Technik und rechtliche Aspekte der heimlichen Online-Durchsuchung

Zeit: Don­ner­stag — 24.09.2009 — 15.00 Uhr
Ort: Hör­saal 117
Mod­er­a­tion: Dr. Wolf­gang Tauchert (Vor­sitzen­der Richter am Bun­despatent­gericht)
Ref­er­enten: Prof. Dr. Hart­mut Pohl (Hochschule Bonn-Rhein-Sieg);
Ulf Buer­mey­er (Richter am Landgericht Berlin)
Doku­mente: Präsen­ta­tion Pohl

Zur Durch­führung der (heim­lichen) soge­nan­nten Online-Durch­suchung existieren eine ganze Rei­he falsch­er Ver­mu­tun­gen wie uni­versell ein­set­zbare Würmer oder Viren, die der (eben­falls falsche) Begriff ‘Bundestrojaner1‘ sug­geriert. Im Fol­gen­den wird das seit drei Jahren von den Behör­den prak­tizierte Ver­fahren zur Online-Durch­suchung vorgestellt: Less-Than-Zero-Day-Exploits: Angriffe auf Com­put­er und Net­ze, die (noch) unveröf­fentlichte Sicher­heit­slück­en aus­nutzen.

Tat­säch­lich wer­den Sicher­heit­slück­en nicht immer zuerst dem Soft­ware-Her­steller bekan­nt – vielmehr sind weltweit eine Rei­he von Spezial­is­ten tätig, die Sicher­heit­slück­en in häu­fig benutzter Soft­ware oder auch in Indi­vid­u­al­pro­gram­men suchen, find­en und – verkaufen! Als Käufer kom­men ein­schlägige Organ­i­sa­tio­nen und Behör­den wie Nachrich­t­en­di­en­ste in Betra­cht. Diese Sicher­heit­slück­en wer­den nicht veröf­fentlicht oder dem Her­steller mit­geteilt, denn nach Erar­beitung ein­er Fehlerko­r­rek­tur (Patch) kön­nte sie nicht mehr aus­genutzt wer­den.

Anwen­der sind über­haupt nicht in der Lage, sich gegen diese Angriffe (Aus­nutzen unveröf­fentlichter Sicher­heit­slück­en) zu schützen, weil Ihnen die zugrun­deliegende Sicher­heit­slücke nicht bekan­nt ist. Diese Angriffe kön­nen noch nicht ein­mal erkan­nt wer­den!

Angriffe auf der Grund­lage unveröf­fentlichter Sicher­heit­slück­en wer­den weltweit seit etwa 10 Jahren erfol­gre­ich prak­tiziert. Die Angriffe ermöglichen Zugriffe auf alle auf dem Com­put­er gespe­icherten Dat­en; dies bezieht sich nicht nur auf Serv­er, Clients, Router, Switch­es und auf Net­ze wie Intra- und Extranets oder das Inter­net, son­dern auch auf Geräte wie Handys, Smart Phones etc. und generell alle ans Inter­net direkt oder indi­rekt angeschlosse­nen Sys­teme mit einge­bautem Com­put­er. Ref­er­ent: Prof. Dr. Hart­mut Pohl

Das Bun­desver­fas­sungs­gericht hat in sein­er Entschei­dung zur soge­nan­nten „Online-Durch­suchung“ ein neues Grun­drecht definiert, das die Ver­traulichkeit und Integrität infor­ma­tion­stech­nis­ch­er Sys­teme garantiert und kurz – wen­ngle­ich etwas unscharf – auch als „Com­put­er-Grun­drecht“ beze­ich­net wird. Damit reicht die Bedeu­tung der Entschei­dung weit über das unmit­tel­bar betrof­fene nor­drhein-west­fälis­che Ver­fas­sungss­chutzge­setz hin­aus. Das Refer­at wird die Leitlin­ien der Entschei­dung nachze­ich­nen und darstellen, welche Bedeu­tung die neue grun­drechtliche Gewährleis­tung für den heim­lichen hoheitlichen Zugriff auf Rech­n­er­sys­teme und andere Geräte wie etwa Smart­phones hat. Dabei soll verdeut­licht wer­den, welche eigen­ständi­ge Bedeu­tung den bei­den Dimen­sio­nen des Schutzbere­ichs – Integrität und Ver­traulichkeit – zukommt. Beson­deres Augen­merk wird außer­dem auf straf­prozes­suale Ein­griffe gelegt, die in der vor allem nachrich­t­en­di­en­stlich bzw. präven­tivpolizeilich aus­gerichteten Entschei­dung des BVer­fG nur am Rande genan­nt wer­den, sodass im repres­siv­en Bere­ich noch beson­der­er Diskus­sions­be­darf beste­ht.