Tech­nik und recht­li­che Aspek­te der heim­li­chen Online-Durch­su­chung

Zeit: Don­ners­tag — 24.09.2009 — 15.00 Uhr
Ort: Hör­saal 117
Mode­ra­ti­on: Dr. Wolf­gang Tau­chert (Vor­sit­zen­der Rich­ter am Bun­des­pa­tent­ge­richt)
Refe­ren­ten: Prof. Dr. Hart­mut Pohl (Hoch­schu­le Bonn-Rhein-Sieg);
Ulf Buer­mey­er (Rich­ter am Land­ge­richt Ber­lin)
Doku­men­te: Prä­sen­ta­ti­on Pohl

Zur Durch­füh­rung der (heim­li­chen) soge­nann­ten Online-Durch­su­chung exis­tie­ren eine gan­ze Rei­he fal­scher Ver­mu­tun­gen wie uni­ver­sell ein­setz­ba­re Wür­mer oder Viren, die der (eben­falls fal­sche) Begriff ‘Bundestrojaner1‘ sug­ge­riert. Im Fol­gen­den wird das seit drei Jah­ren von den Behör­den prak­ti­zier­te Ver­fah­ren zur Online-Durch­su­chung vor­ge­stellt: Less-Than-Zero-Day-Exploits: Angrif­fe auf Com­pu­ter und Net­ze, die (noch) unver­öf­fent­lich­te Sicher­heits­lü­cken aus­nut­zen.

Tat­säch­lich wer­den Sicher­heits­lü­cken nicht immer zuerst dem Soft­ware-Her­stel­ler bekannt – viel­mehr sind welt­weit eine Rei­he von Spe­zia­lis­ten tätig, die Sicher­heits­lü­cken in häu­fig benutz­ter Soft­ware oder auch in Indi­vi­du­al­pro­gram­men suchen, fin­den und – ver­kau­fen! Als Käu­fer kom­men ein­schlä­gi­ge Orga­ni­sa­tio­nen und Behör­den wie Nach­rich­ten­diens­te in Betracht. Die­se Sicher­heits­lü­cken wer­den nicht ver­öf­fent­licht oder dem Her­stel­ler mit­ge­teilt, denn nach Erar­bei­tung einer Feh­ler­kor­rek­tur (Patch) könn­te sie nicht mehr aus­ge­nutzt wer­den.

Anwen­der sind über­haupt nicht in der Lage, sich gegen die­se Angrif­fe (Aus­nut­zen unver­öf­fent­lich­ter Sicher­heits­lü­cken) zu schüt­zen, weil Ihnen die zugrun­de­lie­gen­de Sicher­heits­lü­cke nicht bekannt ist. Die­se Angrif­fe kön­nen noch nicht ein­mal erkannt wer­den!

Angrif­fe auf der Grund­la­ge unver­öf­fent­lich­ter Sicher­heits­lü­cken wer­den welt­weit seit etwa 10 Jah­ren erfolg­reich prak­ti­ziert. Die Angrif­fe ermög­li­chen Zugrif­fe auf alle auf dem Com­pu­ter gespei­cher­ten Daten; dies bezieht sich nicht nur auf Ser­ver, Cli­ents, Rou­ter, Swit­ches und auf Net­ze wie Intra- und Extra­nets oder das Inter­net, son­dern auch auf Gerä­te wie Han­dys, Smart Pho­nes etc. und gene­rell alle ans Inter­net direkt oder indi­rekt ange­schlos­se­nen Sys­te­me mit ein­ge­bau­tem Com­pu­ter. Refe­rent: Prof. Dr. Hart­mut Pohl

Das Bun­des­ver­fas­sungs­ge­richt hat in sei­ner Ent­schei­dung zur soge­nann­ten „Online-Durch­su­chung“ ein neu­es Grund­recht defi­niert, das die Ver­trau­lich­keit und Inte­gri­tät infor­ma­ti­ons­tech­ni­scher Sys­te­me garan­tiert und kurz – wenn­gleich etwas unscharf – auch als „Com­pu­ter-Grund­recht“ bezeich­net wird. Damit reicht die Bedeu­tung der Ent­schei­dung weit über das unmit­tel­bar betrof­fe­ne nord­rhein-west­fä­li­sche Ver­fas­sungs­schutz­ge­setz hin­aus. Das Refe­rat wird die Leit­li­ni­en der Ent­schei­dung nach­zeich­nen und dar­stel­len, wel­che Bedeu­tung die neue grund­recht­li­che Gewähr­leis­tung für den heim­li­chen hoheit­li­chen Zugriff auf Rech­ner­sys­te­me und ande­re Gerä­te wie etwa Smart­pho­nes hat. Dabei soll ver­deut­licht wer­den, wel­che eigen­stän­di­ge Bedeu­tung den bei­den Dimen­sio­nen des Schutz­be­reichs – Inte­gri­tät und Ver­trau­lich­keit – zukommt. Beson­de­res Augen­merk wird außer­dem auf straf­pro­zes­sua­le Ein­grif­fe gelegt, die in der vor allem nach­rich­ten­dienst­lich bzw. prä­ven­tiv­po­li­zei­lich aus­ge­rich­te­ten Ent­schei­dung des BVerfG nur am Ran­de genannt wer­den, sodass im repres­si­ven Bereich noch beson­de­rer Dis­kus­si­ons­be­darf besteht.