Blog

Landestrojaner ohne Rechtsgrundlage im Einsatz?

Sowohl Heise als auch Golem berichten (unter Rückgriff auf den Spiegel), dass im Bundesland Bayern eine Trojaner-Software zum aushorchen von Rechnern Tatverdächtiger („Landestrojaner“) gleich mehrfach zum Einsatz kam. Nun wird in den Raum geworfen, dass es hierfür gar keine Rechtsgrundlage gibt (dazu auch der Beitrag bei Carsten Hoenig). Besonders scharf ist die Formulierung bei ijure:

aus der Rechtswissenschaft zumindest gibt es soweit ersichtlich keine einzige Stimme, die für die Zulässigkeit der Quellen-TKÜ auf der bisherigen rechtlichen Grundlage einträte.

Solche Sätze sind gefährlich, denn es reicht nur eine einzige Stimme, um sie zu widerlegen. Und wenn man dann als Ausnahme auch noch den Standardkommentar zur StPO anführen kann, der auf jedem Richtertisch in Deutschland steht, wird es haarig. So liest man nämlich in der Kommentierung des §100a StPO beim Meyer/Goßner unter Rn.7a folgendes:

Die Internet-Telefonie wird von §100a erfasst […] auch die so genannte Quellen-TKÜ nebst den erforderlichen Begleitmaßnahmen;

Auch sonst muss man nicht lange suchen: Bär ist einer der Verfechter dieser Ansicht (dazu nur Bär, Handbuch zur EDV-Beweissicherung im Strafverfahren, Rn. 321 oder die sehr kritische Besprechung von Bär in der MMR 2008, S.423ff.). Eine Darstellung findet man Online bei Buermeyer/Bäcker in der HRRS (interessanterweise ist einer der Autoren zugleich der Autor der obigen Zeilen).

Landestrojaner ohne Rechtsgrundlage im Einsatz? weiterlesen

Darf eine Staatsanwaltschaft Domains beschlagnahmen?

Ein Artikel in der ZEIT-Online beschäftigt sich mit der Frage des Vorgehens im Fall „kino.to“: Hier wurde die laufende Webseite abgeschaltet, die Server-Hardware beschlagnahmt und der Inhalt der Webseite durch eine eigene Seite ersetzt. Nun fragt sich nicht nur Thomas Stadler: Geht das überhaupt? Ich versuche – in aller Kürze – ein wenig auszuhelfen.

Darf eine Staatsanwaltschaft Domains beschlagnahmen? weiterlesen

Deutsche Spionagesoftware fürs Ausland: Strafbar?

Die Aufregung ist gross: Ein deutsches Unternehmen soll ägyptischen Sicherheitsbehörden eine „Spionagesoftware“ angeboten haben. Und natürlich ist gleich die Frage da: Ist das strafbar, wenn ein deutsches Unternehmen eine solche Software für ausländische Staaten erstellt?
Deutsche Spionagesoftware fürs Ausland: Strafbar? weiterlesen

Datenunsicherheit bei SSDs?

Neue Technik, neue Probleme – aber eine derartige Unsicherheit ist doch noch mal was neues: Es geht um SSDs, die neue Speichertechnik, die einen technologischen Sprung verspricht (sobald die Medien auch preislich Massenware sind). Interessant finde, ich dass ich bei Heise das hier lese:

Viele SSDs und USB-Sticks lassen sich nicht sicher löschen

Während dagegen Gulli das hier berichtet:

Als gelöscht markierte Daten auf SSDs sind oftmals nicht wiederherstellbar.

Hopp oder Top: Lassen sich SSDs nun sicher löschen? Die Lösung findet man bei einem genauen Blick bei Heise – es kommt darauf an, ob der Befehl „ATA Secure Erase“ von dem Medium umgesetzt wird. Falls ja, trifft das zu, was Gulli.com berichtet, nämlich:

Die Bereiche auf den verwendeten NAND-Transistor-Chips lassen sich erst wiederverwenden, wenn sie tatsächlich elektronisch gelöscht werden. Dies wird daher von der Firmware meist automatisch im Hintergrund erledigt, sobald Dateien zur Löschung markiert sind.

Der Bericht bei Heise spricht aber eben jene SSD-Medien an, bei denen das nicht der Fall ist.

Das Ergebnis bleibt damit: Es ist ein enormes Risiko, genutzte Datenträger an Dritte zu geben – gelöscht ist eben nicht immer gelöscht. Und mit SSD muss man darauf achten, das mit der neuen Technik auch wieder neue Feinheiten dazu kommen, die zu beachten sind. Ich denke, es wird nur eine Frage der Zeit sein, bis entsprechende Tools auf dem Markt sind, die „ATA Secure Erase“ prüfen und notfalls auch von Hand die Durchführung erlauben.

Passwort nicht verraten – Strafbarkeit?

Heute ist es kein Problem mehr, seine Daten durchaus sicher aufzubewahren: Von einfachen ZIP-Archiven, die man mit einem Passwort versieht, über PGP/GPG-Dateicontainer bis hin zu vollständig mit Truecrypt verschlüsselten Laufwerken bieten sich viele Möglichkeiten. Für die Ermittlungsbehörden ist das durchaus ein handfestes Problem: Wenn sich ein konkreter Verdacht ergibt (etwa weil man auf Grund von Logfiles davon ausgeht, dass der Verdächtige inkriminierte Webseiten aufgerufen hat), aber auf dem Rechner einerseits nichts gefunden wird, andererseits ein verschlüsselter Dateicontainer vorliegt, haben die Ermittlungsbehörden von Natur aus ein hohes Interesse, Zugang zu diesem Dateicontainer zu erhalten.

In Grossbritannien gibt es eine gesetzliche Regelung, derzufolge eine Pflicht besteht, seine Passwörter offen zu legen. Wer dem nicht folgt, dem droht eine Haftstrafe und Heise berichtet nun, dass diese Haftstrafe gegen einen Betreffenden verhängt wurde, und man fragt sich: Geht das auch in Deutschland?

Passwort nicht verraten – Strafbarkeit? weiterlesen