Web Cyberfahnder
über Suchmaschinen und -strategien
  Cybercrime    Ermittlungen    TK & Internet    Literatur    intern    Impressum 
November 2008
08.11.2008 Remote Forensic Software
zurück zum Verweis zur nächsten Überschrift Online-Zugriff an der Quelle
 
 
 

 
Der Heise-Verlag bietet ein kleines, aber feines Buch-Angebot. 2006 erschien von Alfred Krüger Angriffe aus dem Netz (1), worin er alle seinerzeit gängigen Abzocken und Cybercrime-Methoden beschreibt, allerdings noch ohne die Bedeutung der Botnetze zu erkennen, die erst im Entstehen waren.

Unlängst erschien eine Betrachtung der Gegenseite, also keine Beschreibung der kriminellen Methoden, sondern einer Methode, die zu ihrer Verfolgung eingesetzt werden könnte: Die Online-Durchsuchung (2).

Das Thema ist eines der zentralen Themen des Cyberfahnders und ich vertrete noch immer eine Minderheitsmeinung wegen ihrer Zulässigkeit. Anlässlich einer Fachtagung hatte ich die Gelegenheit, das Buch im Wesentlichen zu lesen. Es hebt sich von vielen Pressepublikationen positiv ab und ist besonders wegen seiner Ausführungen zum entscheidenden Urteil des BVerfG zu empfehlen (3). Seine Schwächen sehe ich in mehreren Punkten:
 

 
Die Autoren blenden die Anwendungsfälle aus, die für die Online-Durchsuchung im strafrechtlichen Ermittlungsverfahren überhaupt in Betracht kommen.
 
Sie sind wenig bewandert in dem System der strafverfahrensrechtlichen Eingriffsmaßnahmen und betrachten deshalb die Online-Durchsuchung nicht als Ausnahme-, sondern zu sehr als Regelmaßnahme.
 
Sie sind äußerst bemüht darum, die Durchführbarkeit der Online-Durchsuchung in Zweifel zu ziehen, ohne zu realisieren, dass die Industriespionage und die Cybercrime längst vergleichbare Techniken einsetzt.
 
Sie betrachten die Methoden der Online-Durchsuchung als eine flächendeckende Perforation der IT-Sicherheit. Damit haben sie unter einem Gesichtspunkt, der ihnen fremd ist, nicht Unrecht.
 
   
Formen der Quellen-Überwachung
Infiltration
Installation
Tarnung
Einsatz
Einsatzbeschränkungen
Abschluss
Gefahren
Fazit
 
Anmerkungen
 
zurück zum Verweis Formen der Quellen-Überwachung

Überwachung der Online-Kommunikation (Telefonie, E-Mail, News-Groups und Chat) vor der Verschlüsselung
 
Dokumentation der laufenden Aktivitäten am PC (Screenshots, Keylogging)
 
Durchsicht und Suche nach gespeicherten Daten und Dateien
 

 
Die Quellen-Überwachung verlangt nach einem Datenabgriff am Datenverarbeitungsvorgang des Überwachten, also auf der Betriebssystemebene und während der aktiven Handlungen des Überwachten.

Das gilt besonders für die Internet-Telefonie, für die "Skype" als ein Anbieter von verschiedenen steht. Dieses Verfahren verschlüsselt den Datenstrom, bevor er den Computer der Zielperson verlässt. Will und darf man als Ermittler die Kommunikation überwachen, dann muss man sie abhorchen an der Stelle, wo sie als abgehender Datenstrom noch nicht verschlüsselt und als eingehender bereits entschlüsselt ist. D.h. am Verarbeitungsprozess im PC des Überwachten beim Verarbeitungsvorgang.

Die Überwachung der laufenden Kommunikation erlaubt § 100a StPO unter den in seinen Absätzen 1 und 2 genannten Einschränkungen (4). Diese Vorschrift erlaubt die Überwachung der Telefonie und der übrigen (Internet-) Kommunikation unabhängig davon, an welcher Stelle der Datenstrom abgegriffen wird.
  

 
Der klassische und übliche Ort für den Datenabgriff ist der Zugangsprovider, wo die Abhörtechnik eingesetzt wird. Verschlüsselte Daten der Internet-Telefonie (und anderer Telekommunikation) lassen sich hier jedoch ohne detaillierte Kenntnis von den Verschlüsselungsverfahren, Algorithmen und den Schlüssel selber nicht auflösen und lesbar machen.

Die einzige Lösung, die bleibt, ist, dass Überwachungsprogramme nach dem Vorbild der modernen Malware auf dem PC der Zielperson zum Einsatz kommen .

Das bereitet mehrere Probleme:

Wie bei der Malware auch ist das erste Problem das, dass die Remote Forensic Software - RFS - bei der Zielperson platziert werden muss.
 

zurück zum Verweis Infiltration Installation
 
E-Mail-Nachrichten mit infiltrierten Anhängen
 
Trojaner, also als nützlich wirkende Programme oder Anwendungen, unter deren Oberfläche die Malware schlummert
 
Website Injection, also präparierte Internetseiten, auf denen Loader (Startprogramme für Malware) über den Browser des Opfers eingeschleust werden
 
händisches oder automatisches Hacking (Beispiel: SQL-Wurm) unter Ausnutzung von Sicherheitslücken

 
Die Malware zeigt dafür vier häufige Methoden (siehe links), die Sicherheitslücken missbrauchen (Exploits) und die bei der Massenverbreitung in aller Regel wahllos einsetzt werden. Bereits dabei kommen häufig unterschwellige Überredungstechniken zum Einsatz (Social Engineering), die für den gezielten Angriff bei der Industriespionage erheblich verfeinert werden. Ihr kommt es nämlich darauf an, eine bestimmte Person anzugreifen.

Dasselbe gilt für die RFS. Sie wird auf den Einzelfall angepasst werden müssen und kann deshalb aus heutiger Sicht nicht die erste gegen eine Zielperson gerichtete Maßnahme sein. Ihr vorausgehen müssen Erkundigungen, die die Systemumgebung des Zielrechners und die Nutzungsgewohnheiten der Zielperson betreffen. Dadurch werden erst die Voraussetzungen geschaffen, um den Zielrechner zu erreichen und es einer ersten Komponente der RFS zu ermöglichen, sich im Zielsystem einzunisten.
 

 
Moderne Malware nistet sich im ersten Schritt mit einer Installationsroutine ein (Loader), die ihre Bereitschaft an einen vorbestimmten Kontrollrechner meldet (wie bei den Botnetzen: Command and Controll) und von ihm die Komponenten und Updates bezieht. Mit den Updates erhält die Malware auch Aktualisierungen, die ihre Aufgaben und ihre Tarnung betreffen.

Auch die Installation kann nur erfolgen, wenn das Zielsystem nicht gegen sie abgesichert ist. Sie verspricht in aller Regel nur dann Erfolg, wenn sie sich in einem üblichen und vom Zielsystem zugelassenen Verarbeitungsvorgang versteckt (Trojaner).

Dasselbe gilt für die RFS. Auch sie muss den Zugang zum Zielsystem überwinden und dann eine Installationsumgebung finden, in der sie sich unbemerkt einnisten kann.

Die technischen und logistischen Schwierigkeiten bei der Einschleusung von RFS sind nicht unter zu bewerten. Sie sind aber nicht unlösbar, wenn die Ermittler genügende technische Kenntnisse und vor Allem persönliche Kenntnisse über die Nutzungsgewohnheiten der Zielperson haben. Das zeigt hingegen auch, dass Quellen-Überwachungen mit einer RFS nach einem erheblichen finanziellen und personellen Aufwand verlangen, der nur geleistet werden kann, wenn die Maßnahme überhaupt Erfolg verspricht und gegen Gefahren oder Straftaten gerichtet sind, die besonders schwer wiegen und gefährlich sind.
 

zurück zum Verweis Tarnung Einsatz

 
Moderne Bot-Software schont das Zielsystem, um unauffällig zu bleiben, das System möglichst wenig zu belasten und möglichst lange im Einsatz zu bleiben.

In den meisten Fällen dauert es bis zu zwei Monate, bis die bekannten Anti-Viren-Programme in der Lage sind, eine neue Form von Malware zu erkennen und unschädlich zu machen oder zu beseitigen. Die aktuellen Formen der Malware wehren sich dagegen damit, dass sie unter Verwendung von aktualisierten Rootkits ihr Vorhandensein und ihre Aktivitäten tarnen.

Malware ist Massenware. Sie fällt bereits deshalb auf, weil sie vielfach zum Einsatz kommt. RFS ist hingegen einmalig, weil sie auf einen bestimmten Zielrechner und für eine ganz bestimmte Aufgabe ausgerichtet ist. Auch sie muss sich tarnen. Die Anforderungen daran sind keineswegs banal, aber lösbar. Wahrscheinlich wird sie aus (mindestens) zwei Komponenten bestehen müssen, eine operative, die die Quellen-Überwachung ausführt, und einer Kontroll-Komponente, die die Bereitschaft und Funktionstüchtigkeit der operativen überwacht.
 

 
Die verschiedenen Einsatzbereiche für eine RFS wurden bereits skizziert ( Tabelle). Die schlichte Überwachung der Internet-Kommunikation (Telefonie, E-Mail-Verkehr, Chat) ist unter den strengen Voraussetzungen des § 100a StPO bereits zulässig.

Die Grenzen der Zulässigkeit werden in der nächsten Stufe dann erreicht, wenn mit Hilfe von Keyloggern und Screenshots nicht nur das Kommunikationsverhalten der Zielperson, sondern auch andere Verarbeitungsvorgänge protokolliert werden. Das reicht in den Anwendungsbereich des § 100c StPO ( Großer Lauschangriff) und soll nach geltendem Recht nicht zulässig sein (5). Das gilt besonders für die aktive Durchsicht (dritte Stufe), bei der es nicht um die Inhalte und Umstände der Telekommunikation geht, sondern um die gezielte Suche nach abgespeicherten Dateien.

Eine gerichtsfeste RFS muss sich auf die Einsatzgebiete beschränken, für die sie zugelassen ist (voraussichtlich durch einen gerichtlichen Beschluss). Das lässt sich nur dadurch überwachen, dass ihre Aktivitäten revisionssicher protokolliert werden und das Protokoll auch einer gerichtlichen Überprüfung zugänglich ist.
 

zurück zum Verweis Einsatzbeschränkungen

 
Soweit die Quellen-Überwachung beschränkt auf die Internet-Kommunikation bereits jetzt im Strafverfahren zulässig ist, muss sie den Kernbereich der privaten Lebensgestaltung wahren ( § 100a Abs. 4, S. 2, 3 und 4 StPO). Er darf nicht überwacht werden. Wird die Kommunikation über Inhalte aus dem Kernbereich dennoch aufgezeichnet und erst später ausgewertet (z.B. weil sie zunächst übersetzt werden müssen), unterliegen die Inhalte aus dem Kernbereich der privaten Lebensgestaltung einem Verwertungsverbot, sind sie zu löschen und ist die Löschung aktenkundig zu machen.

Ungeachtet dessen löst die Maßnahme nach ihrem Abschluss Mitteilungs- und Belehrungspflichten nach § 101 StPO aus.

Verdeckt gewonnene Erkenntnisse aus der Quellen-Überwachung dürfen nur in solchen (anderen) Verfahren verwertet werden, in denen ihre Erhebung auch zulässig ist.
 

 
Die Strafprozessordnung verlangt insoweit nach einer strengen Zweckbindung: § 477 Abs. 2 StPO betrifft den Export verdeckt erlangter Kenntnisse und der neue § 161 Abs. 2 StPO den Import. Soweit andere Verfahrensordnungen auch die Quellen-Protokollierung und -Durchsicht zulassen, dürfen gegenwärtig im strafverfahrensrechtlichen Verfahren nur die Erkenntnisse verwertet werden, die die Kommunikation betreffen und das auch nur dann, wenn die Ermittlungen wegen einer Straftat aus dem Straftatenkatalog des § 100a Abs. 2 StPO geführt werden.

Die damit verbundenen Probleme werden besonders nach der geplanten Einführung der Onlinedurchsuchung in das BKA-Gesetz zu erwarten sein. Mit dem neuen Instrument darf das BKA dann zwar nach besonders gefährlichen Personen im Vorfeld der Strafverfolgung forschen, die dabei gewonnenen Erkenntnisse dürfen dann aber im Strafverfahren nicht vollständig verwertet werden, weil in der StPO eine korrespondierende Eingriffsermächtigung wegen der Protokollierung der Datenverarbeitung und der Online-Durchsicht fehlen.
 

zurück zum Verweis Abschluss Gefahren
 

 
Nach dem Vorbild aller verdeckten Dauermaßnahmen muss auch die Quellen-Überwachung zeitlich begrenzt werden. Daraus folgt, dass auch die RFS nach Ablauf der Überwachungszeit möglichst rückstandsfrei entfernt werden muss.

Die Kernkomponenten werden dabei sicherlich vollständig gelöscht werden können, so dass ein Missbrauch durch Dritte vermieden werden kann. Ob allerdings alle Spuren von der RFS beseitigt werden können, ist fraglich. Auch im Normalbetrieb eines PCs hinterlassen deinstallierte Programme häufig Spuren und Artefakte in der Registrierung, im System-Ordner oder an anderen Speicherorten.

Eine größere Gefahr droht jedoch dem Zielrechner, wenn die Zielperson während der Überwachungszeit ein Backup vornimmt und damit nach der Überwachung eine Neuinstallation seines Systems vornimmt. Damit wird auch nochmals die RFS installiert.
 

 
Die Programmierung einer RFS ist anspruchsvoll und erfordert großes Fachwissen, das nur bei besonders ausgebildeten und qualifizierten Programmierern zu erwarten ist.

Die damit verbundenen Gefahren betreffen weniger den Einsatz der RFS, sondern zwei andere Aspekte:

Wie kann verhindert werden, dass das Wissen, das in die Realisierung einer RFS investiert wird, nicht an Dritte gelangt und von diesen missbraucht werden kann? Das soll keinen Generalverdacht im Hinblick auf Korruption aufkommen lassen, macht aber deutlich, dass ihre Entwicklung unter strengen Sicherheitsvorkehrungen erfolgen muss.
 
Wenn es wirklich gelingt, eine funktionstüchtige RFS zu programmieren, dann ist damit der Beweis erbracht, dass das auch andere mit dem Ziel des Missbrauchs können. Das eröffnet vor Allem der Datenspionage gegen Personen des öffentlichen Interesses und betriebliche Geheimnisse neue Dimensionen, die erschreckend sein können.

Auch der zweite Aspekt ist kein zwingender Grund dafür, die Entwicklung einer RFS zu unterlassen. Er zeigt nur, in welchem Gefahrenumfeld wir bereits leben.
 

zurück zum Verweis Fazit

 
Die Online-Durchsuchung ist ein nachhaltiger und schwerer Eingriff in die persönlichen Freiheitsrechte der betroffenen Zielperson, das steht außer Frage. Im Einzelfall muss jedoch danach unterschieden werden, welche Inhalte beim Quellen-Zugriff protokolliert und überwacht werden sollen. Beschränkt sich die Überwachung auf die laufende Telekommunikation, so ist sie nach geltendem Recht unter den Voraussetzungen des § 100a StPO zulässig, nicht hingegen die Erkenntnisse aus der Protokollierung der Datenverarbeitung der Zielperson uns aus der Durchsicht der auf dem Zielrechner gespeicherten Daten.

Soweit für die Quellen-Überwachung eine auf den Einzelfall zugeschnittene Remote Forensic Software eingesetzt werden soll, wird sie ähnliche Funktionalitäten aufweisen wie die aus dem kriminellen Umfeld gewohnte Malware. Ihr größtes Problem wird die unbemerkte Infiltration und Installation der Überwachungssoftware sein.
  

 
Die Quellen-Überwachung ist eine Ausnahmemaßnahme, die nur begleitend zu anderen Ermittlungsmaßnahmen in Betracht kommt, weil sie bereits umfassende Kenntnisse über die Zielperson und das Zielsystem voraussetzt. Darüber hinaus ist sie nur aus Rechtsgründen eine Ausnahmemaßnahme, sondern auch deshalb, weil sie erhebliche finanzielle und personelle Aufwände verlangen wird, die zu dem erwarteten Erfolg in einem angemessenen Verhältnis stehen müssen.

Die technischen Probleme dabei, eine funktionstüchtige RFS zu programmieren, sind lösbar. Das beweisen die moderne Malware und besonders die, die zur Steuerung großer Botnetze eingesetzt werden.

Unkontrollierte Gefahren für den mit einer RFS infizierten Zielrechner sind besonders dann zu erwarten, wenn sie mit einem Backup nach der Überwachungszeit erneut unbemerkt installiert wird. Darüber hinaus wird ihre Realisierung den Beweis führen, dass auch die missbräuchliche Entwicklung einer "Remote Software" für die Datenspionage mit den verfeinerten Methoden der aktuellen Malware möglich ist, ohne dass man dafür der RFS die Schuld geben kann.
 

zurück zum Verweis Anmerkungen
 


(1) Bestellung bei

(2) Burkhard Schröder, Claudia Schröder, Die Online-Durchsuchung. Rechtliche Grundlagen. Technik. Medienecho, Heise Verlag 2008;
Bestellung bei  

(3) oder hier: Bundesverfassungsgericht: Onlinedurchsuchung

(4) Überwachung der Telekommunikation

(5) GBA. Onlinedurchsuchung;
BGH, Beschluss vom 31.01.2007 - StB 18/06
 

 

zurück zum Verweis Cyberfahnder
© Dieter Kochheim, 29.07.2009