Hallo,

im Rahmen meiner Doktorarbeit beschäftige ich mich damit, wie sich das 2008 vom Bundesverfassungsgericht entwickelte Computergrundrecht auf die Datenerhebung und -auswertung im Rahmen von Strafverfahren auswirkt.

Ein Teilaspekt davon ist die sogenannte Online-Durchsuchung. Zu den technischen Aspekten gibt es m. E. sehr gut verständliche Ausführungen des CCC. Irritiert hat mich nun folgendes, und hier bitte ich um Erhellung durch Euch - oder auch gern um die Bestätigung, dass es sich um Blödsinn handelt. Es geht um die Aufspielung des "Staatstrojaners" auf das System eines Beschuldigten.

Im Buch "Die strafprozessuale Online-Durchsuchung" der Staatsanwältin Ursula Redler aus 2012 steht hierzu auf S. 75:

"Die dritte und letzte Möglichkeit der Platzierung würde die Infiltration durch den sogenannten Injection-Proxyserver darstellen. Dieser würde mittels Ferninstallation via Internet auf dem Zielrechner als verdeckter System-Prozess eingebracht werden. Bei dieser Form der Einbringung könnte auch ein rein lesender Zugriff durchgeführt werden, könnten aber auch die gewünschten Daten erhoben und ausgeleitet werden, wobei sowohl Schäden an vorhandenen Datenträgern und Datenbeständen des Zielsystems, als auch eine Vertreitung der installierten Überwachungssoftware als auch insbesondere eine Rückverfolgung aufgrund der Entwicklung der Schadsoftware anhand der oben erläuterten Designkriterien ausgeschlossen werden könn(t)en; dies erbrachten bereits mit dem Grundmodul durchgeführte Tests.

Genauere Informationen zur polizeilichen Vorgehensweise bei dieser tatsächlich realisierbaren Einbringungsmethode können aus ermittlungstaktischem Anlass und Gründen der Geheimhaltungspflicht hier nicht offenbart werden."

Gestützt wird all dies auf Aussagen eines KHK Ernst Wirth vom LKA Unterfranken, die leider im Original nicht veröffentlicht sind.

Gibt es diese für Ermittler wohl perfekte Methode, und wenn ja, wie soll sie funktionieren? Die Erklärung leuchtet mir nicht ein.

Zitat:

Es geht um die Aufspielung des "Staatstrojaners" auf das System eines Beschuldigten.

Der Unterschied zwischen einem Beschuldigtem und einem Verdächtigen ist dir bekannt ?

Zitat:

Dieser würde mittels Ferninstallation via Internet auf dem Zielrechner als verdeckter System-Prozess eingebracht werden.

Das das hart an 303b StGB grenzt ist dir auch bekannt ?

Zitat:

"Die strafprozessuale Online-Durchsuchung" der Staatsanwältin Ursula Redler

Ist das dein Ernst? Staatsanwältin soll eine Quelle für deine Doktorarbeit werden? zumal:

Zitat:

Gestützt wird all dies auf Aussagen eines KHK Ernst Wirth vom LKA Unterfranken, die leider im Original nicht veröffentlicht sind.

Weiter:

Wie zum Teufel soll ein File-Injector legales Einsatzmittel bei der Strafverfolgung sein. Da
sträuben sich mir die Nackenhaare.

Mein Tipp an dich:
Vergiss die Staatsanwältin und den Kriminalhauptkommissar und konzentrier dich auf kompetente Quellen.
Wenn du wirklich eine Doktorarbeit schreibst, dürfen wir auch erwarten, dass du deines zukünftigen Titels würdig bist. Es ist erfreulich dass du nicht einfach wikipedia benutzt hast, sondern auch in diesem Forum nachgefragt hast. Leider kann ich dir keine technischen Tipps geben, dazu fehlt mir die Kompetenz, ich bin nur zur Belustigung der Neulinge hier :-)

Liebe grüsse
Andreas

Danke für deine Antwort.

Ich möchte hier keine juristischen Aspekte diskutieren. Bitte nimm mir das nicht übel. Meine Nachfrage betrifft allein die technische Durchführbarkeit der beschriebenen Infiltrationsmethode.

Zur besseren Einordnung: Die benannte Saatsanwältin ist promoviert und hat ihre Dissertation über die Online-Durchsuchung im Strafverfahren geschrieben, nebst Gesetzesentwurf. Sie findet diese Ermittlungsmethode super und technisch völlig unproblematisch, mit dem Herrn KHK als fachmännischen Erklärer. Ich sehe das anders. Meine Quellen zur technischen Komponente sind bisher diverse Bestände einer Bibliothek am Fachbereich Informatik und die Stellungnahmen zu BVerfGE 120, 274, unter anderem vom CCC. Weil darin aber die hier nachgefragte Infiltrationsmethode so nicht vorkommt, möchte ich verifizieren, ob der Herr KHK sich das zurechtgeschummelt hat, um die Geeignetheit der Maßnahme zu entproblematisieren.

Viele Grüße!

Zitat:

Zitat von Computertyp

Danke für deine Antwort.

Ich möchte hier keine juristischen Aspekte diskutieren. Bitte nimm mir das nicht übel. Meine Nachfrage betrifft allein die technische Durchführbarkeit der beschriebenen Infiltrationsmethode.

Zur besseren Einordnung: Die benannte Saatsanwältin ist promoviert und hat ihre Dissertation über die Online-Durchsuchung im Strafverfahren geschrieben, nebst Gesetzesentwurf. Sie findet diese Ermittlungsmethode super und technisch völlig unproblematisch, mit dem Herrn KHK als fachmännischen Erklärer. Ich sehe das anders. Meine Quellen zur technischen Komponente sind bisher diverse Bestände einer Bibliothek am Fachbereich Informatik und die Stellungnahmen zu BVerfGE 120, 274, unter anderem vom CCC. Weil darin aber die hier nachgefragte Infiltrationsmethode so nicht vorkommt, möchte ich verifizieren, ob der Herr KHK sich das zurechtgeschummelt hat, um die Geeignetheit der Maßnahme zu entproblematisieren.

Viele Grüße!

Danke für deine Antwort. Aber wir haben hier die Grenze meines technischen Sachverstandes schon erreicht. tut mir leid, wenn ich dir nicht weiterhelfen konnte. Viel Erfolg weiterhin wünsch ich dir

Guttenberg war auch "promoviert", dazu kenne ich noch eine ganze Reihe von Leuten mit Doktortitel die so blöd sind dass man sie auf dem Bauernhof nicht in den Schweinestall reinlassen würde (aus haftungsrechtlichen Gründen.. Schweine sind sehr sensibel und beißen Menschen die ihnen zu dumm vorkommen einfach..)

Da du selbst akademisch und forschend tätig sein willst (wozu sonst die Promotion?) empfehle ich folgende Gedankengänge:

- Die Ermittlungsbehörde kontaktiert den ISP des dringend Tatverdächtigen
- Die Ermittlungsbehörde kontaktiert einen Anbieter einer Software die der Tatverdächtige installiert hat
- Die Ermittlungsbehörde spielt einen Software Update auf den Server des Softwareanbieters auf die bei Update Anfragen von der IP des Tatverdächtigens einen "Patch" Ausliefert der den Trojaner enthält.

Da der Server und der Patch mit den korrekten Signaturen des Softwareherstellers versehen sind und der Tatverdächtige dem Softwarehersteller vertraut lässt er zu dass die "Updates" installiert werden. Diese enthalten den Staatstrojaner, der -weil so selten- von der gängigen Antivirensoftware nicht erkannt wird, und da er sich als Standardprogramm (z.B. Internet Explorer) ausgibt auch von eventuell installierter "Personal Firewall" Software nicht erkannt wird bequem alle gewünschten Daten an seine Auftraggeber übermitteln kann.


Technisch also sehr einfach, wobei ich persönlich immer noch glaube dass die Ermittlungsbehörden den Trojaner einfach als Mail (getarnt als Mail eines Freundes) schicken und per Foto oder .doc / .pdf eine typische Sicherheitslücke ausnutzend den Trojaner installieren würden.

Weniger Mitwisser, weniger Aufwand.

(Die früher propagierte Methode beim Verdächtigen einzubrechen und den Trojaner direkt zu installieren ist in Deutschland anscheinend illegal.. angeblich wird sie nicht mehr angewendet, obwohl man damit auch einen "Hardware Trojaner" installieren könnte)


Genau deswegen ist es so wichtig dass der Einsatz von Schnüffelsoftware durch Behörden im Rechtsstaat auf absolute Notfälle begrenzt und sehr genau kontrolliert wird. Oder platt gesagt: besser weder CDU / CSU noch SPD wählen......


In anderen Fällen wurde der Trojaner bei Zollkontrollen einfach von den Beamten direkt auf dem Laptop des Verdächtigen installiert. Daher bei Job-Laptops besser Festplattenverschlüsselung einsetzen, da manche Länder solche "Aktionen" zur Industriespionage verwenden....

Zitat:

Zitat von Juniper25

Das das hart an 303b StGB grenzt ist dir auch bekannt ?

Mein lieber Schorli,
Jegliche Maßnahme des Staates zur Überwachung von Verdächtigen (nicht nur) im Bereich Schwerstkriminalität, Terrorismus, Landesverrat etc. "verstößt" doch gegen irgendwelche Gesetze, gegen Strafgesetze, zum Teil auch gegen Grundrechte.
Alles ist aber - soweit sich die Behörden mal dran halten - wiederum gesetzlich geregelt und fällt dann eben unter Ausnahmen (... gilt solange kein anderes Gesetz ..., Einschränkungen finden sich in §... oder so).
Auch deshalb war und ist der Einsatz des "Staatstrojaner" (der übrigens so weit man weiß kein Trojaner ist!) oder der "große Lauschangriff" ja so umstritten.
Ich habe jetzt leider keine Zeit, aber @ Computertyp, ich würde nicht alles glauben - nicht nur wegen möglicher gezielter Desinformation, sonder auch und vor allem wegen auf allen Ebenen vorkommendem Dummschwatz - was die Staatsanwältin und KHK erzählen, nichtveröffentlichtes kannst du ja außerdem wohl nur schlecht nutzen und wirst dies wohl auch nicht dürfen. Aber ich würde es auch nicht gleich alles abtun.
Wikipedia ist selbstverständlich nur eine sehr unzuverlässige dritt- oder viertklassige Quelle, unbrauchbar wenn etwas wirklich fundiert sein soll.

Aktuell: http://www.zeit.de/digital/datenschu...tz-grundrechte

Hi Computertyp,

trotz meines bescheidenen technischem Verständnis, noch ein paar Bemerkungen von mir ( weil ich das Thema interessant finde)

Du fragst, wenn ich das richtig verstanden habe, vor allem, ob es eine Möglichkeit gibt, über einen Proxy eine Ferninstallation zu erlauben.

Was ein Proxy ist, weiss ich. Ein Gateway, der deine Anfragen unter seiner eigenen IP an die ursprünglich angefragte Addresse weiterleitet. Die Antwort folgt auf die selbe Weise. Angefragte IP => Proxy => dich.

Jetzt mal angenommen, die ursprüngliche URL enthält keinen Schadcode (Exploits oder ähnliches) so fragst du, ob der Proxy Schadcode dazwischenschmuggeln könnte.

Tja, ich will das nicht völlig ausschliessen, aber dann frag ich mich doch, welcher Art von Schadcode das sein könnte.
Eine File Injection setzt ja, (abgesehen von einem Exploit) eine Installation voraus.
Das sollte aber unter Vista und Windows7 zumindest Admin Rechte erfordern, also unter der UAC zumindest die Eingabe des Admin-Passwortes.

Willst du also etwas ferninstallieren, musst du schon auf Sicherheitslücken in den Anwendungsprogrammen warten.

Auch dies will ich nicht ausschliessen, aber alles in allem, erscheint mir das ganze etwas sehr spekulativ.

Ich will weder die Kompetenz der Staatsanwältin, noch des KHK in Zweiffel ziehen, aber ich rate zu gesundem Hinterfragen.

viele Grüsse
Andreas

PS : sollte ich zuviel Blödsinn von mir gegeben haben, bin ich über jede Belehrung dankbar

hi,
hier mal lesen:
The Surveillance Catalog - The Wall Street Journal
das sind, evtl. veraltete Methoden.
Das BKA hat sich wohl Finfisher eingekauft:
Finfisher/Finspy: Bundeskriminalamt kauft Staatstrojaner von Gamma - Golem.de
Kennt man wohl noch von alten Freunden aus Äghypten..

Guten Abend allerseits!

Hier schwingt m. E. großes Misstrauen und ein Stück Verachtung mit, weil ich mich einem emotional sehr aufgeladenen Thema widme.

Das Problem ist nur, dass Online-Durchsuchungen derzeit durchgeführt werden (die Ungewissheiten des Erlaubten beginnen ja schon bei der Quellen-TKÜ), ohne dass es überhaupt eine Rechtsgrundlage gibt. Wie die Ergebnisse dann verwendet werden, ist hochkomplex und in einem Satz auf die Formel zu bringen: Der Staat darf es nicht, aber es gibt keine Fernwirkung für daraus evtl. folgende Beweisverbote (mit anderen Worten: Dass man - rechtswidrig - auf der Festpatte den Mordplan gefunden hat, schauen wir uns nicht mehr an - dass wir aber danach bei einer Hausdurchsuchung den ausgedruckten Mordplan gefunden haben, wird als Beweis verwertet).

Das ist für den Betroffenen misslich. Eine Rechtsgrundlage würde ihm einen Rahmen für Rechtsschutzmöglichkeiten bieten ("Haben sich die Ermittler an die Voraussetzungen der Ermächtigungsnorm gehalten?"). Das verbessert die Situation für alle, die zu Unrecht mit einer solchen Maßnahme belastet wurden und gibt auch dem (zu Recht) Beschuldigten seine Verfahrensrechte wieder, die er bei anderen Ermittlungsmaßnahmen auch hat.

@Shadow
Die Autorin hat es ja veröffentlicht, also wäre es mir sehr Recht, sie der Ungenauigkeit / Lüge überführen zu können. Den KHK vom Hörensagen zitiere ich natürlich nicht.

@W_Dackel
Dass Frau Redler promoviert ist, war kein Argument für ihre Expertise, sondern der Hinweis, dass ich mich mit ihrer Arbeit kritisch auseinanderzusetzen gedenke. Sie hat sich schließlich - ob falsch oder richtig - mit Thesen in den wissenschaftlichen Diskurs gewagt. Das Buch kann man in jeder Buchhandlung kaufen.

Ansonsten: Das ist ein interessanter Ansatz. Danke!

@Juniper25
Ja, genau das meine ich eben auch! Alle Stellungnahmen zur Entscheidung des BVerfG zur Online-Durchsuchung 2008 gehen davon aus, dass man für eine sogenannte entfernte Installation einen "Zugang" zum Zielsystem braucht. Dies ginge per less-than-zero-day-Exploit (muss man erstmal finden oder teuer kaufen), per zu diesem Zweck in bestimmten Programmen eingebauter Backdoor (eher unwahrscheinlich, dass der Hersteller dabei mitspielt) oder über die Mitwirkung des Beschuldigten (Ausführung einer übersandten Datei etc.).
Im Gegensatz hierzu klingt diese beschriebene Proxy-Injection wie das Allheilmittel, aber es ist schlicht technisch nicht möglich und der Hinweis auf die "Geheimhaltung" ist daher Nonsens.

@markusg
Danke!

Hi
soweit ich weis, sind online durchsuchungen im Moment ausgesetzt
außerdem gibt es ja Urteile, des BGH's welche die gränzen klar festlegen:
Verfassungsgericht verbietet Online-Durchsuchung weitgehend - Golem.de
Das Bundesverfassungsgericht
ich neme daher an, ohne jouristischen Sachverstand, dass man als Betroffener klagen kann.

Wegen des einspielens der Malware, es ging da darum, dass über eine Sicherheitslücke bei itunes, der Update Prozess manipuliert wurde, kein HTTPS, was man seitens Apple geendert hatt, aber das müsste ich noch mal nachlesen.

@markusg
Das stimmt leider nicht.

Kurzform:
Das BVerfG hat 2008 Regeln aufgestellt. Nach diesen Regeln war das damals gegenständliche Verfassungsschutzgesetz NRW rechtswidrig. Seit dem sagen die einen, Online-Durchsuchungen seien per se verboten; die anderen sagen, dass sie sich an die Vorgaben des BVerfG halten und es daher dürfen.
Wenn jemand überhaupt mitbekommt, Betroffener gewesen zu sein, kann er das rügen und wird bestenfalls hören: "Ja, das war nicht in Ordnung, aber das nützt Ihnen nichts, denn wir haben danach noch genug andere Beweise gefunden, die uns reichen, Sie zu verurteilen." Wahrscheinlicher ist aber, dass er hört: "Es war alles ok, weil die Vorgaben des BVerfG eingehalten wurden." So steht es in allen aktuellen Gerichtsbeschlüssen zur Quellen-TKÜ, bei der ja auch ein "Abhörprogramm" auf dem Rechner des Beschuldigten installiert werden muss (Rechtsgrundlage hier - sehr umstritten aber gerichtlich gehalten - die Vorschriften zur Telekommunikationsüberwachung).

Übrigens reden wir hier vom Strafverfahren, nicht von Gefahrenabwehr etc. - das ist prozessual ein gewaltiger Unterschied.

Jetzt würde ich aber gern (nur noch) über technische Fragen reden.

Hi
wie gesagt, das war keine rechtliche Einordnung meinerseits, da ich kein jourist bin.
Zu den früheren technischen Möglichkeiten solltest du was im zweiten link von mir lesen können, welche Techniken momentan genutzt werden, wird man wohl erst rausfinden, wenn ein weiteres exemplar in fähige Hände gerät.

Die Erklärung der Staatsanwältin zu dem Proxy Verfahren klingt -bestenfalls- nach Nebelkerzen.

Ich habe dir das Verfahren das nach meiner Ansicht ihren Ausführungen am nächsten kommt in meinem Beitrag geschildert.


Wenn ich jetzt aber Fahnder wäre und so ein Spionageprogramm platzieren wollte würde ich zuerst mal die üblichen Verfahren ausprobieren:

Über soziale Kontakte (per Facebook / Mail im Namen eines Freundes oder Bekannten eine Datei schicken... vielleicht sogar eine .exe ). Das sind die social engineering Methoden mit denen Geheimdienste laut Heise sehr erfolgreich Daten aus allen möglichen Behörden und Firmen abgreifen konnten.

Wenn die Zielperson ihren Rechner nicht sorgfältig "patcht" kann man auch versuchen eine "drive by" Infektion herbeizuführen, z.B. indem man den Datenverkehr der Zielperson über einen Proxy umleitet und bei Aufruf von geeigneten Seiten ein entsprechendes Skript startet...

Alle diese Methoden sind deutlich weniger aufwändig als die Methode die ich oben genannt habe.


Die Rechtsauffassung (vor allem in Unionskreisen) zu Grundgesetz und Überwachung macht mir seit längerem Sorgen, da sie in meinen Augen unseren Rechtsstaat aushöhlt.. und was der wert ist sieht man sehr schnell wenn man sich bestimmte Länder ansieht in denen das Prinzip nicht strengstens durchgehalten wird (z.B. der Fall Pussy Riot...) .

Zitat:

Zitat von W_Dackel

Wenn die Zielperson ihren Rechner nicht sorgfältig "patcht" kann man auch versuchen eine "drive by" Infektion herbeizuführen, z.B. indem man den Datenverkehr der Zielperson über einen Proxy umleitet und bei Aufruf von geeigneten Seiten ein entsprechendes Skript startet...

Das würde aber voraussetzen, dass 1. ein Exploit beim User vorhanden ist (zB die aktuelle Java-Geschichte) und 2. dass der User eine bestimmte Seite aufruft, oder? Wenn der Firefox mit zB NoScript-Addon läuft, dürfte das schwierig werden.

Kann man ohne Mithilfe des ISP den Traffic denn überhaupt über einen Proxy leiten (ohne dass man bereits im System des Users rumbasteln konnte)?

Hi

Zitat:

Kann man ohne Mithilfe des ISP den Traffic denn überhaupt über einen Proxy leiten (ohne dass man bereits im System des Users rumbasteln konnte)?

ICANN könnte, wenn sie wollten

Ich wäre mir nicht sicher, ob Sicherheitslücken in der Software der ISPs das nicht möglich machen würden.
Erscheint jetzt fragwürdig, aber wieviele namhafte Grossunternehmen hatten schon Sicherheitslücken? :-)

Prinzipiell halte ich es für denkbar mit einem 0Day-Exploit auch das System auf einen Proxy zu leiten. Es gab in der Vergangenheit genug Beispiele für Umleitungen in die Ukraine oder sonstwohin. Zum Glück waren die in der Regel in den OTL-Logs unter den O17 einträgen zu sehen.

Aber deine ursprüngliche Skepsis bleibt berechtigt.
Es ist ein grosser Unterschied, ob ein Malwareautor ein Netz auslegt, um möglichst viele dumme Fische zu fangen, oder ob ein Ermittler eine Angel auslegt, um einen bestimmten Fisch zu fangen.

Technisch halte ich es für unwahrscheinlich OHNE Mithilfe des ISPs auf einen Proxy umzuleiten, und selbst dann? Watt Nu ? Jetzt hat man also die URL des Anfragers auf dem Proxy gelesen.
Schön.
Ein File da zu installieren, erfordert eine neue Anfrage des Ausgängers.
Angenommen er ist so blöd, dies zu tun:

Jetzt hätte also die Ermittlungspartei einen Zugang. Aber was für einen?
Dateien auszulesen ist nicht schwer, aber sie auszuwerten sehr wohl.
Nehmen wir also an, sie haben vollen Zugriff auf die Dateistruktur, vollen Zugriff auf alle Mail-Kontakte, alle Facebook Freunde usw.

Technisch wäre es also durchaus möglich, aber die Technik betrifft ja auch die Auswertung.
Deswegen würde ich mich W_Dackel anschliessen : " Nebelkerzen"

Ausserdem würde ich dir den Rat geben, dich direkt mit dem CCC in Kontakt zu setzen. Die haben erfahrungsgemäss eine sehr offenes Ohr für Fragestellungen dieser Art.

viele Grüße
Andreas