In Österreich übergab eine eigens eingerichtete interministerielle Arbeitsgruppe aus Justiz- und Innenministerium den von ihr erstellten
Endbericht zur Online-Durchsuchung an die beiden Minister:
Flankierend zur gesetzlichen Regelung der Online-Durchsuchung sollen die Instrumente des Rechtsschutzes ausgebaut werden. So sollte laut Empfehlung der Arbeitsgruppe künftig anstatt eines Einzelrichters ein Richtersenat die Maßnahme der Online-Durchsuchung kontrollieren, die Stellung des Rechtsschutzbeauftragten gestärkt werden und die maßgebenden Rechtsentscheidungen in anonymisierter Form veröffentlicht werden. Zu prüfen sind auch Auswirkungen auf die Authentizität und den Beweiswert von Daten, die im Wege von Online-Durchsuchungen gewonnen wurden.
Inhaltlich ist der Bericht schon von
Daniel Sokolov und
Erich Moechel zusammengefasst, bei Interesse deren Artikel nachlesen. Interessant am Endbericht ist auch, dass auf die Rechtslage in anderen Ländern eingegangen wird - in Schweden etwa ist das "Gesetz für Maßnahmen um gewisse besonders gefährliche Verbrechen zu verhindern" den dort eigentlich recht rührigen Digitalbürgerrechtlern wohl vorbeigegangen - zumindest wussten die, mit denen ich sprach, nichts davon.
Nachdem das deutsche Innenministerium bereits den
Neusprech-Begriff
Remote Forensic Software für die Spionage-Software verbreitet hatte, mit denen bei einer Online-Durchsuchung Rechner manipuliert werden, um die
Vertraulichkeit und Integrität der informationstechnischen Systeme zu brechen, wollen unsere südlichen Nachbarn dem nicht nachstehen:
Remote Forensic Hardware werden im Bericht Spionage-Komponenten wie Keylogger genannt, die nicht als Software daherkommen.
Dabei sind die Begriffskomponenten "Remote" und "Forensic" eigentlich Widersprüche in sich. Forensisch bedeutet soviel wie "für das Forum geeignet", d.h. gerichtsfest belastbar, frei vom Zweifel der Manipulation, durch unabhängige Experten jederzeit nachvollziehbar und somit revisionssicher. Eine eherne Regel in der noch jungen Disziplin der Computer-Forensik ist daher z.B. bei der Durchsuchung von Festplatten, diese nur über eine spezielle Hardware, die ein Schreiben auf den Datenträger ausschließt, auszulesen. Untersuchungen werden dann ausschließlich an auf diese Weise erzeugten Image-Kopien vorgenommen. Dass so etwas "remote", d.h. über einen Fernzugriff nicht geht, ist offensichtlich: Um den Fernzugriff zu realisieren, muss ich das System zunächst vorsätzlich manipulieren. Geht man mit einer beschlagnahmten Festplatte so vor, darf man sich in der Regel nicht wundern, wenn das Gericht "not amused" ist. (Über Online-Durchsuchungen und die mangelnde forensische Eignung habe ich mich auch in einem
Interview geäußert).
Das deutsche Bundesverfassungsgericht ist in seiner wegweisenden
Entscheidung zur Online-Durchsuchung (1 BvR 370/07, 1 BvR 595/07, Rn. 223) auf diesen Einwand eingegangen:
Weiter ist die Eignung der geregelten Befugnis auch nicht deshalb zu verneinen, weil möglicherweise der Beweiswert der Erkenntnisse, die mittels des Zugriffs gewonnen werden, begrenzt ist. Insoweit wird vorgebracht, eine technische Echtheitsbestätigung der erhobenen Daten setze grundsätzlich eine exklusive Kontrolle des Zielsystems im fraglichen Zeitpunkt voraus (vgl. Hansen/Pfitzmann, DRiZ 2007, S. 225 <228>). Jedoch bewirken diese Schwierigkeiten der Beweissicherung nicht, dass den erhobenen Daten kein Informationswert zukommt. Zudem dient der Online-Zugriff nach der angegriffenen Norm nicht unmittelbar der Gewinnung revisionsfester Beweise für ein Strafverfahren, sondern soll der Verfassungsschutzbehörde Kenntnisse verschaffen, an deren Zuverlässigkeit wegen der andersartigen Aufgabenstellung des Verfassungsschutzes zur Prävention im Vorfeld konkreter Gefahren geringere Anforderungen zu stellen sind als in einem Strafverfahren.
Das Gericht hat natürlich Recht, denn es hatte nicht über eine gesetzliche Grundlage für Strafverfolger zu entscheiden, sondern für den NRW-Verfassungsschutz. In diesem Bereich ist man die Arbeit mit wagen Informationen und Gerüchten gewöhnt. Aufgrund des Verfahrens (s.o.) sind die gewonnenen Informationen auch nicht sehr viel belastbarer - diese "Schwierigkeiten der Beweissicherung" räumt das Gericht auch ein. Für die "Schlapphüte" ist dies zunächst kein Problem, von richtigen Polizisten wünscht man sich aber schon gewissenhaftere Arbeit. (Unter anderem deshalb sollte man die Trennung von polizeilichen und geheimdienstlichen Befugnissen strikt durchziehen und nicht verwischen. Herauskommen kann sonst nur eine Geheimpolizei - mit allen Konsequenzen, die die deutsche Geschichte lehren könnte, setzte man sich mit ihr auseinander).
Im Sommersemester 2008 gibt es am Institut für Informatik der CAU Kiel wieder eine ULD-Vorlesung zu Recht und Technik des Datenschutzes. An zwei Terminen werde ich vor Ort sein und hoffe auf rege Diskussionen zur Technik der Online-Durchsuchung, geeigneten Gegenmaßnahmen gegen derartige Spionage-Angriffe sowie der Gewährleistung von Vertraulichkeit und Integrität informationstechnischer Systeme. Die Termine stehen auf einem Zettel in meinem Büro und werden bei Interesse nachgereicht (ich glaube, es ist im Juli). :-) Einen ersten
Vortrag zu Online-Durchsuchungen nach der BVerfG-Entscheidung hatte ich für den Heise-Verlag auf der CeBIT gehalten.