Die Bedeutung von Mindestspeicherfristen für Gefahrenabwehr und Strafverfolgung. Kategorie 1: Anschlussinhaberdaten zur IP-Adresse

Transkript

1 Presseinformation HAUSANSCHRIFT POSTANSCHRIFT Thaerstraße 11, Wiesbaden Wiesbaden TEL +49(0) FAX +49(0) DATUM SEITE 1 von 7 INTERNET Die Bedeutung von Mindestspeicherfristen für Gefahrenabwehr und Strafverfolgung Beispielsfälle aus der polizeilichen Praxis: Kategorie 1: Anschlussinhaberdaten zur IP-Adresse Beispiel Sexueller Missbrauch/Kinderpornografie: Der Fall eines Kindesmissbrauchs sowie die Verbreitung von Kinderpornografie wurden in einem Chatroom offen thematisiert. In allen Fällen stellten die IP-Adressen der Beschuldigten die einzigen Ermittlungsansätze dar. Aufgrund der fehlenden Datenspeicherung beim Provider blieben keine weiteren Ansätze für die Strafverfolgung. Weitere mutmaßliche Missbrauchstaten konnten nicht verhindert werden. In einem anderen Internetforum konnten vor der geänderten Rechtslage zahlreiche Personen wegen des umfangreichen Tausches von kinderpornografischem Bild- und Filmmaterial festgestellt werden. Anhand der IP-Adressen gelang bei den Providern die Identifizierung über die Anschlussinhaberdaten. Der Großteil der 145 Mitglieder dieses Internetboards wurde über die Bestandsdaten der IP-Adressen identifiziert. 17 potentielle Kindesmissbraucher wurden ermittelt. IP Wien teilte im Mai mit, dass in einem Forum ein Hinweis eingestellt wurde, in dem eine vermeintliche Mutter mitteilt, dass ihr Sohn vom Stiefvater missbraucht und in Teilen zu diesem BKA-Pressestelle V. i. S. d. P.: Michael Albertz, Pressesprecher

2 SEITE 2 von 7 Zweck sogar mit Medikamenten ruhig gestellt werde. Ein Username war nicht erkennbar. Ausschließlich die IP-Adresse war sichtbar. Das Auskunftsersuchen wurde noch am gleichen Tag gestellt, jedoch nicht beauskunftet. Weitere Ermittlungsansätze: Eine Überprüfung am gleichen Tag über IP Wien ergab, dass keine Anhaltspunkte für einen weiteren zuzuordnenden Login vorlagen. Aus dem Inhalt des Textes ergaben sich ebenfalls keine Hinweise auf die Identität des Users. Beispiel - Datenveränderung/Computersabotage (DDoS-Attacke): Über eine Distributed Denial of Services-Attacke durch ein Botnetz wurde eine Webseite im Internet attackiert. Diese war daraufhin im Internet nicht mehr erreichbar. Über die Auswertung der Logdaten der angegriffenen Seite konnte ein Command&Control-Server identifiziert werden, der das zum Angriff genutzte Botnetz steuerte. Im Zuge der Auswertung wurden täterseitige Zugriffe auf den Command&Control-Server festgestellt. Die hierbei genutzten IP-Adressen lieferten Anhaltspunkte zur Identifizierung der Täter. Dem BKA wurden in einem solchen Fall beispielsweise aus Luxemburg insgesamt deutsche IP-Adressen übersandt. Allein in Hessen und Nordrhein-Westfalen wurden im weiteren Verlauf zu insgesamt Auskunftsersuchen mangels vorhandener Daten keine Auskünfte erteilt. Die betroffenen Internetnutzer konnten somit nicht davor gewarnt werden, dass sie Teil eines kriminellen Botnetzes sind. Beispiel - Betrug: Der Täter eröffnete mit mehreren falschen Personalausweisen 11 Konten bei 6 verschiedenen Banken und wickelte darüber in Fällen betrügerische Finanztransaktionen ab. Den einzigen Ermittlungsansatz stellten die Anschlussinhaberdaten hinter den dynamischen IP-Adressen dar, die allerdings mangels Mindestspeicherpflicht nicht mehr vorhanden waren. Beispiel - Computerbetrug, Datenveränderung, Computersabotage und Ausspähen von Daten: Das BKA ermittelte gegen ein deutschsprachiges Underground-Forum, in dem insbesondere die genannten Straftaten sowie der missbräuchliche Einsatz von Kreditkartendaten im Internet verab-

3 SEITE 3 von 7 redet wurden. Hierbei konnten insbesondere über die richterlich angeordnete Überwachung einer Webseite Zuordnungen zwischen relevanten Usern (in Bezug auf Straftaten) und den genutzten IP-Adressen getroffen werden. Ohne das kontinuierliche Speichern von Verkehrsdaten wären heute ca. 80 % der Hauptbeschuldigten nicht identifiziert worden. Beispiel - Fälschung beweiserheblicher Daten, Täuschung im Rechtsverkehr bei Datenverarbeitung: Täter nutzten bekannte Daten anderer Personen wie Rechnungsadresse bzw. Vor- und Nachname, um sich bei kostenpflichtigen Internetdiensten anzumelden. Hierbei konnte die Identifizierung der Täter nur über die beim Internetdienst registrierten IP-Adressen erfolgen. Beispiel - Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten: Täter loggten sich mit fremden oder gefälschten Zugangsdaten bei Internet-Providern ein, entsperrten unbefugt sog. SIM-Locks bei Mobiltelefonen und erschlichen sich Zugang zu Telefonanschlüssen, um illegal mit hohen Kosten verbundene 900er-Nummern anzuwählen. Bei der Zugangserschleichung zu Telefonanschlüssen/-anlagen konnte eine Auswertung von Logdaten der entsprechenden Anlage erfolgen, um so den täterseitigen Zugriff festzustellen. Die hierbei festzustellenden IP-Adressen dienten der Identifizierung der Täter. Ohne ein Vorhalten der Daten ist eine Ermittlung der Täter in derartigen Fällen regelmäßig nicht möglich. Beispiel - Hackingangriffe: Angriffe auf den Zentralrechner des Pentagon führten vermutlich zur Veränderung bzw. Ausspähung sensibler Daten. Die Angriffe erfolgten mit einer deutschen IP-Adresse. Der Verursacher des Hackingangriffs konnte nicht ermittelt werden. Beispiele - Amokankündigungen: In einem Onlinespiel wurde von einem User die Ankündigung gepostet, am folgenden Tag einen Amoklauf in München durchführen zu wollen. Über US-amerikanische Behörden wurden umgehend die IP-Adressdaten mitgeteilt. Durch den deutschen Provider wurde jedoch mitgeteilt, dass

4 SEITE 4 von 7 die für eine Identifizierung des Anschlussinhabers erforderlichen Verkehrsdaten bereits gelöscht wurden. Beispiel - Suizidankündigung: Ähnliches gilt für viele im Internet angedrohte Selbsttötungen. Werden diese Drohungen beispielsweise in einem Chat ausgesprochen, kann die Polizei lediglich über den Provider des Chats die genutzte IP-Adresse in Erfahrung bringen. Ohne vorhandene Verkehrsdaten ist die polizeiliche Gefahrenabwehr in diesen Fällen fast immer unmöglich. Beispiel - Angekündigter Sprengstoffanschlag: Seit dem verschickte ein unbekannter Täter über ein Briefzentrum mehr als 100 Briefe, adressiert an Schulen, Universitäten und Privatpersonen im gesamten Bundesgebiet. Er droht darin mit Sprengstoffanschlägen für den Fall der Nichtzahlung einer geforderten Geldsumme. Die Ermittlung des Täters verlief bisher ergebnislos. Mit vom trat der unbekannte Verfasser erstmals mit einem Opfer über dessen Profil im Netzwerk studivz in Kontakt. Der Betreiber des Netzwerkes konnte zwar die genutzte IP-Adresse des Absenders mitteilen. Eine Zuordnung über den verantwortlichen Provider war jedoch mangels gespeicherter Verkehrsdaten nicht mehr möglich. Der Erpresser konnte bisher nicht ermittelt werden. Beispiel - Mord: Die polnischen Behörden fahnden gegenwärtig europaweit nach einem Mörder. Nach bisherigen Erkenntnissen meldete sich der Flüchtige regelmäßig bei seinem Account eines polnischen Sozialen Netzwerks an. Eine Liste der festgestellten IP-Adressen wurde mit der Bitte um Ermittlung der Kundendaten an die deutschen Behörden übermittelt. Eine Zuordnung war ohne die erforderlichen Verkehrsdaten jedoch nicht mehr möglich. Da die deutschen IP-Adressen bislang den einzigen Fahndungsansatz darstellten, konnte der Mörder bisher nicht festgenommen werden. Beispiel - Videoverlautbarung: In einem Internetforum wurde eine Videobotschaft einer Terrororganisation über verschiedene Links zur Verfügung gestellt. Einer dieser Links wurde von einer unbekannten Person unter Re-

5 SEITE 5 von 7 gistrierung der eigenen adresse erzeugt. Eine Abfrage der -Adresse beim zuständigen Provider ergab, dass die Adresse nur einen Tag vor der Veröffentlichung der Verlautbarung registriert wurde. Die bei der Registrierung vergebene IP-Adresse gehörte zum Kontingent eines deutschen Internetproviders. Bei der Abfrage der Kundendaten zu dieser IP-Adresse teilte dieser unter Hinweis auf das Urteil des BVerfG mit, dass die Speicherfrist bereits abgelaufen sei. Ein möglicher Unterstützer der Terrororganisation konnte somit nicht identifiziert werden. Kategorie 2: Verkehrsdatenerhebung i. Z. m. Telefonie Beispiel - Bombendrohungen: Bei einer Klinik ging im letzten Jahr, zum Zeitpunkt, als noch Verkehrsdaten gespeichert wurden, anonym eine telefonische Bombendrohung ein. Nach dem zweiten Anruf wurde die Klinik mit erheblichem Aufwand geräumt. Mehrere schwere Tumoroperationen mussten abgesagt werden. Es entstanden Kosten in Höhe von rund EUR. Die Anschlüsse, von denen die Drohanrufe erfolgten, konnten damals auf Grund der noch vorhandenen Daten zeitnah ermittelt werden. Die Täterin wurde festgenommen. In ähnlich gelagerten Fällen wäre dies unter den aktuellen Bedingungen kaum noch möglich. Nach einer telefonischen Bombendrohung gegen die Ulmer Justiz musste beispielsweise das Justizhochhaus abgesperrt werden. Tausende Bürger und Beschäftigte waren betroffen. Es wurde ein Zielsuchlauf zur Ermittlung des eingehenden Anrufes durchgeführt. Die Ermittlungen ruhen allerdings zurzeit aufgrund der vom Bundesverfassungsgericht erlassenen einstweiligen Anordnung. Der Täter konnte bisher nicht zur Rechenschaft gezogen werden. Beispiel - Anschlagsplanungen einer terroristischen Gruppierung: Im Frühjahr dieses Jahres gingen beim BKA Hinweise amerikanischer und libanesischer Behörden auf Anschlagsplanungen durch Mitglieder einer Gruppe der Fatah al-islam in Deutschland ein. Die durchgeführten Gefahrenabwehrmaßnahmen dienten zunächst nur der Identifizierung und Lokalisierung möglicher Zellenmitglieder in Deutschland sowie zur Auswertung ihrer Kommunikationswege untereinander. Letztlich konnte lediglich eine der genannten Personen in Deutschland identifiziert werden. Alle weiteren Maßnahmen gegen die Gruppe liefen ins Leere, weil die

6 SEITE 6 von 7 retrograden Verkehrsdaten nicht oder nur unvollständig von den Providern zur Verfügung gestellt wurden. Beispiel - Mord an Rentnerin: Eine alleinstehende Rentnerin wurde von ihrer Tochter tot in ihrer Wohnung aufgefunden. Bei der Leichenschau wurden deutliche Hinweise auf Fremd- bzw. Gewalteinwirkung festgestellt. Die Verstorbene hatte in der zurückliegenden Zeit immer wieder verdächtige Telefonanrufe von einer bislang unbekannten männlichen Person erhalten, bei denen eine sexuelle Motivation im Vordergrund gestanden haben soll. Um den unbekannten Anrufer und möglichen Mörder zu ermitteln, wurde eine Auskunft zu allen auf dem Festnetz des Opfers eingegangenen Anrufen beantragt. Solche Daten werden allerdings nach dem Urteil des BVerfG nicht mehr gespeichert. Ein Täter konnte bis heute nicht ermittelt werden. Beispiel - Ermordung eines Hamas-Funktionärs in Dubai: In Deutschland wurde gegen einen Beschuldigten wegen des Verdachts geheimdienstlicher Agententätigkeit und mittelbarer Falschbeurkundung ermittelt. Über gezielte Finanzermittlungen wurde bekannt, dass retrograd noch für ca. 4-6 Monate Gespräche eines Mobiltelefons abgerechnet wurden. Das Auskunftsersuchen ging ins Leere, da die Verkehrsdaten nicht mehr vorhanden waren. Eine Aufhellung der konspirativen Strukturen ist somit bis heute nicht möglich gewesen. Kategorie 3: Standortdaten Beispiel - Mord zum Nachteil eines Polizeibeamten: Nach dem Mord flüchtete/n der/die Täter mit dem PKW des Opfers. Die Tatortarbeit erbrachte keine weiterführenden Hinweise zu Tatverdächtigen, Augenzeugen wurden nicht bekannt. Für einen bestimmten Funkzellenbereich bestand die Annahme, dass der/die Täter das Fluchtfahrzeug nach dem Abstellen verlassen und eine Beförderungsmöglichkeit (z. B. Taxi) per Handy anforderte/n.

7 SEITE 7 von 7 Eine Auswertung der Funkzellendaten war allerdings nicht möglich, da die Daten nach Auskunft des Betreibers nicht mehr vorhanden waren. Diese hätten den aussichtsreichsten Ermittlungsansatz geboten. Der Mörder konnte bis heute nicht ermittelt werden. Beispiel - Banden- und gewerbsmäßige Schleusung: In einem Ermittlungsverfahren wegen banden- und gewerbsmäßiger Schleusung konnten weder der Zielort noch die möglichen Täter bzw. Tatfahrzeuge festgestellt werden. Insgesamt wurden bisher ca. 100 Personen nach Deutschland eingeschleust. Mittels retrograder Verkehrsdaten des mutmaßlichen LKW-Fahrers einschließlich der geografischen Standortdaten zu Beginn einer Verbindung hätte dessen Telekommunikationsmuster analysiert, Kontaktpersonen ermittelt und hieraus Hinweise zu Tatorten, zu weiteren Opfern, Tatzeiten, Routen sowie möglichen Mittätern erlangt werden können. Dies war mangels verfügbarer Verkehrsdaten nicht möglich. Beispiel - Auffinden eines Mordopfers: Unmittelbar an einer Straßenböschung wurde ein zunächst nicht identifiziertes Mordopfer aufgefunden. Nach wenigen Tagen konnte der Mann als 43-jähriger italienischer Staatsangehöriger ermittelt werden, der sich unangemeldet in Köln aufgehalten hatte. Durch italienische Behörden wurde im weiteren Verlauf mitgeteilt, dass das Opfer der Mafia nahe gestanden habe. Im Rahmen der Ermittlungen gelang es drei Monate nach der Tat, den möglichen Tatort und vier mögliche Tatbeteiligte zu ermitteln. Für die Beweisführung wäre es erforderlich, die retrograden Verkehrsdaten aller Verdächtigen auswerten zu können. Das Auskunftsersuchen wurde jedoch nicht gestellt, da die Staatsanwaltschaft Köln die Stellung eines Antrags mangels Erfolgsaussicht unter Hinweis auf das Urteil des Bundesverfassungsgerichts ablehnte. Der vermutliche Mafia-Mord bleibt dadurch weiterhin unaufgeklärt.