittlung des Beteiligten im Rahmen einer Strafverfolgung kommt technisch zu den bereits zuvor benannten Problemen dazu, dass die IP-Adresse des Benutzers unbekannt ist und technisch nicht aufgelöst werden kann. ____________________ 1 Weitere Informationen finden sich auf der offiziellen Webseite des TOR Projekts unter https://www.torproject.org, aufgerufen zuletzt am 30.8.2017. Das Darknet und Ermittlungen zu Strafverfolgungszwecken 401 4. Anonyme Angebote im Darknet Die gerade dargestellte Technologie ermöglicht den technisch anonymen Zugriff auf im Netz bereitgestellte Angebote. Die Adressen dieser Angebote müssen im normalen Internet allerdings bekannt sein, damit diese von potentiellen Interessenten gefunden werden können. Die IP-Adressen von Web-Servern sind daher in aller Regel im Gegensatz zu den IP-Adressen der Internetbenutzer auch statisch und nicht dynamisch vergeben. Im Darknet sollen aber auch Dienste angeboten werden können, deren Anbieter und deren Adresse anonym sind. Dies stellt technisch eine noch größere Herausforderung dar, ist im TOR System aber auch erfolgreich gelöst. Ohne dass hier allzu tief auf die dahinterliegende Technik eingegangen werden soll, erfolgt ein anonymes Angebot, ein sogenannter TOR Hidden-Service, im Wesentlichen wie folgt: Der Hidden-Server erstellt ein Public-/Private-Key Schlüsselpaar und eine Liste von Eintrittspunkten, die aus allen aktuell vorhandenen TOR Servern zufällig ausgewählt werden. Danach sendet der Server diese an einen Verzeichnisserver. Für eine Kontaktaufnahme wird der Hashwert2 des Public-Keys, der als URL z.B. http://sq4lecqyx4izcpkp.onion3 beliebig veröffentlicht werden kann, benötigt. Über diesen Hashwert können dann in der Folge Details zum angebotenen Service vom Verzeichnisserver abgerufen werden. Für die Benutzung eines derartigen Hidden-Services wählt ein TOR- Benutzer einen zufälligen TOR-Server als Rendezvous-Punkt aus, baut über das TOR-Netzwerk eine Verbindung zu ihm auf und übermittelt ein One-time secret. Eine weitere Verbindung wird zu einem der vom Server gewählten Eintrittspunkte vom TOR-Browser des Benutzers aufgebaut. Dem Eintrittspunkt übergibt der TOR-Browser des Benutzers eine mit dem Public-Key des Hidden-Servers verschlüsselte Nachricht mit der Adresse des Rendezvous-Punkts und dem One-time secret. Der Hidden-Server entschlüsselt die Nachricht mit den Rendezvous- Koordinaten und dem One-time secret mit seinem, nur ihm bekannten Private-Key. Wenn der Hidden-Server mit dem TOR-Browser des Benutzers ____________________ 2 Der Hashwert wird über eine kryptografische Funktion aus den Eingangsdaten berechnet, hat eine feste Länge, die unabhängig von der Größe der Eingabedaten ist und ist sehr eindeutig für die jeweiligen Eingabedaten. Man vergleicht einen Hashwert deshalb auch häufig mit einem Fingerabdruck. 3 Diese Adresse bezeichnet das Angebot des sicheren Briefkastens des Heise Verlags und ist hier nur zur Veranschaulichung enthalten. Holger Morgenstern/Rüdiger Spendel 402 kommunizieren will, baut er daraufhin eine Verbindung zum Rendezvous- Punkt auf und übergibt das One-time secret. Über den Rendezvous-Punkt kann dann eine Client-Server Kommunikation zwischen TOR-Benutzer und Hidden-Server erfolgen. Dabei müssen weder Client noch Server ihre tatsächliche Identität bzw. IP-Adresse preisgeben. Es kann also technisch vollkommen anonym angeboten und abgerufen werden. Aus Ermittlungssicht im Strafverfahren werden die oben bereits benannten Ermittlungsschwierigkeiten um das nicht unwesentliche Problem erweitert, dass weder die IP-Adresse des Anbieters, noch diejenige des Benutzers bekannt ist. 5. Nur etwas für Profis? Die Technik des Onion Routings, wie sie gerade am Beispiel des TOR- Netzwerks dargestellt wurde, zeigt, dass eine vollständig anonyme Kommunikation technisch machbar ist. Dies betrifft sowohl die Kommunikation von Seiten der Benutzer als auch, und das ist aus Sicht einer strafrechtlichen Ermittlung wesentlich gravierender, die Kommunikation von Seiten der Anbieter von Diensten. Gleichzeitig ist gerade das TOR-Netzwerk mit darauf spezialisierten Werkzeugen sehr einfach zu benutzen. Die anonyme Kommunikation im TOR-Netzwerk erfordert heute keine tieferen Informatikkenntnisse und kann von jedem Internetnutzer eingesetzt werden. Ein Internetnutzer, der anonym im TOR-Netz kommunizieren will, sei es im Darknet, sei es anonym im normalen, dem sogenannten Surface Web, benötigt dazu lediglich den TOR-Browser. Die Installation ist, analog zu modernen Softwarepaketen, sehr benutzerfreundlich, einfach und lässt sich mit ein paar grundlegenden Einstellungen und Klicks abschlie- ßen: Das Darknet und Ermittlungen zu Strafverfolgungszwecken 403 Selbst das Aufsetzen und Betreiben von Hidden Services im TOR- Netzwerk ist einfach und kann nach einer kurzen Beschäftigung mit dem Thema selbst von durchschnittlichen Internetnutzern, die auch im Surface Web in der Lage wären Dienste anzubieten, umgesetzt werden. Alle dazu benötigten Informationen sind im Internet frei verfügbar. Zudem existieren zahlreiche Schritt-für-Schritt Anleitungen, die auch technisch weniger Bewanderte durch den Prozess führen. Die technisch sichere Anonymisierung und die einfache Anwendbarkeit haben sicherlich zu einer weiten Verbreitung des TOR-Netzwerkes beigetragen. 6. Verbleibende Nutzungsrisiken und ergänzende Tools Da das TOR-Netz grundlegend auf anonymen Strukturen beruht, ist weder dem Netz noch den Anwendern jeweils bekannt, welche Personen, Institutionen oder Organisationen die einzelnen TOR-Knoten betreiben. Jeder Teilnehmer kann ja völlig gleichberechtigt TOR-Knoten betreiben. Das bedeutet aber auch, dass man grundsätzlich nicht weiß, über wessen Rechner der anonymisierte Verkehr geleitet wird. Kritisch sind dabei vor allem die sogenannten Exit-Nodes, also die letzten TOR-Knoten in der Kommunikationskette, die den Datenverkehr in das normale Surface Web übergeben. Da an diesen TOR-Knoten die Verschlüsselung des TOR- Netzwerks endet, könnten diese Exit-Nodes den Datenverkehr unverschlüsselt mitlesen und dadurch ein großes Sicherheitsrisiko darstellen, wenn der Benutzer nicht zusätzliche Vorkehrungen trifft. Möglich wäre es beispielsweise, neben der Benutzung von TOR noch zusätzlich eine Endezu-Ende-Verschlüsselung zwischen den Kommunikationspartnern einzu- Holger Morgenstern/Rüdiger Spendel 404 setzen. Dies wird den TOR-Nutzern auch als grundsätzliche Empfehlung mit auf den Weg gegeben. Techniken wie Onion Routing und zugehörige Browser ermöglichen zwar einen technisch sicheren Weg der Kommunikationsanonymisierung. In einer Betrachtung der Gesamtsysteme führt dies aber lediglich dazu, dass die Kommunikation in diesem Netzwerk anonym ablaufen. Aus verschiedenen Gründen kann es zu einem Bruch der Anonymisierung, zu einer sogenannten De-Anonymisierung, kommen. Wenn sich ein Internetbenutzer über eine anonyme TOR-Verbindung beispielsweise bei einem Onlineshop mit seinen Benutzerdaten authentifiziert, dann ist er für die Server dieses Shops und dessen Betreiber nicht mehr anonym. Übergreifend betrachtet gibt es in der Internetnutzung häufig Inhalte, die Rückschlüsse auf den realen Benutzer zulassen. Das ist vor allem bei den Kommunikationsinhalten der Fall. Will man tatsächlich völlig anonym im Netz unterwegs sein, muss man dafür Sorge tragen, dass nicht nur die Kommunikation im Netz selbst anonym verläuft, sondern auch das ganze angrenzende Ökosystem keine identifizierenden Informationen preisgibt. Des Weiteren kann eine Schadsoftware oder Spionagesoftware auf dem Rechner des Internetnutzers de-anonymisierende Informationen ins Netz übertragen, ohne dass der über ein eigentlich anonymisierendes Netz wie TOR kommunizierende Nutzer dies erkennt. Damit auch in solchen Fällen eine weitestgehend benutzerfreundliche Lösung für technisch weniger bewanderte Nutzer zur Verfügung steht, existieren speziell auf Anonymisierung angepasste Betriebssysteme, die bereits in ihrer Grundkonfiguration darauf ausgelegt sind, einer De- Anonymisierung entgegen zu wirken und möglichst auch eine Kompromittierung des Systems zu verhindern. Ein Beispiel für ein solches speziell angepasstes Betriebssystem ist TAILS4, »das Betriebssystem für gemäßigt Paranoide«, wie es von der Zeitschrift Die ZEIT betitelt wurde5. Dieses System ist frei und für jeden verfügbar, lässt sich einfach aus dem Netz laden und z. B. auf einem USB-Stick installieren. Will man dann anonym unterwegs sein, booted man das System von diesem Stick und benutzt die dort installierten Tools. Auch dies ist für jeden durchschnittlichen Internetnutzer ohne große Probleme machbar. TAILS wird in Kreisen, die sich ____________________ 4 TAILS - The Amnesic Incognito Live System, offizielle Website: https://tails. boum.org/. 5 http://www.zeit.de/digital/internet/2016-03/linux-test-tails-live-betriebssystemusb, aufgerufen zuletzt am 30.8.2017. Das Darknet und Ermittlungen zu Strafverfolgungszwecken 405 mit IT-Sicherheit beschäftigen, häufig verwendet. Das führt gleichzeitig zu einer opensource-typischen ständigen Überprüfung durch die Nutzercommunity. 7. Technische Ermittlungsansätze Die Existenz technisch ausgereifter und einfach einzusetzender Anonymisierungstechnologien, welche der gesamten Internetgemeinde frei zur Verfügung stehen, bedeutet einerseits einen großen Gewinn für die Freiheitsund Persönlichkeitsrechte. In vielen totalitären Systemen schaffen solche Technologien die Grundlage für eine freie und unzensierte Kommunikation und Informationsverteilung, also für wesentliche Grundbausteine einer demokratischen Kultur. Andererseits wird damit auch eine Vielfalt an illegalen, unmoralischen und strafbaren Angeboten ermöglicht, die sich durch die Anonymisierungstechnologien der Strafverfolgung größtenteils zumindest technisch entziehen und damit wiederum Grundlagen unserer Demokratie gefährden. Digitale Forensik im Darknet ist vor diesem Hintergrund ein neues und sehr aktives Forschungsgebiet der forensischen Informatik. Sie fragt aus technischer Sicht danach, welche Ermittlungsmöglichkeiten oder -ansätze es trotz Einsatzes von derartigen Technologien gibt. Im Rahmen einer Strafverfolgung ist es natürlich notwendig, beteiligte Personen zweifelsfrei zu identifizieren. Die Anonymisierung muss daher aufgehoben werden. Die obige Darstellung der Sicherheitsrisiken bei der Anonymisierung weist schon auf erste Ansatzpunkte für Ermittlungsmaßnahmen hin. Techniken zur De-Anonymisierung beginnen schon dort, wo es Nutzer versäumen, die Anonymisierung ihres gesamten Ökosystems konsequent zu betreiben. Sollten sich aus eventuell parallellaufenden Kommunikationen identifizierende Merkmale ableiten lassen, ist es technisch gegebenenfalls möglich, die auf einem Kanal identifizierte Person auch mit einer parallelen, netztechnisch anonym ablaufenden Kommunikation in Abgleich zu bringen und so auch dort die Anonymisierung aufzuheben. Im Bereich der Big Data Forensik und der Anwendung von Data Science Techniken auf den zu beobachtenden, anonymen und verschlüsselten Netzwerkverkehr wird an Möglichkeiten zum Fingerprinting gearbeitet. Auch über Timing-Analysen könnte, wenn schon keine 1:1 De-Anonymisierung, so doch eine Einschränkung der Anonymitätsmenge erfolgen, Holger Morgenstern/Rüdiger Spendel 406 was wiederum einen Ansatzpunkt für weitere Ermittlungsmöglichkeiten darstellen kann. Ebenso bietet der Einsatz von speziellen Softwaretools auf den Systemen der Beteiligten eine technische Möglichkeit, die Anonymisierung aufzuheben. Dieser Aspekt wird in der Öffentlichkeit unter dem Stichwort »Bundestrojaner« breit und kontrovers diskutiert. Das zeigt, dass Ermittlungsmöglichkeiten nicht nur vortechnischen Hürden stehen, sondern dass auch Probleme auftauchen, die gesellschaftlich und juristisch geklärt werden müssen. Daneben gibt es eine ganze Reihe von kreativen Ansätzen wie z.B. Cross-Device-Tracking mittels Ultraschall. Prinzipiell sind der technischen Kreativität kaum Grenzen gesetzt. Geforscht wird im Bereich der De-Anonymisierung aber nicht nur in der Forensik und bei den staatlichen Behörden. Auch die Werbeindustrie ist hier sehr aktiv. So entstammt das gerade erwähnte Cross-Device- Tracking diesem Industriezweig. Dort wird es tatsächlich bereits eingesetzt. Schließlich darf nicht vergessen werden, dass der Cyberspace, auch der ganz fortgeschrittene, immer noch eine Einbettung in die reale, physische Welt benötigt. Und genau dort, an den Schnittstellen zwischen cyber- und physischer Welt, ergeben sich oft sehr erfolgreiche Ermittlungsmöglichkeiten, die dem klassischen Arbeitsfeld der Ermittlungsbehörden entspringen. Warenlieferungen und Geldflüsse kommen aus der physischen und gehen wiederum in die physische Welt und können dort mit klassischen Polizeitechniken verfolgt werden. Auch kann man feststellen, dass anonyme Händler im Darknet zum Teil akribisch gepflegte Kundendatenbanken unterhalten. Sollte es gelingen, einen derartigen Datenbankbestand zu beschlagnahmen, könnte sich daraus wiederum die De-Anonymisierung einer großen Kundenmenge ableiten lassen. Zu den partiell technischen, partiell psychologischen Methoden gehören Versuche, Beteiligte zu alternativer, entweder nicht anonymer oder auch physischer Kommunikation zu motivieren. Sollte dies gelingen, gibt es wiederum einen Ansatzpunkt für die Identifizierung. Darüber hinaus kann es erfolgversprechend sein, alle öffentlich verfügbaren Informationen über Verdächtige auszuwerten und dort nach Gemeinsamkeiten, Ähnlichkeiten und Übereinstimmungen zu den zu identifizierenden anonymen Beteiligten zu suchen. Oft genug verwenden Beteiligte in unterschiedlichen Kontexten die gleichen Aliase, Passwörter oder spezielle Ausdrucksweisen. Dieses ebenfalls recht neue und aktive Forschungsgebiet wird als Open-Source Intelligence oder kurz OSINT be- Das Darknet und Ermittlungen zu Strafverfolgungszwecken 407 zeichnet. Es wird sowohl von Behörden als auch im akademischen Umfeld6 aktiv bearbeitet. II. Wichtige juristische Fragen bei Ermittlungen im Darknet Ermittlungen im Internet und insbesondere auch im Darknet beziehen sich technikbedingt sehr schnell auf internationales Gebiet. Zumindest ist nicht unbedingt von vornherein klar und ersichtlich, von welchem Gebiet aus die Beteiligten agieren oder wo die verwendeten Server lokalisiert sind. Feststellungen dazu sind bereits im normalen Surface Web und noch viel weitergehend im Darknet ein Problem. Aufgrund der Internationalität des Internets benötigt man einen möglichst geschlossenen internationalen Konsens zur Kriminalitätsbekämpfung und internationale Regelungen. Entsprechende Bemühungen spiegeln sich zum Beispiel in der Cybercrime Convention wider, die ein erster Versuch einer globalen Harmonisierung der straf- und verfahrensrechtlichen Regelungen der Mitgliedsstaaten ist.7 Auf europäischer Ebene sind etwa die Richtlinie 2013/40/EU über Angriffe auf Informationssysteme8 und die neue Datenschutz-Richtlinie 2016/680/EU 9 Belege für die zunehmende Europäisierung. ____________________ 6 Der Verfasser Morgenstern leitet an der Hochschule Albstadt-Sigmaringen u. a. den deutschen Teil des europäischen Forschungsprojekts SENTER und entwickelt mit seiner Projektgruppe aktuell ein OSINT Fort- und Ausbildungsmodul für europäische Strafverfolgungsbehörden. Ein ähnliches Modul wird sicherlich auch in den von der Hochschule Albstadt-Sigmaringen geführten Masterstudiengang Digitale Forensik integriert. 7 Übereinkommen über Computerkriminalität, v. 23.11.2001, in Kraft getreten am 1. Juli 2004, ETS-No. 185, abrufbar unter http://www.coe.int/de/web/ conventions/full-list/-/conventions/treaty/185; s. a. das Zusatzprotokoll v. 28.1. 2003, ETS-No. 189, das weitere Strafvorschriften im Bereich rassistischer und fremdenfeindlicher Inhalte betrifft. Deutschland hat das Abkommen unterzeichnet, bisher aber nur teilweise umgesetzt. 8 Richtlinie 2013/40/EU des Europäischen Parlaments und des Rates v. 12. August 2013 über Angriffe auf Informationssysteme und zur Ersetzung des Rahmenbeschlusses 2005/222/JI des Rates, ABl. L 218/8. 9 Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates v. 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. L 119/89. Holger Morgenstern/Rüdiger Spendel 408 Das deutsche Strafrecht gilt nach dem in § 3 StGB verankerten Territorialitätsgrundsatz für Taten, die im Inland begangen werden. § 9 Abs. 1 StGB regelt dafür weitere Anknüpfungspunkte: Eine Tat ist an jedem Ort begangen, an dem der Täter gehandelt hat oder im Falle des Unterlassens hätte handeln müssen oder an dem der zum Tatbestand gehörende Erfolg eingetreten ist oder nach der Vorstellung des Täters eintreten sollte. Der Grundgedanke ist dabei die Anwendbarkeit des deutschen Strafrechts – auch bei Handlungen im Ausland! –, sofern es im Inland zur Schädigung oder Gefährdung von Rechtsgütern kommt, deren Vermeidung Zweck der jeweiligen Vorschrift ist. Der Bundesgerichtshof in Strafsachen hat es im Falle einer Leugnung des Holocaust auf frei zugänglichen Webseiten, die auf einem Server mit Standort im Ausland gespeichert waren, für relevant gehalten, dass die Veröffentlichungen Internetnutzern in Deutschland ohne Weiteres zugänglich waren und dass diese auch zu deren Adressatenkreis gehörten und gehören sollten.10 In der Praxis führt eine solche Sicht nahezu zu einer Allzuständigkeit der deutschen Strafgewalt für einschlägige Straftaten im Internet. In der Sache enthält das deutsche Strafrecht eine Fülle überkommener und neuer einschlägiger Straftatbestände. Waffenhandel (WaffG), Verbreitung von Kinderpornographie (§ 184b ff StGB), Verkauf von Drogen (BtMG), Verkauf von Zugangsdaten z.B. für Email-Accounts, Onlinehändler-Kundenaccounts oder Internetprovider-Kundendaten (insbes. §§ 202b, 263a, 263, 27 StGB), Verkauf von gefälschten Kreditkarten (insbes. § 152a StGB), Verkauf von »Skimming-Sets« oder USB basierender Lösungen zum Angriff auf Geldautomaten (insbes. §§ 202a-c, 303b, 263a pp. StGB), Streaming von geschützten Videoinhalten (UrhG; umstritten), Verkauf von gefälschten Banknoten (§§ 146 ff StGB), Verkauf gefälschter Führerscheine oder Gesundheitszeugnisse (267-282 StGB) und Verbreitung religiöser oder fremdenfeindlicher Hetze (§ 130 StGB) zählen zu den typischen Straftaten, die gerade auch im Darknet stattfinden. Im Folgenden sollen einige Möglichkeiten und juristische Aspekte der Ermittlungen im Darknet herausgestellt werden. ____________________ 10 BGHSt, Urt. v. 12.12.2000, 1 StR 184/00, BGHSt 46, 212. Vgl. in materiellrechtlicher Abgrenzung dazu BGHSt, Beschl. v. 3.5.2016, 3 StR 449/15. Das Darknet und Ermittlungen zu Strafverfolgungszwecken 409 1. IP-Datenauflösung Wie bereits im Abschnitt zu den technischen Aspekten dargestellt, führt die Ermittlung des Anschlussinhabers zunächst über eine Bestandsdatenabfrage beim Provider für »dynamische« IP-Adressen im Internet gemäß §§ 161, 163 StPO. Im Darknet, das technikbedingt Anonymität erzeugt, steht man vor dem Problem: Wie wird die IP-Adresse ermittelt? Hier könnten ein »noeP« (§ 163 StPO) oder ein »verdeckter Ermittler« (§ 110a StPO) eingesetzt werden. Ziel dabei ist der Aufbau einer Kommunikation mit dem Täter, um z. B. einen Scheinkauf durchzuführen. Ein weiteres Problem ist, dass im Darknet bei Kommunikationsvorgängen keine realen IP-Adressen übertragen werden. Ein Lösungsansatz dafür kann sein, den Täter auf andere Kommunikationswege, z.B. auf Emails, bei denen die IP- Adressen im Email-Header unsichtbar mitübertragen werden, oder auf andere Dienste »umzuleiten«. Allerdings ist die Aussagekraft einer IP-Adresse, wie im Abschnitt zu technischen Fragen dargestellt, begrenzt, da diese nur den Inhaber eines physikalischen Anschlusses identifiziert. Handelt es sich beispielsweise um einen Anschluss in einer WG, in einer Firma oder in einer staatlichen Einrichtung (Uni, Behörde, Schule), dann sind in diesen Bereichen weitere Ermittlungen notwendig (im positiven Fall werden dort IP-Adressen gespeichert und diese Protokolle vorgehalten, sonst heißt es: »EdE«11). Weitere Probleme für die Ermittler bestehen darin, dass die IP-Adresse bei einem „anonymen« Internetzugriff (nicht strafbar!) nicht verwendbar ist. Sie ist ebenfalls wertlos bei Zugriffen über »freie« gewerbliche WLAN-Hotspots oder bei Zugriffen über »freie« oder »gehackte« private WLAN-Anschlüsse. 2. Abfrage von Emaildaten Die Abfrage der Bestandsdaten beim Emailprovider ist nach §§ 161, 163 StPO möglich. Problematisch ist dabei allerdings, dass bei »freemailern« häufig keine Überprüfung der Registrierungsdaten vorgenommen wird. Oft ergibt eine Abfrage dann die Auskunft: »Donald Duck, Entenhausenerstraße 2, 2199 Entenhausen«. ____________________ 11 EdE – Ende der Ermittlung. Holger Morgenstern/Rüdiger Spendel 410 3. Auswertung öffentlich zugänglicher Informationen (OSINT) Ein weiterer Ermittlungsansatz ist die Suche nach »Spuren des Täters« im Surface Web. Manchmal verwenden Täter die gleiche Emailadresse, die sie zur Kommunikation im Darknet benutzen, auch im Surface Web, z. B. bei Ebay. Gelegentlich wird bei der Registrierung der Emailadresse beim »Freemailer« eine weitere Emailadresse zur Sicherheit angegeben, die dann wiederum im Surface Web verwendet wird. Häufig verwenden Täter den gleichen »Nicknamen« sowohl im Darknet als auch im Surface Web, z.B. bei Ebay, Amazon oder in Diskussionsforen. Über derartige Übereinstimmungen kann eine weitere Ermittlung zur De-Anonymisierung führen. 4. Verfolgung von Geld- und Warenströmen Die Verfolgung der Geldströme bei Zahlung im Darknet per Überweisung oder Kreditkarte ist mit klassischer Polizeiarbeit sehr erfolgversprechend. Problematisch ist die Ermittlung bei einer Zahlung mit elektronischen Währungen wie z.B. Bitcoins12 (Regelfall im Darknet). Hier ist eine Rückverfolgung kaum möglich. Ermittlungen zur Verfolgung der Warenströme können über »Testkäufe« durch die Polizei (§§ 161, 163 StPO) erfolgen. Problem ist dabei, dass im Darknet normalerweise kein »vor Ort abholen» im Angebot ist. Bei dem Verkauf an Täter im Darknet erfolgt die Lieferung häufig an »gehackte« Packstationen. Aber gelegentlich wollen sich die Täter vor der Lieferung »ein Bild« des Käufers machen und ihn persönlich treffen. Dann kann mittels normaler Polizeimethoden per Observation weiter aufgeklärt werden. Im Anschluss ist eine DSL-/TÜ-Überwachung oder eine Durchsuchung/Beschlagnahme von Beweismitteln möglich. ____________________ 12 Bitcoins sind zwar nicht anonym im eigentlichen Sinne, sondern nur pseudonym. Bei einer Zwischenschaltung von so genannten Mixern kann eine Rückverfolgung dennoch unmöglich werden. Das Darknet und Ermittlungen zu Strafverfolgungszwecken 411 5. »Zufallsfunde» Zufallsfunde sind, wie in vielen anderen Deliktsbereichen, auch bei Ermittlungen im Darknet hilfreich. Zum Beispiel können bei der Post beschädigte oder nicht ausreichend frankierte Pakete ohne Absender mit Inhalten wie Drogen oder Waffen auftauchen. Werden Server beschlagnahmt auf denen Darknet Shops laufen, haben viele Verkäufer gut geführte »Kundenlisten« mit Angabe der gelieferten Ware und der vollständigen Adresse). 6. DSL- und Telefonüberwachung Ist der DSL -und Telefonanschluss des Täters ermittelt worden, kann eine DSL- oder Telefonüberwachung beantragt werden (§ 100a StPO). Dies ist allerdings auf Katalogtaten, also auf schwere Straftaten, beschränkt. Dar- über hinaus zeigt eine DSL-Überwachung nicht die im Darknet aufgerufenen Webseiten an. Über hier gewonnene Indizien können aber unter Umständen weitere Täter ermittelt werden, die ebenfalls im Darknet tätig sind. 7. Durchsuchung und Beschlagnahme Konnte die Anschrift des Beschuldigten ermittelt werden, kann eine Durchsuchung und Beschlagnahme von Beweismitteln erfolgen (§§ 102 ff, §§ 94 ff StPO). Problematisch sind hier vom Beschuldigten eingesetzte Gegenmaßnahmen wie etwa Türverstärkungen, Kameraüberwachung, Tastencode und Fingerabdruckscanner an der Tür und am PC mit einer Stromabschaltung bei Fehleingabe, Getarnte Lichtschalter als Stromunterbrecher und der Einsatz von Verschlüsselungssoftware (etwa »True- Crypt«, »VeraCrypt«, »Steganos«). Bei Hinweisen auf solche Gegenmaßnahmen muss eine besonders aufwändige Planung der Durchsuchung erfolgen. Gegebenenfalls müssten vor Ort öffentlich bestellte und vereidigte IT-Sachverständige sowie das MEK herangezogen werden. Holger Morgenstern/Rüdiger Spendel 412 8. Vorratsdatenspeicherung Nachdem die Richtlinie 2006/24 EG vom Europäischen Gerichtshof für nichtig erklärt worden ist13, hat der deutsche Gesetzgeber die Vorratsdatenspeicherung in Art. 2 des Gesetzes zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten14 mit mehreren Vorschriften zur Neufassung des Telekommunikationsgesetzes (TKG) neu geregelt. Die Vereinbarkeit dieses Gesetzes mit Unionsrecht ist umstritten.15 § 113a TKG bestimmt, welche Stellen ab dem 1. Juli 2017 (§ 150 Abs. 13 S. 1 TKG) zur Speicherung der in § 113 b TKG näher bezeichneten Daten verpflichtet sind. Die Verwendung der Daten ist in § 113c TKG, die Anforderungen an die Datensicherheit in den §§ 113d – 113g TKG geregelt. Die Speicherfristen bemessen sich nach § 113b TKG grundsätzlich auf zehn Wochen für die bei der Nutzung von Telefon- und Internetdiensten anfallenden Verkehrsdaten und auf vier Wochen für Standortdaten bei der Nutzung mobiler Telefondienste. Die aus dem Gesetz folgenden Pflichten werden derzeit aber wegen der Zweifel an ihrer Vereinbarkeit mit Unionsrecht nicht umgesetzt.16 Die aktuelle Situation in der täglichen Ermittlungsarbeit kann vor diesem Hintergrund oft wie folgt aussehen: ____________________ 13 EuGH, Urt. v. 8.4.2014, C-293 u. 594/12, abrufbar unter http://curia. europa.eu. 14 Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten, v. 10.12.2015, BGBl. I S. 2218. 15 Dazu EuGH (Große Kammer), Urt. v. 21.12.2016, C-203 u. 698/15, abrufbar unter http://curia.europa.eu; OVG NW, Beschl. v. 22.6.2017, 13 B 238/17. 16 OVG NW, Beschl. v. 22.6.2017, 13 B 238/17; VG Köln, Urt. v. 20.4.2018, 9 K 7417/17; Pressemitteilung der Bundesnetzagentur v. 28.6.2017, https://www. bundesnetzagentur.de/DE/Sachgebiete/Telekommunikation/Unternehmen_ Institutionen/Anbieterpflichten/OeffentlicheSicherheit/Umsetzung110TKG/ VDS_113aTKG/VDS.html Das Darknet und Ermittlungen zu Strafverfolgungszwecken 413 9. Quellentelekommunikationsüberwachung und »Bundestrojaner« Mit einem Trojaner könnten auf dem PC des Täters Beweismittel in zweierlei Hinsicht gesichert werden. Einerseits könnte die Speicherung der verschlüsselten Zugriffe im Darknet an der »Quelle«, also bevor die Verschlüsselung greift, erfolgen. Andererseits könnte die Speicherung der auf dem PC vorhanden Daten im noch unverschlüsselten Zustand (»der Verschlüsselungscontainer ist noch offen«) erfolgen. Vor dem Hintergrund des maßgeblichen Leiturteils des Bundesverfassungsgerichts, das aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG ein Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme hergeleitet hat17, sind die verfassungsrechtlichen Anforderungen an solche Maßnahmen hoch. Im kriminalpräventiven Bereich enthalten §§ 49 und 5l BKAG ausdrückliche Ermächtigungen zum verdeckten Eingriff in informationstechnische Systeme und zur Quellen- Telekommunikationsüberwachung.18 Im nachrichtendienstlichen Bereich gibt es nur die überkommenen Vorschriften der §§ 1 Abs. 1, 3 G 10, hinsichtlich derer bestritten wird, dass sie einschlägige Maßnahmen überhaupt abdecken. In der Strafprozessordnung ist § 100a StPO vor kurzem um eine eigenständige Ermächtigung ergänzt worden.19 Nach dem neuen ____________________ 17 BVerfG, Urt. v. 27.2.2008, 1 BvR 370 u. 595/07, BVerfGE 120, 274. 18 S. dazu die Regelungen im Gesetz zur Neustrukturierung des Bundeskriminalamtgesetzes v. 1.6.2017, BGBl. I S. 1354. 19 S. Art. 3 des Gesetzes zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens, v. 17.8.2017, BGBl. I. S. 3202. Holger Morgenstern/Rüdiger Spendel 414 § 100a Abs. 1 S. 2 und 3 StPO darf die Überwachung und Aufzeichnung der Telekommunikation auch in der Weise erfolgen, dass mit technischen Mitteln in von dem Betroffenen genutzte informationstechnische Systeme eingegriffen wird, wenn dies notwendig ist, um die Überwachung und Aufzeichnung insbesondere in unverschlüsselter Form zu ermöglichen. Auf dem informationstechnischen System des Betroffenen gespeicherte Inhalte und Umstände der Kommunikation dürfen überwacht und aufgezeichnet werden, wenn sie auch während des laufenden Übertragungsvorgangs im öffentlichen Telekommunikationsnetz in verschlüsselter Form hätten überwacht und aufgezeichnet werden können. § 100 a Abs. 5 StPO sieht eine Reihe von Schutzvorkehrungen, § 100 a Protokollierungspflichten vor. Wegen der stets heftigen Debatten im Bereich der inneren Sicherheit wird voraussichtlich wiederum das Bundesverfassungsgericht über die Verfassungsmäßigkeit der Ermächtigungsgrundlagen für solche Ermittlungsmaßnahmen entscheiden müssen. 10. Keylogger Ein Keylogger ist ein Programm, das unbemerkt auf dem PC des Täters »Tastaturanschläge« speichert und überträgt und so Informationen über Passworte für Verschlüsselungscontainer und über die Kommunikationsinhalte (etwa Mail oder Skype) sammelt. Werden Keylogger zur Gewinnung solcher Informationen eingesetzt, können diese dann wiederum zur Strafverfolgung genutzt werden. Für den Einsatz von Keyloggern spricht, dass sie ein sehr effektives Instrument sind, um an sonst nicht zugängliche Informationen zu gelangen. Für die Strafverfolgung sind keine Alternativen erkennbar. Gleichzeitig stellen sie einen geringeren Grundrechtseingriff als der »Trojaner« dar. Gegen den Einsatz von Keyloggern spricht, dass es sich dabei um »heimliche« Ermittlungsmaßnahmen handelt, die immer noch ein erheblicher Grundrechtseingriff wären. Eine ausreichende Rechtsgrundlage für diese Maßnahme ist bislang nicht vorhanden. III. Abschluss und »Wünsche aus Sicht von Praktikern« Eine erfolgreiche Strafverfolgung muss auch im stetig wachsenden Bereich des Darknets möglich sein. Daher wünschen sich Praktiker ausreichende, in Abhängigkeit von der Eingriffsintensität selbstverständlich an Das Darknet und Ermittlungen zu Strafverfolgungszwecken 415 angemessene Einschreitschwellen, einen Straftatenkatalog und gegebenenfalls auch an einen Richtervorbehalt geknüpfte Rechtsgrundlagen, sei es für die temporäre Speicherung von Verkehrsdaten, sei es für die »Quellen- TKÜ«, sei es für den »Keylogger«. Wünschenswert sind darüber hinaus weitergehende internationale Verträge zur schnelleren Übermittlung von IP-Daten und die zügige Umsetzung der Europäischen Ermittlungsanordnung (EEA)20. Nötig ist nicht zuletzt die bessere personelle und technische Ausstattung der Polizei und der Staatsanwaltschaft, damit die stetig anspruchsvoller werdenden Aufgaben in dem hochdynamischen Deliktsfeld der Internetkriminalität (insbesondere unter den erschwerenden Bedingungen des Darknets) langfristig bewältigt werden können. ____________________ 20 Der Verfasser Morgenstern leitet in diesem Bereich an der Hochschule Albstadt-Sigmaringen den deutschen Teil des europäischen Projekts LIVE- FOR – Criminal Justice Access to Digital Evidence in the Cloud, das sich speziell den praktischen Aspekten dieser Umsetzung in Europa widmet.

Chapter Preview

References

Zusammenfassung

Das Internet ist Faktor und Produkt des fundamentalen Wandels, den die Gesellschaft und ihr Recht gegenwärtig erleben. Wie weit und wie tief dies reicht, steht mittlerweile im Zentrum öffentlicher Aufmerksamkeit. Die Beiträge des vorliegenden Bandes setzen sich aus interdisziplinärer und aus rechtlicher Perspektive mit Grundsatz- und Querschnittsproblemen, mit einem breiten Spektrum an bereichsspezifischen Fragen und mit Zukunftsthemen auseinander. Dazu zählen unter anderem „Hate Speech“, Meinungsäußerungen von Arbeitnehmern in Sozialen Netzwerken, die Shareconomy und die Geschäftsmodelle von AirBnB und Uber, Finanzierungsmechanismen im Web, das „Bezahlen mit Daten“ und Adblocker, neue Formen der Musik und Urheberrechte, die Datafizierung des Autofahrens oder Visionen weiterer Technisierung und Vernetzung, wie sie die Stichworte der „Augmented Reality“, der „Smart Lenses“ oder der „Cyborgs“ liefern.

Mit Beiträgen von

Marion Albers, Urs-Vito Albrecht, Mats Andresen, Jonas Benedikt Böhme, Frédéric Döhl, Christian Frerix, Mathias Hong, Ioannis Katsivelas, Lea Köttering, Janina Lehmann, Konstanze Marx, Holger Morgenstern, Karl-Nikolaus Peifer, Lasse Ramson, Anna Schimke, Robin Schneller, Thomas Schwenke, Janusch Skubatz, Rüdiger Spendel, Frank Steinicke, Vanessa Zoltkowski.