Tech­nik und recht­li­che Aspekte der heim­li­chen Online-Durchsuchung

Zeit: Don­ners­tag — 24.09.2009 — 15.00 Uhr
Ort: Hör­saal 117
Mode­ra­tion: Dr. Wolf­gang Tau­chert (Vor­sit­zen­der Rich­ter am Bun­des­pa­tent­ge­richt)
Refe­ren­ten: Prof. Dr. Hart­mut Pohl (Hoch­schule Bonn-Rhein-Sieg);
Ulf Buer­meyer (Rich­ter am Land­ge­richt Ber­lin)
Doku­mente: Prä­sen­ta­tion Pohl

Zur Durch­füh­rung der (heim­li­chen) soge­nann­ten Online-Durchsuchung exis­tie­ren eine ganze Reihe fal­scher Ver­mu­tun­gen wie uni­ver­sell ein­setz­bare Wür­mer oder Viren, die der (eben­falls fal­sche) Begriff ‘Bundestrojaner1‘ sug­ge­riert. Im Fol­gen­den wird das seit drei Jah­ren von den Behör­den prak­ti­zierte Ver­fah­ren zur Online-Durchsuchung vor­ge­stellt: Less-Than-Zero-Day-Exploits: Angriffe auf Com­pu­ter und Netze, die (noch) unver­öf­fent­lichte Sicher­heits­lü­cken aus­nut­zen.

Tat­säch­lich wer­den Sicher­heits­lü­cken nicht immer zuerst dem Software-Hersteller bekannt – viel­mehr sind welt­weit eine Reihe von Spe­zia­lis­ten tätig, die Sicher­heits­lü­cken in häu­fig benutz­ter Soft­ware oder auch in Indi­vi­dual­pro­gram­men suchen, fin­den und – ver­kau­fen! Als Käu­fer kom­men ein­schlä­gige Orga­ni­sa­tio­nen und Behör­den wie Nach­rich­ten­dienste in Betracht. Diese Sicher­heits­lü­cken wer­den nicht ver­öf­fent­licht oder dem Her­stel­ler mit­ge­teilt, denn nach Erar­bei­tung einer Feh­ler­kor­rek­tur (Patch) könnte sie nicht mehr aus­ge­nutzt wer­den.

Anwen­der sind über­haupt nicht in der Lage, sich gegen diese Angriffe (Aus­nut­zen unver­öf­fent­lich­ter Sicher­heits­lü­cken) zu schüt­zen, weil Ihnen die zugrun­de­lie­gende Sicher­heits­lü­cke nicht bekannt ist. Diese Angriffe kön­nen noch nicht ein­mal erkannt wer­den!

Angriffe auf der Grund­lage unver­öf­fent­lich­ter Sicher­heits­lü­cken wer­den welt­weit seit etwa 10 Jah­ren erfolg­reich prak­ti­ziert. Die Angriffe ermög­li­chen Zugriffe auf alle auf dem Com­pu­ter gespei­cher­ten Daten; dies bezieht sich nicht nur auf Ser­ver, Cli­ents, Rou­ter, Swit­ches und auf Netze wie Intra- und Extra­nets oder das Inter­net, son­dern auch auf Geräte wie Han­dys, Smart Pho­nes etc. und gene­rell alle ans Inter­net direkt oder indi­rekt ange­schlos­se­nen Sys­teme mit ein­ge­bau­tem Com­pu­ter. Refe­rent: Prof. Dr. Hart­mut Pohl

Das Bun­des­ver­fas­sungs­ge­richt hat in sei­ner Ent­schei­dung zur soge­nann­ten „Online-Durchsuchung“ ein neues Grund­recht defi­niert, das die Ver­trau­lich­keit und Inte­gri­tät infor­ma­ti­ons­tech­ni­scher Sys­teme garan­tiert und kurz – wenn­gleich etwas unscharf – auch als „Computer-Grundrecht“ bezeich­net wird. Damit reicht die Bedeu­tung der Ent­schei­dung weit über das unmit­tel­bar betrof­fene nordrhein-westfälische Ver­fas­sungs­schutz­ge­setz hin­aus. Das Refe­rat wird die Leit­li­nien der Ent­schei­dung nach­zeich­nen und dar­stel­len, wel­che Bedeu­tung die neue grund­recht­li­che Gewähr­leis­tung für den heim­li­chen hoheit­li­chen Zugriff auf Rech­ner­sys­teme und andere Geräte wie etwa Smart­pho­nes hat. Dabei soll ver­deut­licht wer­den, wel­che eigen­stän­dige Bedeu­tung den bei­den Dimen­sio­nen des Schutz­be­reichs – Inte­gri­tät und Ver­trau­lich­keit – zukommt. Beson­de­res Augen­merk wird außer­dem auf straf­pro­zes­suale Ein­griffe gelegt, die in der vor allem nach­rich­ten­dienst­lich bzw. prä­ven­tiv­po­li­zei­lich aus­ge­rich­te­ten Ent­schei­dung des BVerfG nur am Rande genannt wer­den, sodass im repres­si­ven Bereich noch beson­de­rer Dis­kus­si­ons­be­darf besteht.

Seite Drucken