Markus Hansen: Heimliche Online-Durchsuchung - Unabhängiges ...

Heimliche 

Online-Durchsuchung 

Markus Hansen 

Unabhängiges Landeszentrum für Datenschutz 

Schleswig-Holstein 

Innovationszentrum Datenschutz & Datensicherheit 

Heise-Forum Sicherheit und IT-Recht 

CeBIT, Hannover, 2008-03-07 

Markus Hansen: Heimliche Online-Durchsuchung 

Heise-Forum Sicherheit und IT-Recht, 2008-03-07, CeBIT, Hannover

Wer erzählt Ihnen heute was? 

● Unabhängiges Landeszentrum für Datenschutz 

Schleswig-Holstein (ULD) 

– Aufsichtsbehörde für Verwaltung und Wirtschaft 

(öffentlicher und privater Bereich) 

– Beratung zu technischen und rechtlichen Datenschutzfragen 

– Zertifizierende Instanz für Datenschutz-Gütesiegel und 

Datenschutz-Audit 

– Fort- und Weiterbildung (z.B. Datenschutzakademie) 

https://www.datenschutzzentrum.de/ 



Wer erzählt Ihnen heute was? 

● Innovationszentrum Datenschutz & Datensicherheit (ULD-i) 

– Beratung über Fördermöglichkeiten 

– Vermittlung von Kooperationspartnern 

– Unterstützung bei der Entwicklung von 

datenschutzgerechten Produkten und Geschäftsmodellen 

– Wissenstransfer 

– Durchführung und Begleitung von Datenschutz- und 

Datensicherheitsprojekten, z.B. Forschung & Entwicklung 



Einführung: Online-Durchsuchung 

● Im „Programm zur Stärkung der Inneren 

Sicherheit“ (PSIS), das der Bundesminister des 

Innern am 10. Oktober 2006 vorlegte, wird die 

„technische Fähigkeit, entfernte PC auf 

verfahrensrelevante Inhalte hin durchsuchen 

zu können, ohne selbst am Standort des Geräts 

anwesend zu sein“ 

als wichtiger Baustein der Fortentwicklung der 

kriminalistischen Sachaufklärung bezeichnet. 




● VSG NRW (seit Dez. 2006): 

„§ 5 Befugnisse 

[...] heimliches Beobachten und sonstiges 

Aufklären des Internets, wie insbesondere die 

verdeckte Teilnahme an seinen 

Kommunikationseinrichtungen bzw. die Suche 

nach ihnen, sowie der heimliche Zugriff auf 

informationstechnische Systeme auch mit Einsatz 

technischer Mittel. [...]“ 

Vergl. http://www.heise.de/tp/r4/artikel/24/24727/1.html 

=> Verfassungsbeschwerde 

Urteil des BVerfG: So verfassungswidrig 




● Online-Durchsuchung 

– Online-Durchsicht: 

Durchsuchung von Datenbeständen eines 

informationstechnischen Systems. 

– Online-Überwachung: 

Fortwährende Überwachung des Benutzers. 

● Quellen-TKÜ 

Abfangen von Telekommunikation auf Endgeräten. 

● Technisch jedoch kaum Unterschied 

Remote Forensic Software 




● Bundesregierung zum 

Nutzen der Online-Durchsuchung: 

„Im Zuge von Online-Durchsuchungen können 

regelmäßig dieselben Erkenntnisse gewonnen 

werden, wie durch „offene“ Durchsuchungen und 

die Auswertung sichergestellter Computerdateien. 

Die Durchführung einer „offenen“ Durchsuchung 

beim Beschuldigten setzt diesen jedoch notwendig 

von den gegen ihn geführten Ermittlungen in 

Kenntnis. [...] “ 

http://dip.bundestag.de/btd/16/039/1603973.pdf 



Vergleich: Offline-Durchsuchung 

Technisch-organisatorische Anforderungen an die 

Beweiserhebung auf Computersystemen: 

● Rechner wird in Anwesenheit von Eigner/Vertreter 

und Zeugen sichergestellt. 

● Sachverständige Kriminaltechniker führen Analyse 

durch. 

● Festplatten werden schreibgeschützt (um 

Veränderung auszuschließen) vollständig 

ausgelesen, Image-Kopie erstellt. 

● Über Image wird kryptographische Prüfsumme 

(Hash) errechnet und dokumentiert. 




● Untersuchungen werden ausschließlich an Image- 

Kopie durchgeführt. 

● Alle Schritte der Untersuchung inkl. verwendeter 

Auswertungsverfahren sind zu dokumentieren. 

● Nur so hält das Verfahren einer kritischen Prüfung 

stand (Revisionsfähigkeit); 

von einer Echtheit gewonnener Informationen 

kann andernfalls nicht ausgegangen werden. 




Zum Nachlesen: 

● Alexander Geschonneck: Computer-Forensik, 2., 

aktualisierte Auflage, 2006, S. 84. 

● Wolfgang Bär: Handbuch zur EDV-Beweissicherung 

im Strafverfahren, 2007, S. 282. 

● Association of Chief Police Officers: Good 

Practice Guide for Computer-Based Electronic 

Evidence, 2007, S. 4. http://www. 

7safe.com/electronic%5Fevidence/ 

ACPO_guidelines_computer_evidence.pdf. 

● Peter Mühlhauber: Wie verläßlich sind digitale 

Beweise?, in: Telepolis, 

http://www.heise.de/tp/r4/artikel/24/24638/1.html. 



Der „Bundestrojaner“ 

Bildquelle: 

www.ccc.de 



Heimliche Informationsgewinnung 

● Infiltration per Software 

– Trojanisches Pferd, Rootkit, ... 

– System korrumpiert 

● Infiltration per Hardware 

– Keylogger, Sniffer, ... 

– Physischer Zugriff erforderlich 

● Auswertung elektromagnetischer Abstrahlung 

– Stichwort „TEMPEST“ 

– Vergl. Wahlmaschinen-Gutachten 

● BVerfG: Keine Unterscheidung! 



Remote Forensic Software 

● „[...] so die interne Bezeichnung des 

Bundeskriminalamtes für die dabei zu 

verwendende Software, [...].“ 

● „Bei der hier in Rede stehenden RFS handelt es 

sich nicht um eine „Spionagesoftware“, sondern 

um ein technisches Mittel zur Datenerhebung.“ 

● „Mit der Online-Durchsuchung werden keine 

Personen ausgespäht, sondern relevante 

Erkenntnisse auf informationstechnischen 

Systemen erhoben.“ 

BMI 2007-08-22 



Universelles Trojanisches Pferd 

Handlungsanweisungen 

(verdeckter) 

Eingabekanal 

universelles 

Trojanisches Pferd 


Heise-Forum Sicherheit und IT-Recht, 2008-03-07, CeBIT, Hannover 

(verdeckter) 

Ausgabe-Kanal 

Schreibzugriff 

Schreibzugriff 

Nichtterminieren 

Betriebsmittelverbrauch 

Quelle: 

Andreas Pfitzmann: Sicherheit in Rechnernetzen: Mehrseitige Sicherheit in 

verteilten und durch verteilte Systeme, Dresden, 2000, S. 9 ff, online: 

http://dud.inf.tu-dresden.de/~pfitza/DSuKrypt.pdf. 

Informationsgewinn 

unbefugte 

Modifikation 

von Informationen 

Beeinträchtigung 

der Funktionalität

Phasen eines Angriffs zur 

Informationsbeschaffung 

● Infiltration 

bezeichnet den Vorgang, das Zielsystem zu kompromittieren 

durch Installation eines Trojanischen Pferdes, Rootkit, etc., d.h. 

der Softwarekomponente (oder Hardware), die Ermittlern den 

Zugriff per Internet und die Fernsteuerung erlaubt. 

● Datengewinnung und Kommunikation 

Identifizierung und Aggregierung relevanter Daten auf 

Zielsystem, Übertragung von Daten und Kommandos. 

● Beendigung der Maßnahme 

z.B. wenn Verdacht entkräftet wird. 

Wird bei nicht-staatlichen Angriffen in der Regel vernachlässigt. 



Infiltration 

● "Es gibt eine Vielzahl von Einbringungsmöglichkeiten, 

die auf Tauglichkeit für den 

jeweiligen Einsatz überprüft, ausgewählt und 

eventuell angepasst werden müssen. Eine 

generelle Aussage zur genauen Einbringungsmethode 

ist nicht möglich" 

BMI 2007-08-22 



Mit „Hilfe“ des Nutzers: 

Infiltration 

● Verheißungsvolle E-Mails / Instant-Messages 

Pornographische Inhalte, Bedrohungsszenarien, ... 

● Web-Seiten verleiten zum Klicken von Links 

Gratis-„Zugangstools“ 

● „Herumliegenlassen“ von CDs, USB-Sticks, ... 

Autorun-Funktion von Windows :-( 

Einfach in den Briefkasten werfen? 

● Wie zielgenau sind diese Angriffe? 

Wie merkt man, dass man den Falschen hat? 

Was bedeutet das für Betroffene? 

Filterprobleme bei mehreren Infiltrationen? 



Ohne „Hilfe“ des Nutzers: 

Infiltration 

● Ausnutzen von Sicherheitslücken in Programmen 

oder Betriebssystemen. 

Zeitfenster bei 

- bekannten Lücken: Stunden bis wenige Tage 

bei guten Herstellern. 

- Zero-Day-Exploits: Durchschnitt ein Jahr. 

● Hintertüren „ab Werk“ 

Vergl. Diskussion um „_NSAKEY“ in NT 4.0 (heißt jetzt KEY2). 

Kann auch in Hardware realisiert werden. 

● Infektion von Downloads „on the fly“ 

Klein: Manipulation beim Provider. 

Groß: Z.B. am DE-CIX. 



Infiltration 

● „Es besteht Einigkeit darüber, dass kein Interesse 

daran besteht, „Hintertüren“ in Betriebs- und 

Anwendungssysteme einzubauen. Solche 

„Hintertüren“ beziehungsweise absichtlich 

eingebaute Schwachstellen in Soft- und Hardware 

hätten nicht nur für die IT-Sicherheit, sondern 

auch für die deutsche IT-Wirtschaft fatale 

Konsequenzen.“ 

BMI 2007-08-22 



Ohne „Hilfe“ des Nutzers: 

Infiltration 

● Physischer Zugriff auf den Rechner durch 

heimliches Eindringen in Räumlichkeiten. 

=> Einziger Infiltrationsvorgang, der ohne Hilfe des 

Nutzers auskommt und Infektion Unbeteiligter 

(nahezu) ausschließt. 

● Infiltration ohne physischen Zugriff ist Beleg, dass 

auch Dritte den Rechner infiltriert haben können. 

Ermittler sind auf gleiche Methoden angewiesen wie 

Virenautoren, Betreiber von Bot-Netzen, 

ausländische Geheimdienste, org. Kriminalität. 



Wie schützt man sich? 

● So wohl eher nicht: 


Heise-Forum Sicherheit und IT-Recht, 2008-03-07, CeBIT, Hannover 

Bildquelle: http://www.hanno.de/blog/

Infektionswege und 

Gegenmaßnahmen 

● Angriffe per E-Mail/Instant Message 

– Geringes Risiko bei Viren-/Spam-Filtern 

– Trotzdem Infektionen bei Viren-Angriffen 

● Manipulierte Web-Seiten 

– Mittleres Risiko (mit Sandbox gering) 

– Risikominimierung durch Konfiguration und Einsatz 

einer Sandbox möglich 

● Interessante CDs und geheimnisvolle USB-Sticks 

– Geringes Risiko – eigentlich ... 





● Ausnutzen von Sicherheitslücken 

– Risiko hoch. 

– Bei gezielten Angriffen auf Zero-Day-Exploits keine 

Gegenwehr möglich. 

● Backdoors ab Werk 

– Risiko relativ gering. 

– Durch Einsatz von Open Source-Produkten 

weitgehend lösbar. 





● On-the-fly infizierte Downloads 


– Digitale Signaturen aller Downloads (utopisch). 

– Prüfsummen (nur mit Zweitsystem sinnvoll). 

● Physischer Zugriff auf die Hardware 


– Geräte mit Heißleim versiegeln, Tastatur anlöten. 

– Faktisch keine Gegenwehr möglich. 

● TEMPEST-Angriff (elektromagnetische Abstrahlung) 

– Effektive Abschirmung sehr aufwändig. 



Prävention: Selbstdatenschutz 

● Unabhängiges Landeszentrum für Datenschutz 

Schleswig-Holstein: Safer Surfen – Hinweise zum 

Selbstdatenschutz, 


selbstdatenschutz/ 

● Bundesamt für Sicherheit in der 

Informationstechnik: BSI für Bürger, 

http://www.bsi-fuer-buerger.de/ 

● Kai Raven: Anleitungen und Einführungen, 

http://hp.kairaven.de/misc/anleitung.html 



Datengewinnung und 

Kommunikation 

● „Die gewonnenen Ergebnisse werden so lange 

verschlüsselt auf dem informationstechnischen 

System zwischengelagert, bis eine 

Internetverbindung durch die Zielperson 

hergestellt wird.“ 

● „Durch die Hinterlegung des Quellcodes der RFS 

bei Gericht könnte zudem etwa belegt werden, 

dass die Software keine Daten frei im Zielsystem 

platzieren kann. Damit lässt sich der Vorwurf der 

Manipulation von Daten auf dem Zielsystem 

widerlegen.“ 

BMI 2007-08-22 




Kommunikation 

● Angreifer greifen per Internet auf den Rechner zu 

und können auf dem System vorhandene Daten 

auslesen oder verändern sowie neue Daten 

schreiben. 

● Keine exklusive Kontrolle über Rechner 

=> keine Echtheitsbestätigung! 

Digitale Signatur auf fremdkontrolliertem System 

nicht verlässlich durchführbar. 

● Bei online infiltriertem System: Weitere Infiltration 

durch Dritte kann nicht ausgeschlossen werden. 

Diese können Daten zu Täuschungszwecken 

manipulieren. 




Kommunikation 

● Abfangen von Tastatureingaben 

Keylogger, z.B. für Passworte, ggf. 

Zwischenspeicherung bis zur Online-Verbindung. 

=> Sicherheitsrisiko! 

● Abfangen von Ende-zu-Ende-Kommunikation, 

z.B. Instant Messaging, Internet-Telefonie, Video- 

Konferenzen. 

● Zugriff auf angeschlossene Mikrofone, Kameras. 




Kommunikation 

Möglich: Aufdeckung der Überwachung. 

● Bestenfalls: Ende der Maßnahme. 

● Einspeisung von Datenmüll. 

● Einspeisung gezielter Falschinformationen. 

● Einspeisung Trojanischer Pferde (Gegenangriff). 

Aufdeckung lässt sich technisch nicht ausschließen. 

● Ausreichende Tests vor Echtbetrieb? 

Mit „maßgeschneiderter“ RFS? 

● Vergl. Zeitdauer der Entwicklungszyklen 

ausgereifter Produktivsoftware. 



Beendigung der Maßnahme 

● Funktion zur Beendigung der Maßnahme 

erforderlich, z.B. 

– ... falls Verdacht entkräftet (manuelle Auslösung). 

– ... falls Durchsuchungserlaubnis aufgehoben wird 

(manuelle Auslösung). 

– ... falls keine Verbindung zu Steuersystem mehr 

aufgebaut werden kann, um Sicherheitslücken 

(Hintertür) zu vermeiden (automatische Auslösung). 

● Was ist, wenn der Nutzer nach Beendigung ein 

„infiltriertes“ Backup wieder einspielt? 



Technische Zusammenfassung 

● Auch Trojanisches „Ermittlungspferd“ kann und 

wird Fehler enthalten und infiltrierte Systeme (und 

die Ermittlungen) damit gefährden. 

● Online-Infiltrationsverfahren können eine 

Beeinträchtigung Unbeteiligter nicht ausschließen. 

● Bei Aufdeckung: 

Täuschung durch Falschinformationen oder 

Gegenangriff möglich. 

● Erfolgreiche Infiltration ist Beleg, dass auch Dritte 

Zugriff haben können. 



Technische Zusammenfassung 

● Per Online-Durchsuchung erlangte Informationen 

sind nicht annähernd so verlässlich wie bei 

forensischer Analyse sichergestellter Systeme. 

● Infiltration ist Manipulation des Untersuchungsgegenstandes. 

● Da exklusiver Zugriff durch Ermittler nicht 

sicherzustellen ist, ist die Echtheit der 

gewonnenen Informationen regelmäßig 

anzuzweifeln. 

● Manipulationen der Dateien können weder belegt 

noch widerlegt werden. 



Hilft Technologietransfer? ;-) 

Quelle: Spiegel Online, 2007-08-26 



2008-02-27: Urteil des BVerfG 

● „Das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 

1 i.V.m. Art. 1 Abs. 1 GG) umfasst das 

Grundrecht auf Gewährleistung der Vertraulichkeit 

und Integrität informationstechnischer Systeme.“ 

● Schließt Schutzlücke zwischen 

informationeller Selbstbestimmung, 

Telekommunikationsgeheimnis und 

Unverletzlichkeit der Wohnung. 

● Auswirkung weit über Online-Durchsuchung 

hinaus: 

– z.B. Recht auf Verschlüsselung, Anonymisierung 



Urteil des BVerfG 

● „Die heimliche Infiltration eines informationstechnischen 

Systems, mittels derer die Nutzung 

des Systems überwacht und seine Speichermedien 

ausgelesen werden können, ist verfassungsrechtlich 

nur zulässig, wenn tatsächliche 

Anhaltspunkte einer konkreten Gefahr für ein 

überragend wichtiges Rechtsgut bestehen.“ 

● Hohe materielle Schranke. 

● Gefahr ist in die Zukunft gerichtet, d.h. bei 

in die Vergangenheit gerichteten Ermittlungen 

unzulässig (vergl. StPO-Diskussion). 




● „Die heimliche Infiltration eines informationstechnischen 

Systems ist grundsätzlich unter den 

Vorbehalt richterlicher Anordnung zu stellen.“ 

● Anordnung nur durch Richter oder Stelle gleicher 

Unabhängigkeit – d.h. nicht StA o.ä. 

● Richter muss detailliert begründen. 

● Hohe prozessuale Schranke. 




● „Das Gesetz, das zu einem solchen Eingriff 

ermächtigt, muss Vorkehrungen enthalten, um den 

Kernbereich privater Lebensgestaltung zu 

schützen.“ 

● Schutz laut BVerfG z.B. durch richterliche 

Durchsicht / Freigabe (vergl. „Richterband“). 

● Versehentlich erhobene Daten aus dem 

Kernbereich sind unverzüglich zu löschen. 

Weitergabe / Verwertung sind untersagt. 




● „Soweit eine Ermächtigung sich auf eine staatliche 

Maßnahme beschränkt, durch welche die Inhalte 

und Umstände der laufenden Telekommunikation 

im Rechnernetz erhoben oder darauf bezogene 

Daten ausgewertet werden, ist der Eingriff an Art. 

10 Abs. 1 GG zu messen.“ 

● Quellen-TKÜ unterliegt also gleichen Maßstäben 

wie herkömmliche TKÜ. 



Auswirkungen des neuen 

Grundrechts? 

Recht auf Gewährleistung der Vertraulichkeit und 

Integrität informationstechnischer Systeme 

● Jede Menge Aufsätze. 

● Jede Menge zunächst offene Fragen. 

● Geht weit über Online-Durchsuchung hinaus! 

– Vergl. z.B. Diskussion um RFID. 

● Dringend erforderlich: 

– Mehr Selbstschutz der Bürger 

(heute schon verschlüsselt?) 

– Öffentliche Diskussion um technische 

Realisierung und Gesetzentwürfe! 



Sommerakademie 2008 

Internet 2008: 

Alles möglich, 

nichts privat? 

Kongress 

Montag, 2008-09-01, Hotel Maritim in Kiel 


sommerakademie/ 



Literatur – Technik 

● Markus Hansen, Andreas Pfitzmann: 

Technische Grundlagen von Online-Durchsuchung und 

-Beschlagnahme, in: Deutsche Richterzeitung DRiZ 8/2007, 

S. 225 - 228, https://tepin.aiki.de/blog/uploads/hansen-pfitzmannonline-durchsuchung-und-beschlagnahme-1.0.pdf 

● Ulf Buermeyer: Die „Online-Durchsuchung“. Technischer 

Hintergrund des verdeckten hoheitlichen Zugriffs auf 

Computersysteme, in: HRRS, Heft 4, 2007, S. 154, 

http://www.hrr-strafrecht.de/hrr/archiv/07-04/index.php?sz=8 

● Kristian Köhntopp: Bundestrojaner durchdekliniert, in: Die 

wunderbare Welt von Isotopp, 2007, http://blog.koehntopp.de/ 

archives/1600-Der-Bundestrojaner-durchdekliniert.html 

● Jürgen Schmidt: Bundestrojaner: Geht was – was geht, 

Technische Optionen für die Online-Durchsuchung, in: Heise 

Security, 2007, http://www.heise.de/security/artikel/86415/ 



Literatur – ULD 

● Unabhängiges Landeszentrum für Datenschutz: Hände weg von 

heimlichen Online-Durchsuchungen, PM vom 02. April 2007, 

https://www.datenschutzzentrum.de/presse/ 

20070402-online-durchsuchung.htm 

● Unabhängiges Landeszentrum für Datenschutz: Stellungnahme 

des ULD vom 27.06.2007 zum Gesetzesentwurf der 

Bundesregierung für ein Gesetz zur Neuregelung der 

Telekommunikationsüberwachung und anderer verdeckter 

Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 

2006/24/EG, BR-Drucksache 275/07, 

https://www.datenschutzzentrum.de/polizei/ 

20070627-vorratsdatenspeicherung.htm 



Literatur – Recht 

● Alexander Roßnagel: Verfassungspolitische und 

verfassungsrechtliche Fragen der Online-Durchsuchung, 

in: Deutsche Richterzeitung DRiZ 8/2007, S. 229 - 230, 

http://www.heymanns.com/servlet/PB/menu/ 

1226897/index.html 

● Gerrit Hornung: Ermächtigungsgrundlage für die „Online- 

Durchsuchung“? Verfassungsrechtliche Anforderungen an und 

Grenzen für den heimlichen Zugriff auf IT-Systeme im 

Ermittlungsverfahren, in: Datenschutz und Datensicherheit, 

DuD 8/2007, S. 575 - 580, http://www.uni-kassel.de/fb7/oeff_recht/ 

publikationen/pubOrdner/publikation_2007_hornung_online_dur 

chsuchung.pdf 

● Thilo Weichert: Bürgerrechtskonforme Bekämpfung der 

Computerkriminalität, in: Datenschutz und Datensicherheit, 

DuD 8/2007, S. 590 - 594. 



Danke für's Zuhören! 

markus.hansen@privacyresearch.eu

Markus Hansen: Heimliche Online-Durchsuchung - Unabhängiges ...

Verwandeln Sie Ihre PDFs in ePaper und steigern Sie Ihre Umsätze!

Template löschen?

Als Template speichern ?