Europäische e-Evidence-Verordnung (auch: Europäische Herausgabeanordnung): Die EU hat Schritte zur Verbesserung des grenzüberschreitenden Zugangs zu elektronischen Beweismitteln unternommen, indem sie die rechtlichen Rahmenbedingungen dafür schafft, dass gerichtliche Anordnungen direkt an Diensteanbieter in anderen Mitgliedstaaten gerichtet werden können.
Europäische e-Evidence-Verordnung: Grenzüberschreitender Zugang zu elektronischen Beweismitteln weiterlesenKategorie: Cybercrime Blog
IT-Strafrecht: BGH stärkt Bedeutung von Sachverständigen
Dann doch mit einiger Überraschung muss ich beim Bundesgerichtshof (1 StR 412/16) nachlesen, wie blind man in IT-Strafsachen den Ausführungen von Sachverständigen folgen darf:
Die Wirkungsweise der vom Computernutzer unbewusst installierten Schadsoftware hat das Landgericht auf der Grundlage der nachvollziehbar dargelegten Erläuterungen der Sachverständigen hinreichend genau festgestellt.
Das mag auf den ersten Blick wenig spektakulär erscheinen, allerdings muss man dazu wissen, dass der Bundesgerichtshof für Sachverständigengutachten, die bei bedeutenden Fragen hinzugezogen werden – insbesondere wenn es um DNA-Bewertungen aber auch forensisch-psychiatrische Fragen geht – von den Kammern erwartet, dass man sich im Urteil mit den Gutachten auseinandersetzt. Insbesondere gibt es bestimmte Kriterien, an Hand derer das Gutachten im Urteil darzustellen ist. Dass man hier nun mit einem Satz dem Sachverständigen schlicht folgt und der BGH dazu sonst nichts anzumerken hat – insbesondere keine Kriterien für die Instanzrechtsprechung – ist bei einer schuldrelevanten Frage dann doch überraschend. Safferling in NStZ 7/2018 spricht auf Seite 405 vollkommen zu Recht von einem „vorschnellen Folgen“ der Ausführungen des Sachverständigen. Deutlich wird dies, wenn man sich vor Augen hält, dass nicht einmal ein Satz zur Methodik des Sachverständigen dargestellt werden muss – gerade bei der Frage der „Wirkungsweise einer Schadsoftware“.
Es sind nur wenige Zeilen, die erst im Umkehrschluss deutlich machen, dass Strafgerichte jedenfalls derzeit recht freie Hand bei dem Umgang mit IT-Sachverständigen haben. Es dürfte nicht allzu lange dauern, bis erste Kriterien entwickelt werden, an Hand derer ein Gericht sich in seinem Urteil mit einem IT-Sachverständigengutachten auseinander zu setzen hat. Insgesamt zeigt diese Entscheidung (die ich gesondert noch weiter besprechen werde), allerdings dass man sich auf dünnem Boden in Deutschland bewegt, wenn etwa pauschale Abzüge bei der Schätzung der Anzahl von Geschädigten in IT-Strafsachen mit Schadsoftware ermöglicht werden.
IT-Forensic: osTriage 2
Ich konnte erstmals beim Live-Einsatz der von Ermittlungsbehörden genutzten Software „osTriage“ im Rahmen einer Durchsuchungsmaßnahme dabei sein. Die Software ist praktisch auf einem USB-Stick installiert, kann von dort gestartet werden und analysiert ein laufendes Windows-System. In Österreich gab es hinsichtlich dieser Software eine gewisse Aufregung.
In der praktischen Verwendung stellt sich die Software recht unaufgeregt dar: Es scheint sich in erster Linie um ein Reporting-Tool zu handeln, das auf vorhandene Systeminformationen zurückgreift und diese strukturiert aufbereitet. So beispielsweise in einem Windows-System die Prefetch-Dateien, aus denen die Ermittler dann versuchen Rückschlüsse auf ausgeführte Software zu ziehen. Die Software soweit ich sie erlebt habe war übrigens nicht dazu bestimmt ein Image des Systems zu erstellen, sondern am Ende wird ein „Report“ erstellt, der dann gespeichert wird. Insgesamt stellte es sich mir als Werkzeug dar, dass die vorhandenen Informationen sehr mächtig sammelt und äusserst transparent aufbereitet, letztlich aber ganz erheblich von dem Wissen lebt, dass sein Anwender mitbringt. Die Arbeitsgeschwindigkeit war dabei durchaus beeindruckend, auf einem Standard-System dauerte das Starten der Software und Auswerten des Systems wenige Minuten, insgesamt machte es den Eindruck eines für den mobilen Einsatz vor Ort durchaus sehr tauglichen Tools, das aber jedenfalls nach erstem Eindruck keinen Verdacht hinsichtlich rechtswidriger Möglichkeiten geweckt hat.
IT-Forensik: Zugriff von Ermittlungsbehörden auf iPhones
Immer wieder für gewisse Nervosität sorgt die Frage, ob ein iPhone oder iPad nun „sicher“ ist, nachdem dieses von Ermittlungsbehörden beschlagnahmt wurde. Spätestens seit dem Februar 2017, in dem ein Bericht über die Nutzung von Cellebrite-Hardware durch deutsche Behörden endgültig klar wurde, ist das Fragezeichen noch Grösse geworden. Nun muss man nicht erst an Cellebrite denken, wo ohnehin der Verdacht im Raum steht ob es letztlich um Jailbreak-Techniken geht – die Angriffsszenarien auf ein iPhone sind mannigfaltig, wenn auch im Detail eher teuer zu bewerkstelligen.
Hinweis: Diesen Beitrag habe ich im Hinblick auf erfolgreiche Zugriffe im Juli 2019 aktualisiert, er wird fortlaufend weiter gepflegt.
IT-Forensik: Zugriff von Ermittlungsbehörden auf iPhones weiterlesen
Zunehmende Dauer bei der Auswertung von Hardware
Seit einiger Zeit muss ich feststellen, dass die ohnehin recht lange zeitliche Dauer bei der Auswertung von beschlagnahmter Hardware durch Ermittlungsbehörden noch weiter angestiegen ist. Während man früher von 6 Monaten bis zu 12 Monaten ausgehen konnte, hat sich dies rapide verschlechtert:
- In einem sehr einfachen Fall, der keine Haftsache ist, wo es aber u.a. um Kinderpornographie geht, dauert die Auswertung eines Mobiltelefons aktuell 2 Jahre – und ein Abschluss ist nicht in Sicht.
- In einem weiteren Fall dauerte das einfache analysieren einer Festplatte ein gutes Jahr, in einem weiteren Fall gar 1,5 Jahre. Beides war zwar keine Haftsache, allerdings wurde am Ende nur die übliche Analyse mit forensischer Software ohne Sichtprüfung durchgeführt.
- Zum Vergleich: Selbst in einer Serie von Kapitalverbrechen, wo jemand in Haft ist und es lediglich um den Abgleich von 5 DNA-Funden geht, dauert die Analyse bereits 5 Monate an.
Es zeigt sich im gesamtbild, dass man aktuell bei der Auswertung von Hardware ganz erhebliche Zeit einplanen muss. Jedenfalls wo der Mandant nicht in Haft ist, läuft die Uhr insoweit eher für als gegen den Mandanten je länger es dauert. Dabei muss bei unberechtigter Beschlagnahme dann geprüft werden, ob eine Entschädigung für veraltete zurückgegebene Hardware zu leisten ist.
Technische Kompetenz im Strafverfahren: Zeitstempel bei Anrufen
Im Rahmen eines Betäubungsmittelverfahrens wurde plötzlich relevant, wann von einem Handy Anrufe (in die Niederlande) getätigt wurden. Bei solchen Fragen wird dann gerne auf einen von der Polizei bzw. dem Zoll angefertigten „Datensicherungsbericht“ zurückgegriffen. Zum Einsatz kommt dabei gerne die forensische Software „XRY“ von MSAB, mit der eine vollständige Kopie von Handy und SIM Karte erzeugt und sodann ausgewertet wird. Das Problem nur in diesem Fall: Die ausgewertete Zeit des Handys wich vermutlich von der tatsächlichen Zeit ab – und es war sodann fraglich, ob zum relevanten Tatzeitpunkt wirklich ein telefonischer Kontakt stattgefunden hat. Wie so oft war der Verfasser des Berichts nicht vom Gericht geladen, er wurde sodann kurzerhand telefonisch dazu befragt, wie es sich mit den Zeitangaben im Bericht handelt (prozessual war das Vorgehen nicht tragbar, ich lasse das hier dahin gestellt).
Von diesem war dann zu vernehmen, dass er mitteilte, die Systemzeit des Handys spiele keine Rolle, da sich die Zeitangaben in der Anrufliste des Telefons an Zeitstempeln des Providers orientieren und somit unabhängig von der Systemzeit des Telefons sind. Dass das schlichtweg Unsinn ist kann jeder mit seinem Handy/Smartphone im Handumdrehen nachprüfen – das Gericht übernahm diese Auskunft gleichwohl. Die Berufungsinstanz darf sich nun mit dem Thema „Technische Kompetenz im Strafverfahren“ beschäftigen.
Hinweis: Es ist ein häufiges Problem bei Strafverfahren mit IT-Fragen, dass Ermittler auf der einen Seite Standard-Software verwenden, um deren Ergebnisse dann schlicht wiederzugeben; auf der anderen Seite werden bei Detailfragen dann aber auch noch falsche Informationen gegeben, die selbst bei Offenkundigkeit von Gerichten gerne übernommen werden.
Aus der Praxis: Die Suche nach einem Handy durch die Staatsanwaltschaft per IMEI
In einer Strafsache zeigt sich bei mir nochmals deutlich, wie leicht manche Dinge heute fallen: Im Kern ging es darum, dass die Staatsanwaltschaft ein bestimmtes Handy suchte, von dem u.a. die IMEI (das ist eine interne und einmalige Seriennummer des Handys) bekannt war. Mittels richterlichem Beschluss wurden die drei grossen Provider aufgefordert, in Ihren Datenbeständen zu forschen, ob es Verbindungen bei Ihnen gab, die mittels dieser IMEI zu Stande kamen. Tatsächlich meldete sich am Ende ein Provider, der alleine an Hand der IMEI, die in stattgefundener Kommunikation erfasst wurde, einen Vertragspartner benennen konnte. Dauer des ganzen Prozederes: Weniger als 1 Woche.
Bis heute ist wenig bekannt, was technisch möglich ist. Manche gehen immer noch davon aus, dass nur Handykarten „geortet“ werden können. Tatsächlich bieten die Daten bei Providern regelmäßig umfassende Informationen, speziell die IMEI bietet einen guten Ansatzpunkt bei Ermittlungen, zumal sie bei jedem einzelnen Kommunikationsvorgang übermittelt wird. Speziell gestohlene Handys lassen sich auf dem Weg recht schnell wieder auffinden…
Alltägliche Akribie: Ermittlungen der Polizei in sozialen Netzen
Ich sehe immer wieder, wie hilfreich soziale Netze für Ermittlungsbehörden sein können. Dazu kurz zwei Beispiele aus früheren Fällen:
- Ein Verdächtiger war dem Zeugen nur unter seinem ausgefallenen Spitznamen bekannt. Nachdem man bei der Polizei mit der Ermittlung des Verdächtigen nicht vorwärts kam, besannte man sich auf Facebook und begann hier mit der Suche. Dabei fand man recht schnell ein Foto, auf dem ein Betroffener mit seinem Spitznamen „getaggt“ war. Das schöne: Man hatte nicht nur auf Anhieb ein Foto samt Spitznamen, sondern auch noch gleich den Link zum Profil mit Klarnamen. Die Polizei dankt.
- Wiederum ein Verdächtiger sollte an einem Raub beteiligt gewesen sein. Hier suchten die Tatopfer selber bei Facebook und fanden dann jemanden, der ihnen passend erschient – ein Ausdruck wurde der Polizei übergeben, hier wurde dann der Betreffende zum Verdächtigen im Ermittlungsverfahren.
Es zeigt sich in meinem Alltag immer wieder, dass auch bei alltäglichen Bagatelldelikten eine „Ermittlung“ auf Facebook & Co. immer zu erwarten ist, nicht zuletzt, weil der Arbeitsaufwand hier sehr überschaubar ist. Gleichzeitig besteht eine extrem hohe Fehlerquote, etwa weil man Profilbilder sieht, die möglichen Zeugen nicht wie strafprozessual vorgeschrieben als Wahllichtbildvorlage präsentiert werden.
IT-Strafrecht: 1164 Euro Schadensersatz für beschlagnahmtes Notebook
Bei Ermittlungen im Zusammenhang mit IT-Straftaten werden die zugehörigen Rechner der Beschuldigten regelmässig sicher gestellt bzw. beschlagnahmt. Wenn sich am Ende herausstellt, dass der Verdacht sich nicht erhärtet hat und das Verfahren eingestellt wird, erhält der Betroffene sein Gerät natürlich zurück – aber da die Justiz mitunter langsam arbeitet, vergeht hierbei häufig viel Zeit.
Das Gerät ist dann regelmäßig nicht mehr das, was zeitgemäß ist oder man hatte durch Ersatzgeräte Kosten, die aufgefangen werden müssen. Entschädigungen in diesem Zusammenhang sind noch Neuland – wir haben für einen Mandanten hier Entschädigung geltend machen können. Eine Entscheidung mit Modellcharakter.
IT-Strafrecht: 1164 Euro Schadensersatz für beschlagnahmtes Notebook weiterlesen
Beschlagnahme von Emails und Zufallsfunde
Eine Entscheidung des Landgerichts Mannheim (24 Qs 2/10) verdient in höchstem Maße Beachtung: Es ging um die Beschlagnahme von Emails eines Beschuldigten beim Provider. Dass eine solche Beschlagnahme grundsätzlich nach den alther gebrachten Regelungen der StPO möglich ist, steht ausser Frage (dazu BGH, 1 StR 76/09 und das BVerfG, 2 BvR 2099/04).
Nun hat sich aber folgendes Ergeben: Es wurde eine Durchsuchungs- und Beschlagnahmeanordnung (auch hinsichtlich der E-mails beim Provider) erlassen. Demzufolge waren E-Mails im Zusammenhang mit Straftaten zwischen dem 01.08.2008 und einschliesslich Dezember 2009 zu beschlagnahmen.
Im Zuge dieser Anordnung räumte der Provider der Ermittlungsbehörde einen zeitlich und inhaltlich unbeschränkten „Gastzugang“ zum Account des Beschuldigten ein, das heisst, die Behörde konnte sich einloggen und auf die EMails Zugriff nehmen. Die Chronologie war dabei wie folgt:
- 26.02.2010 : Gerichtsbeschluss
- 03.03.2010: Polizei übermittelt Beschluss an Provider
- 10.03.2010: Provider richtet Gastaccount ein
Durch den Gastaccount dann kamen aber auch EMails zu Tage, die nach dem 08.02.2010 datierten und auf eine vollkommen neue Straftat hinwiesen, die auch vom bisherigen Beschluss nicht umfasst war. Die Staatsanwaltschaft erwirkte danach beim Amtsgericht einen weiteren Beschlagnahmbeschluss auf Grund der aufgetauchten E-Mails.
Gestritten wurde nun darüber, ob das verwertet werden durfte.
Beschlagnahme von Emails und Zufallsfunde weiterlesen