Helfershelfer räumen ein: Abmahnungen einträglicher als verkaufte Musik

Was Kritiker des deutschen Abmahnrechts schon länger vermuteten, gesteht nun auch eine Firma ein, die potentiellen Abmahnbetrügern das technische Handwerkszeug zur Verfügung stellt: Durch Abmahnbetrug, also das missbräuchliche Nutzen der zivilrechtlichen Abmahnung um gezielt Geld abzuzocken, lässt sich schneller und leichter Geld verdienen als durch den regulären Vertrieb von Immaterialgütern.

Darüber berichtet Gulli.com, nachdem man auf (inzwischen aus dem Netz genommenen) Werbepräsentationen von Digi Rights Solutions GmbH aufmerksam wurde. Einer Firma die Tauschbörsen nach potentiellen Rechteverletzern und möglichen Abmahnkandidaten ausspäht. Oftmals mit durchaus fragwürdigen Methoden. Und die auf ihrer Website etliche Abmahnkanzleien als „Partner“ aufführt.

So Gulli.com:

Eine PowerPoint-Präsentation des Unternehmens könnte den Eindruck erwecken, als wären Abmahnungen nicht vom Gesetzgeber dafür geschaffen worden, um eine formale Aufforderung zu verschicken, damit ein bestimmtes Verhalten zukünftig unterbunden wird. Vielmehr erscheint es fast so, als wäre der Vertrieb von urheberrechtlich geschützten Werken überflüssig. Man veröffentlicht sie und wartet auf die Filesharer, die sich wie Goldfische auf das Brot stürzen, das man ins Wasser wirft.

So wird möglichen Kunden vorgerechnet, wie man mit Hilfe von Abmahnungen bedeutend mehr Geld „verdienen“ (eher abgreifen) kann, als mit ehrlichen und redlichen Geschäftspraktiken sowie ohne Anwaltskanzlei und digitalen Helfershelfern im Hintergrund.

Der Gulli-Artikel zeigt einmal mehr wie reformbedürftig das deutsche Immaterialgüterrecht an sich inzwischen geworden ist. In seiner jetzigen Form verkommt es zunehmend zu einer Grauzone in der sich Nepper, Schlepper, Bauerfänger – kurz Wirtschaftskriminelle aller Art tummeln.

Gleichzeitig ist dies einmal mehr ein Warnsignal an allzu sorglose Tauschbörsennutzer, sich der Datenspur bewusst zu sein, die sie dort hinterlassen. Und sich rechtzeitig um persönlichen Datenschutz und informationelle Selbstverteidigung zu kümmern.

Die von Gulli.com ausgewerteten Werbematerialien sind inzwischen nicht mehr abrufbar. Sie wurden der Firma wohl doch zu heikel bzw. werden wohl nur noch an persönlich bekannte Interessenten herausgegeben.

Update vom 15.10.2009:
Inzwischen ist die im Artikel erwähnte Präsentation über Wikileaks erreichbar geworden und hat auf internet-law.de zu einem Artikel geführt, dessen Autor meine Ansicht zu teilen scheint. Zum „Geschäftsmodell Filesharing-Abmahnungen“ hat sich zudem im XING-Forum „Gewerblicher Rechtsschutz“ eine Diskussion dazu entwickelt, in der sich Anwälte darüber austauschen, wie mit Abmahnbetrügern rechtlich verfahren werden kann.

Backtrack 4 – Das Hacker-Linux auf der Heise-CD

Vor einigen Tagen erschien das diesjährige ct-Sonderheft Security. Es bietet ein sattes Paket an Informationen, Anwendungen und Hilfestellungen zum Thema IT-Sicherheit. Thematisiert werden u.a. der Kampf gegen Viren, bedrohte Privatsphäre, Verschlüsselung, sicheres Surfen, gefahrloses Online-Banking und die Suche nach Schwachstellen in der IT-Infrastruktur.

Für letzteres liegt eine DVD bei, die unter anderem eine bootbare Version von Backtrack 4 enthält.  Dabei handelt es sich um das BackTrack 4 Pre Final Kernel Update, das auf remote-exploit schon seit einiger Zeit als Pre Release in der Fassung pwnsauce Pentesting and Auditing Verrszum Download bereitsteht. Technisch steckt ein Ubuntu-8.10-Linux als Basis dahinter. Enthalten sind etwa 300 Tools für Sicherheitsexperten und Datenforscher. Sie sind im Backtrack-System als Menüstruktur angelegt, die sich am Arbeitsablauf eines IT-Sicherheitsexperten orientiert.

Die zahlreichen Werkzeuge erfordern zum Teil profundes Security-Fachwissen, so dass ich mich in manches erst einarbeiten muss. Dafür aber ist die bootbare CD (oder ein aus dem Internet gezogenes ISO-Image) bestens geeignet. Man kann mit dem System herumexperimentieren ohne eine bestehende Systeminstallation zu gefährden. Faszinierend, dass eine so umfangreiche und mächtige Werkzeugsammlung legal kostenlos zu haben ist.

Ein entsprechend angepasstes Repository an Software ermöglicht es, vorhandene Applikationen zu aktualisieren oder neue nachzuinstallieren. Freilich erst dann, wenn man das System tatsächlich auf einem Rechner installiert.

Warum hat eigentlich noch niemand ein Backtrack-Buch geschrieben? Wo doch sonst jede Linux-Distribution mit (mindestens) einem eigenen Fachbuch bedacht wird.

Bundesrat segnet BSI-Gesetz ab

Zum Jahresanfang ging das neu geplante „Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes“ als neuer Ansatz zur Errichtung einer weiteren Vorratsdatenspeicherung negativ durch die Presse. Zu lange währt schon der stetige Abbau von Onlinerechten der Bürger, so dass inzwischen eigentlich jede netzbezogene Regulierungsaktivität des Staates auf harsche Kritik stößt.

Inhaltlich soll das BSI-Gesetz dazu dienen, das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu einer Art Leitzentrale für die Analyse und Abwehr von Angriffen auf die IT-Infrastruktur von Bundesbehörden auszubauen. Dies ist auch Bestandteil des BSI-Programms zum Schutz Kritischer Infrastrukturen in Deutschland, zu denen auch Bundesbehörden zählen.

Gestern wurde nun im Bundesrat eine in wesentlichen Teilen entschärfte Version des Gesetzes beschlossen. Vor drei Wochen  hatte bereits der Bundestag das neue BSI-Gesetz verabschiedet.

Auf Grundlage des neuen Gesetzes darf das BSI künftig zur Bekämpfung von Schadprogrammen alle Protokolldaten unbegrenzt speichern und auswerten, die bei Online-Kommunikation zwischen Bürgern und Bundesbehörden anfallen. Dazu zählen insbesondere identifizierende Verbindungsdaten wie IP-Adressen oder Mailadressen (auch wenn für Letztere eine Pseudonymisierung vorgesehen ist).

Grundsätzlich sollen so Schadprogramme aufgespürt und ausgefiltert werden. Waren denn die Behörden bisher ohne Firewall, Virenkiller, Spamfilter und IDS ans Internet angebunden?

Kritischer zu sehen waren andere Punkte des Gesetzes, so z.B. die allgemeine Befugnis des BSI zur Übermittlung der gefundenen Daten an Ermittlungsbehörden. Dafür sowie für die Weitergabe von „Zufallsfunden“ im Datenstrom wurde nun ein Richtervorbehalt ins Gesetz geschrieben. Hinzu kommen nachträgliche Benachrichtigungspflichten an betroffene Bürger.

Nachgebessert hatte das Parlament auch beim Schutz des sog. „Kernbereichs der privaten Lebensgestaltung“, den Verfassungsrichter regelmäßig als von staatlicher Überwachung freizuhalten reklamieren. Um etwaige Eingriffe durch die Gesamtspeicherung von Kommunikationsdaten möglichst gering zu halten, sollen die diesen Bereich betreffenden Erkenntnisse „unverzüglich“ (d.h. praktisch ohne schuldhafte Verzögerungen) wieder gelöscht werden.

Für die Kommunikation von zeugnisverweigerungsberechtigten Berufsgruppen mit der Bundesverwaltung wurde zudem ein Beweisverwertungsverbot eingefügt. Allerdings mit der Einschränkung einer „Verhältnismäßigkeitsprüfung“, durch die eine Hintertür entsteht, um auch Daten solcher Berufsgruppen letztlich doch auswerten zu können.

Eine weitere, besonders stark umstrittene, Absicht des ursprünglichen Gesetzesentwurfs, nämlich die Verpflichtung von Telemedienanbietern zur Speicherung von Nutzerdaten zum Zwecke der „Störungsbekämpfung“ wurde aufgegeben.

Wird so das BSI zu einer allmächtigen Kontrollbehörde? Tendenziell eher nicht. Das Behörden, ähnlich wie auch Unternehmen, erhaltene Kommunikationsdaten auf Gefahren für ihre Infrastruktur prüfen, ist an sich seit Jahren notwendiger Bestandteil jedes Sicherheitskonzepts. Zudem müssen in Unternehmen viele eingehende Daten und Dokumente zur Erfüllung von Nachweispflichten über Jahre hinweg revisionssicher langzeitarchivieret werden.

Dennoch bei einer Regierung, die in nahezu jedes Gesetz auch fachfremden Unsinn, handwerkliche Mängel sowie oft genug grobe Verletzungen der Grundrechte einbaut, kann man nicht vorsichtig genug sein. Der Widerstand der Datenschützer und Bürgerrechtler gegen die ursprüngliche Version des Gesetzes war erfolgreich.

Heise.de: Bundesrat billigt BSI-Gesetz

Gulli.de: abgesegnet, durchgewunken!

Heise.de: Bundestag beschließt neues BSI-Gesetz

Heise.de: Datenschützer protestieren gegen Ausweitung der Vorratsdatenspeicherung

Plant der Staat ein Förderprogramm für Kinderpornografie?

In der Krise stehen reihenweise Unternehmen beim Staat an, um sich per Kredit, Bürgschaft oder anderer Förderung unter die Arme greifen zu lassen. Meist läuft das aber aufgrund der formalen Verfahren und den Prüfungen bis rauf auf EU-Ebene zumindest recht öffentlich ab.  Im Wochentakt berichtet die Presse darüber.

Etwas klandestiner verläuft dagegen seit einiger Zeit die Einrichtung eines „Förderprogramms“ der besonderen Art zur finanziellen Stabilisierung der kommerziellen Kinderpornografie auf Kosten des Steuerzahlers.

Dazu gab die Piratenpartei Deutschland kürzlich eine Pressemeldung heraus, die ich hier wiedergebe. Es bleibt jedem selbst überlassen, ob er in den darin kommentierten Plänen unserer Regierung nur Dummheit und Ignoranz sieht. Oder aber eine tiefergehende Absicht …

Internet-Sperren helfen Straftätern

Das von der Bundesregierung geplante Gesetz zur Bekämpfung der Kinderpornografie im Internet schadet nach Ansicht der Piratenpartei dem eigentlichen Zweck. Durch das Sperren werden Listen mit brisanten Seiten generiert, die als eine Art „Einkaufsliste“ von Straftätern missbraucht werden können und zudem als Frühwarnsystem für Betreiber illegaler Inhalte dienen.

Mit frei zugänglichen Netzwerk-Werkzeugen lässt sich mit geringem Aufwand, völlig automatisch die Liste der brisanten, gesperrten Seiten ermitteln, und damit eine Art „Kinderpornografie-Katalog“ erstellen. Auf diese Art wurden bereits Sperrlisten in anderen Ländern trotz strenger Geheimhaltung ermittelt und kursieren seitdem im Internet. Das wird nach unserer Einschätzung auch mit der deutschen Sperrliste der Fall sein. Der Zugang zu kinderpornographischen Angeboten würde so sogar erleichtert statt erschwert.

Andreas Blochberger von der Piratenpartei erklärt: „Für Betreiber illegaler Seiten eröffnen Internetsperren außerdem die Möglichkeit, zu überprüfen, ob ihr Angebot bereits unter Verdacht geraten ist. Damit wird den Betreibern ein Frühwarnsystem an die Hand gegeben, welches die Strafverfolgung massiv erschwert.“

Jens Seipenbusch, stellv. Vorsitzender der Piratenpartei erklärt zu dem Vorhaben: „Am 18. Juni soll im Bundestag die zweite und dritte Lesung zum Gesetz stattfinden, damit es noch vor der Sommerpause abgesegnet werden kann. Die auffällige Eile und die Tatsache, dass die Lesungen an einem Tag zusammengelegt werden, legen die Vermutung nahe, dass hier schnell ein Gesetz unter fadenscheinigen Vorwänden durchgepeitscht werden soll, noch bevor die öffentliche Debatte stattgefunden hat. Die Online-Petition gegen das Gesetz mit knapp 120.000 Unterzeichnern ist einmalig und sollte von der Regierung ernst genommen werden!“

Die Piratenpartei fordert die Regierung auf, Kindermissbrauch und dessen Dokumentation im Internet effektiv aber ausschließlich mit rechtsstaatlichen Mitteln zu bekämpfen: Da kriminelle Angebote gelöscht werden müssen, gibt es keinen Grund, sie bloß zu verstecken. Gegen die Täter muss wirksam strafrechtlich ermittelt werden. Die internationale Zusammenarbeit im Sinne der Kommunikation der Sicherheitsbehörden zum Abschalten der Angebote muss verbessert werden. Grundgesetzwidrige Maßnahmen oder das Umgehen der Gewaltenteilung sind in diesem Zusammenhang absolut nicht hinnehmbar. Die kontraproduktiven Vorschläge der Bundesregierung müssen gestoppt werden.

FoeBud-Seite zum Thema Internetzensur

Arbeitskreis Internetzensur

Wie Provider und Registrare an der Internet-Kriminalität verdienen

In den meisten Ländern, in denen es breitbandige Internetzugänge gibt, sind Dinge wie der Handel mit Kinderpornografie, gestohlenen Kreditkartendaten oder der Versand von Spam-Mails illegal. Daher nutzen die Betreiber solcher Systeme zunehmend technische Möglichkeiten zur Verschleierung ihres Tuns. Ein wichtiges Mittel dabei sind Botnetze sowie die Rechner zu ihrer Steuerung (command & control server, kurz C&C-Server). Ein weiteres Instrument zum Betreiben von IT-Infrastrukturen für illegale Zwecke sind Fast-Flux-Netzwerke.

Das Institut für Internet-Sicherheit hierzu:

Fast-Flux bezeichnet eine Technik, um Aufrufe einer Domain an viele verschiedene IP-Adressen weiterzuleiten. Dabei werden die IP-Adressen, die der Domain zugewiesen sind, mit dem Round-Robin-Verfahren gewechselt und die DNS Ressource Records mit einer extrem kurzen Time-To-Live (TTL) versehen. Dadurch kann die IP-Adresse einer Domain etwa alle 3 Minuten wechseln. Fast-Flux-Netzwerke werden hauptsächlich verwendet, um die Kommunikation von Botnetzen zu verbergen.

Die Rechner auf die dann wechselnd umgeschaltet wird, sind Bestandteil eines Botnetzes (sog. Zombie-PCs). Die Botnetz-Betreiber sorgen dafür, dass Domain-Namen ihrer illegalen Webangebote mit dem Beutesystem in Verbindung gebracht werden. Der Zombie-PC leitet eingehende Anfragen dann an den eigentlichen Webserver weiter, stellt aber selbst keine illegalen Daten bereit (das wäre zu auffällig). Da Zombie-PCs aber (zumindest kurzfristig) als Server im WWW agieren, werden hierfür meist solche Beutesysteme ausgewählt, die mit einer IP-Adresse längerfristig und mit hoher Bandbreite ans Internet angebunden sind. Von den teils hunderttausenden Zombie-PCs in einem großen Botnetz werden für das Fast-Flux-Netz daher oft nur einige tausend genutzt.

Somit können Sicherheitsexperten im Kampf gegen Botnetze den eigentlichen Endpoint-Server schwerer aufspüren um dafür zu sorgen, dass er vom Netz genommen wird. Der vorgeschobene Zombie-Host kann bei Bedarf auch schnell gewechselt werden. Bis Ermittler illegale Inhalte und Dienste überhaupt bemerken, hat der entsprechende Server längst wieder seine Adresse geändert. Auf diese Weise kommt man an die illegalen Server kaum noch heran.

Auch der Fachinformationsdienst IT-Grundschutz weist auf eine rapide Zunahme des Einsatzes von Fast-Flux-Netzwerken durch Cyber-Kriminelle hin. Die Technik dieser Netze erlaubt es, Systeme für Phishing- und Malware-Attacken mithilfe von Netzwerken aus gehackten Computern vor Gegenmaßnahmen zu schützen. Die Struktur der Fast-Flux-Netze verändert sich permanent im Minuten- bis Sekundentakt.

Das aber macht das Geschäft mit den Botnetzbetreibern für Internet-Provider interessant. Denn die vielen benötigten Domains zum Umschalten sowie der, im laufenden Betrieb alle paar Minuten stattfindende, Umschaltprozess selbst lassen die Kassen der Provider über entsprechende Gebühren klingeln. Die Kriminellen haben mit diesen Gebühren kein Problem – sie bezahlen sie ohnehin mit fremden Geld (meist gestohlenen Kreditkarten). Das entlastet nicht nur das Budget, sondern lässt auch Ermittlungen über diesen Weg ins Leere laufen.

(unangenehm für den rechtmäßigen Eigentümer der Kreditkarte, wenn ihn die Kripo vorlädt und wissen will, warum er im letzten Monat fünfzig Gigabytes Kinderporno-Traffic zwischen Russland und den USA hin- und hergeschoben hat … )

Technisch laufen die Anmeldungen und Änderungen von Domain-Namen bei den Registraren, die Domain-Namen an Endkunden verkaufen, über voll automatisierte Schnittstellen ab. Nur so ist es überhaupt möglich, die derzeitige Flut von etwa zehn Millionen Änderungen von Zuordnungen Domain zu IP-Adressen im globalen DNS-System überhaupt abwickeln zu können.

Wobei Fachleute wie der IT-Sicherheitsexperte Lutz Donnerhacke empfehlen, beim Umschalten schlicht eine Bremse einzubauen, die Fast-Flux-Netzwerke zu Slow-Flux-Netzwerken machen würde: „Eigentlich ließe sich das Problem leicht lösen. Es genügt, die möglichen Änderungen auf ein paar Mal am Tag zu begrenzen oder zwischen Änderungen eine Wartezeit von 60 Minuten einzubauen“

Eine solche Begrenzung gibt es zum Beispiel bei der zentralen deutschen Registrierungsstelle Denic. Dem Internetverwaltung Icann liegt bereits seit 2005 ebenfalls ein entsprechender Maßnahmenkatalog vor.

Die Umsetzung dieser Idee aber wird von großen Registraren wie Verisign verhindert, so Donnerhacke. Bei täglich 100.000 Domain-Neuanmeldungen allein über Verisign verdienten diese Registrare sehr viel Geld – bei Verisign etwa 4-7 $ pro Umschaltvorgang.

Die Internetverwaltung Icann hat zwar eigentlich Verträge mit den Registraren geschlossen, die solche Praktiken ausschließen. Dennoch reicht ihre Macht offenbar nicht aus, die Registrare und Provider auch dazu zu zwingen, nur noch korrekte Registrierungen vorzunehmen. Überhaupt mahlen die Mühlen der Internetverwaltung um einiges langsamer als das dynamisch sich entwickelnde neue Medium Internet.
Damit stellt sich in der Diskussion um Netz-Sperren und Möglichkeiten effektiver Bekämpfung von Kinderpornografie die Frage, warum man nicht zu wirklich wirksamen Mitteln greift. Zumal über diese bereits seit Jahren in der Fachwelt diskutiert wird. Wer Provider rechtlich dazu zwingen will, unsinnige Zensurlisten zu verarbeiten, könnte ebenso gut auf Interventionsinstrumente wie das erwähnte Domain-Umschalten mit Wartepause a’la Donnerhacke dringen, durch welches die Fast-Flux-Tarnschirme der Cyber-Crime-Society zum Zusammenbrechen gebracht werden könnte.

Doch die Provider geraten zunehmend unter Druck. So berichtete Heise.de kürzlich, dass die US-Aufsichtsbehörde Federal Trade Commission (FTC) den angeblich an der Verbreitung von Spam, Malware und Kinderpornografie beteiligten Internet Service Provider Pricewert LLC einstweilig vom Netz hat nehmen lassen. Auch C&C-Server zum Steuern von Botnetzen wurden laut FTC dort gehostet.

Süddeutsche.de: Kinderpornographie im Netz – Adressen mit Wartezeit

Informationsdienst IT-Grundschutz: Wachsende Gefahr durch Fast-Flux-Netzwerke

Heise.de: US-Gericht nimmt Internet Service Provider vom Netz

Computerwoche.de: Fast-Flux-Netze, Botnetze tarnen Cybercrime-Webseiten

Weitere Aushöhlung des Fernmeldegeheimnisses durch Beschlagnahmung von Mails

Dem Fernmeldegeheimnis scheint in unserem Land ein ähnliches Schicksal wie dem Bankgeheimnis zu blühen: Es wird durch Politik, Gesetzgebung und Rechtsprechung immer weiter aufgeweicht, bis es nur noch pro Forma existiert aber keinen Cent mehr wert ist.  Darüber wurde hier bereits berichtet.

Inzwischen ist ein weiteres Urteil zur Entwertung des Fernmeldegeheimnnisses ergangen. Der Bundesgerichtshof hatte in einem Revisionsverfahren über einen Fall zu befinden (BGH, Az. 1 StR 76/09), in dessen Verlauf ein Instanzgericht ein Urteil maßgeblich basierend auf beschlagnahmten E-Mails fällte. Diese Mails waren zuvor von polizeilichen Ermittlern einfach beschlagnahmt worden, ohne dabei den besonderen rechtlichen Anforderungen an eine Telekommunikationsüberwachung gerecht zu werden. Der Verurteilte griff dies in dem Revisionsverfahren an.

Der BGH kam jedoch zu dem Ergebnis, dass die Beschlagnahmung und Auswertung der Mails aus der Mailbox des Betroffenen rechtens war. Es hätte gar keine Telekommunikation stattgefunden, deren Überwachung strengen Regeln unterworfen gewesen wäre. Stattdessen hätten die Ermittler lediglich gemäß § 99 StPO eine „Postbeschlagnahmung“ durchgeführt. In dieser Phase der Ermittlungen sei der Zugriff „vergleichbar mit der Beschlagnahme beispielsweise von Telegrammen“, erläutern die Richter.

Dr. Marc Störing erklärt hierzu auf Heise Online:

Seit langem diskutieren Juristen die Frage, unter welchen Voraussetzungen der staatliche Zugriff auf E-Mails, die in der Mailbox ruhen, zulässig ist. Soll die Nachricht während der Phase der Speicherung in der Empfänger-Mailbox beim Provider als Telekommunikation gelten, wäre sie nur nach Maßgabe des Paragraphen 100a der Strafprozessordnung (StPO) überwachbar. Er setzt Strafverfolgern verhältnismäßig hohe Hürden. Sollte hingegen die E-Mail während des Ruhens in der Mailbox nicht als Telekommunikation gelten, kann sie nach Paragraph 94 StPO beschlagnahmt werden – mit deutlich niedrigeren rechtlichen Voraussetzungen.

…

Soweit bislang Instanzgerichte mit der Frage beschäftigt waren, ergingen zwar ganz unterschiedliche Entscheidungen. Jedoch wählten nur die wenigsten Gerichte den Weg über die Postbeschlagnahme nach Paragraph 99 StPO. Zu wenig passend erschien der dort erlaubte Zugriff auf „Postsendungen und Telegramme“. Für Beobachter der Auseinandersetzung um Grenzen des staatlichen Zugriffs auf E-Mails kam die Entscheidung damit jedoch nur bedingt überraschend. Denn zwei der beteiligten BGH-Richter vertraten in eigenen wissenschaftlichen Veröffentlichungen bereits zuvor die Auffassung, ein Zugriff sei unter den geringeren Voraussetzungen der Postbeschlagnahme zulässig.

So entsteht durch Rechtsprechung und Auslegung der Gesetze neben § 94 StPO (Beschlagnahmung von Gegenständen, z.B. ein Rechner mit Maildaten darauf) eine weitere Rechtsnorm, mit deren Hilfe das Fernmeldegeheimnis legal unterlaufen werden kann. Immer mehr kristallisiert sich somit die Richtung heraus, dass das Fernmeldegeheimnis sowie die strengen Auflagen einer TK-Überwachung gemäß § 100a StPO nur den Transfervorgang von Mails schützt, während hingegen gespeicherte Mails beim Sender und Empfänger keinen besonderen rechtlichen Schutz genießen.

Auch die Provider treibt das um. Denn auch die bei ihnen gehosteten Mailboxen ihrer Kunden unterliegen damit nicht mehr dem Schutz des Fernmeldegeheimnisses. Herabgesetzte Hürden für einen staatlichen Zugriff auf E-Mails könnten die Begehrlichkeiten und damit die anfallende Arbeit für die Provider erhöhen.

Zudem wird diese Entwicklung der Rechtsprechung die erheblichen Investitionen in Frage stellen, zu denen die Telekommunikations-Überwachungsverordnung (TKÜV) die Provider rechtlich zwingt. Diese vom Bundesministerium für Wirtschaft erlassene Rechtsverordnung schreibt TK-Anbietern detailliert vor, welche Technik sie bereithalten müssen, um eine staatliche Telekommunikationsüberwachung zu ermöglichen. Doch dabei bezieht sich die TKÜV auf TK-Überwachungen nach Paragraph 100a StPO.

Mit den „Schleichwegen“ § 94 und 99 StPO wird sich der komplizierte Weg einer TK-Überwachung nach § 100a StPO in vielen Fällen erübrigen. Stattdessen wird man sich die Daten einfacher und schneller durch Hausdurchsuchungen und Beschlagnahmung von Rechnern sowie Mailbox-Logins beschaffen.

Auch die Diskussion um die Reichweite des Fernmeldegeheimnisses bei privater Internetnutzung in Unternehmen sowie des Zugriffes auf abgerufene bzw. auf Firmenservern gehostete Mails, wird dadurch um weitere Aspekte „bereichert“.

Der verringerte rechtliche Schutz wird auch damit gerechtfertigt, dass es ja Sache des Anwenders selbst ist, die Daten in seinem Herrschaftsbereich angemessen zu sichern.

Eine sehr gute Form „angemessener“ Maildatensicherung kann dabei wir folgt aussehen: Man nehme einen USB-Stick, speichere Truecrypt als Anwendung darauf, lege einen Truecrypt-Container an, packe da eine Installation von Thunderbird Portable Edition hinein und konfiguriere damit seinen POP3-Mailzugang.

Als Ergebnis erhält man einen persönlichen, mit starker Verschlüsselung geschützten mobilen Mailclient, der an jeden Rechner mit Internetzugang angesteckt und benutzt werden kann, ohne auf dem Rechner selbst Spuren zu hinterlassen.

Man sollte den Truecrypt-Container allerdings regelmäßig per Backup sichern – sonst ist das Mailarchiv weg, wenn der Stick verloren geht.

Warum Logfiles immer mehr an Bedeutung gewinnen

Server, Netzwerkkomponenten, Applikationen und zahlreiche andere Bestandteile von IT-Systemen erzeugen während ihres Betriebes kontinuierlich Logfiles, in denen sie Aktivitäten, Fehler, Statusmeldungen u.ä. ablegen. Systemverwalter können diese Logfiles manuell oder automatisiert auswerten, um so Rückschlüsse auf das Systemverhalten, auf Probleme oder notwendige Wartungsaktivitäten zu ziehen.

Logfiles sind sicherheitsrelevant, da in ihnen auch Ereignisse im Zusammenhang mit Angriffen auf die Systeme festgehalten werden. Das können – je nach Art des Systems – fehlgeschlagene Logins, Zugriffsversuche auf Ressourcen oder das nahende Zusammenbrechen des Systems aufgrund von Überlastung durch DoS-Attacken sein. Selbstverständlich werden Angreifer mit erschlichenen Root-Rechten nach Abschluss ihrer Aktivitäten auch versuchen, die Logfiles davon zu bereinigen, um spätere forensische Analysen zu erschweren.

Zudem beziehen Sicherheitssysteme wie z.B. Intrusion-Detection-Systeme oder auch Netzwerk-Monitoring-Werkzeuge Informationen aus Logfiles, die sie dazu laufend auswerten.

Logfiles stellen daher geschäftsrelevante Informationen dar, d.h. sie können mehrjährigen gesetzlichen Aufbewahrungspflichten unterliegen und müssen vor Verfälschung oder Löschung besonders geschützt werden. Das gilt insbesondere für Unternehmen in hochregulierten Branchen wie dem Gesundheitswesen, dem Finanzsektor oder der Luftfahrtindustrie. So fordern Datenschutzregelungen wie der Health Insurance Portability and Accountability Act (HIPAA) oder Regelwerke zur Abwicklung von Zahlungsverkehrt wie der Payment Card Industry Data Security Standard (PCI-DSS) explizit die zentrale Sammlung und Langzeitarchivierung von Logging-Informationen.

Das hat einen neuen Teilbereich der Sicherheitsindustrie entstehen lassen: Das Security Information and Event Management (SIEM). Bei diesem Ansatz werden aus Logfiles und anderen Quellen innerhalb einer überwachen IT-Infrastruktur kontinuierlich Informationen zur Erkennung von Bedrohungen, der Reaktion auf sicherheitsrelevante Ereignisse sowie für Forensik und sicherheitsbezogener Compliance gesammelt und aggregiert. Dadurch erhalten Administratoren einen (meist grafisch aufbereiteten) Gesamtüberblick über das System und können zeitnah auf Probleme reagieren.

Die Forderung nach Langzeitarchivierung von Logfiles führt auch dazu, dass hierfür weitere IT-Systeme beschafft und betrieben werden müssen. Diese sammeln die Logfiles regelmäßig ein und archivieren sie revisionssicher. Dazu werden in aller Regel auf dem  Syslog-Standard basierende Protokolle eingesetzt. Syslog ist ein De-facto-Standard der Internet Engineering Task Force (IETF) zur Übermittlung von Log-Meldungen in einem IP-basierten Rechnernetz. X.509-Zertifikate und SSL-Verschlüsselung sorgen dabei für die oft regulatorisch geforderte Vertraulichkeit und Authentizität der kommunizierenden Systeme.

Doch damit ist es meist noch nicht getan. In einem standortübergreifenden Netzwerk können Teilbereiche ausfallen. Überschreiten Logfiles auf Servern eine bestimmte, vorgegebene Größe, werden ältere Einträge gelöscht. Um daher „Aufzeichnungslücken“ aufgrund vorübergehend nicht erreichbarer Systeme, in denen es dann zu Logfile-Löschungen kommen kann, zu vermeiden, müssen entsprechende Pufferungsmechanismen mit eingeplant werden. Nur so ist eine lückenlose Dokumentation der Logfiles erst möglich.

Einmal im revisionssicheren Langzeitarchiv angekommen, sorgen starke Verschlüsselung, Zeitstempel vertrauenswürdiger externer Zeitgeber (Timestamp Authorities) und digitale Signaturen dafür, dass die Logdaten chronologisch, lückenlos und nachvollziehbar gespeichert sowie nur autorisierten Nutzern wieder zugänglich gemacht werden.

Wer hätte das gedacht angesichts dessen, dass Logfiles ursprünglich einmal ein Abfallprodukt des Debuggings während der Softwareentwicklung und später ein willkommenes Hilfsmittel für Systemadministratoren waren?

Syslog and Log Analysis Wiki and Forums

Computerwoche.de: Neue Wege der ICT-Sicherheit – Security Information & Event Management

Hat der Wahnsinn Methode?

Das möchte man sich schon fragen, wenn man liest, dass am Boston College die Rechner und diverse Mobilgeräte eines Informatik-Studenten beschlagnahmt wurde, u.a. mit der Begründung er nutze darauf mehrere Betriebsysteme und würde Befehle über eine Shell eingeben, was auf gefährliches Wissen über Computer („Computer Science Mayor“) schließen lasse. Das allein machte ihn bereits verdächtig, als Gefährder Straftaten begangen zu haben.

Ja ist es nicht Aufgabe eines Informatik-Studenten sich ein tiefergehendes Wissen über sein Studienfach anzueignen? Solle er nicht irgendwann programmieren, mit der Shell arbeiten und mit mehreren Betriebssystemen umgehen können? Schon allein, um später den durch Studiengebühren aufgelaufenen enormen Schuldenberg abarbeiten zu können.

Doch die Verrücktheiten gehen in den USA noch weiter. Die Nutzung von Proxy-Servern, einer alltäglichen Internet-Infrastruktur, soll künftig bei Urteilen in Sachen IT-Kriminalität als strafverschärfend gelten. Das fordert die U.S. Sentencing Commission, eine Bundesbehörde in Amerika, die für die Festlegung von bindenden Grundsätzen für die Strafbemessung an Bundesgerichten zuständig ist.

Eine Auffassung, die zunehmend Bürgerrechtsorganisationen in Alarm versetzt. Schließlich ist das Land eine datenschutztechnische Bananenrepublik, unterhält mehrere Geheimdienste und gibt diesen sowie seinen Behörden zum Teil Rechte und Möglichkeiten, von denen selbst im dritten Rech die SS oder die Gestapo nur träumen konnte.

Boston College Campus Police: „Using Prompt Commands“ May Be a Sign of Criminal Activity

US mulls stiffer sentences for common Net proxies

Wie Gerichte das Fernmeldegeheimnis zunehmend aufweichen

Arbeitgeber, die ihren Beschäftigten die private Nutzung betrieblicher Internet-Zugänge erlauben wollen (an Bedingungen geknüpft oder nicht) befinden sich derzeit in einem Dilemma. Tun sie es, sind sie Diensteanbieter im Sinne des § 88 TKG, d.h. für sie gilt das Fernmeldegeheimnis und sie dürfen dann z.B. die E-Mails ihrer Beschäftigten nicht mitlesen. Schließlich können sie dienstliche und private Mails nicht ohne Weiteres trennen und den Arbeitgeber gingen ohnehin nur dienstliche Dinge etwas an.

Den Beschäftigten aber die private Internetnutzung komplett zu verbieten, erscheint zum einen schlicht lebensfremd in einer Arbeitswelt, die zunehmend auch ins Privatleben der Beschäftigten eindringt (Ausdehnung von Arbeitszeiten, Rufbereitschaften, flexibilisierte Arbeitszeiten, Home-Office, erhöhte Mobilitätsanforderungen etc.). Zum andern könnten dann taktisch klug agierende Betriebsräte ihrerseits bei so manchem IT-Projekt mauern. Sie haben schließlich über § 87 BetrVG ein sehr weit reichendes Mitbestimmungsrecht bei Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Darunter fällt auch jede Form der IT im Unternehmen, die auch nur dazu geeignet ist, eine solche Überwachung zu ermöglichen, auch wenn dies vom Arbeitgeber gar nicht beabsichtigt wird.

Doch auch ein Arbeitgeber, der Diensteanbieter i.S.d. TKG ist und sich ans Fernmeldegeheimnis zu halten hat, könnte von Strafverfolgungsbehörden dazu aufgefordert werden, Mails zum Zwecke der Ermittlung an diese herauszugeben. Er stünde dann vor dem Problem gegen das Fernmeldegeheimnis zu verstoßen, wenn er dem Ansinnen der Behörden nachkäme.

In der aktuellen Ausgabe des Fachinformationsdienstes IT-Grundschutz wird über ein Urteil des Verwaltungsgerichts Frankfurt a.M. berichtet. Ein Unternehmen war von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) im Rahmen einer Ermittlungsverfahrens wegen Verdachts auf verbotenen Insiderhandel aufgefordert worden, Mails herauszugeben, die bestimmten vorgegebenen Kriterien entsprachen. Das Unternehmen verweigerte dies, berief sich auf das Fernmeldegeheimnis nach § 88 TKG und erhob eine Feststellungsklage gegen die BaFin. Diese verlor es (Az. 1 K 628/08) und wurde zur Herausgabe der Mails an die BaFin verurteilt. Interessant ist in diesem Zusammenhang die Urteilsbegründung des Gerichts.

Denn nach Meinung des Frankfurter Gerichts greift der strenge Schutz des Fernmeldegeheimnisses nur während des eigentlichen Telekommunikationsvorgangs, also für den Zeitraum da die Mail über das Netz vom Sender zum Empfänger unterwegs ist. Sobald sie angekommen ist, greift es nicht mehr, da es der Empfänger dann selbst in der Hand hat, die Mail zu löschen oder zu entscheiden, welche technischen Schutzmaßnahmen er ihr angedeihen lassen will. Vor dem Hintergrund erlaubter Privatnutzung gilt zwar das grundgesetzliche informationelle Selbstbestimmungsrecht. Dies schließt die Aushändigung von Datenbeständen an staatliche Ermittlungsbehörden nicht aus.

Da zudem das Bundesverfassungsgericht in einer ähnlich gelagerten Sache bereits 2006 gleichartig entschieden hatte (Az. 2 BvR 2099/04), konnten sich die Frankfurter Richter auf diese bestehende Rechtsprechung berufen.

Konkret zeigt dies jedoch, dass das Fernmeldegeheimnis längst nicht so schützend vor den betrieblichen Datenbeständen steht, wie oft angenommen. Vor Beginn und nach Abschluss des Telekommunikationsvorganges haben Ermittlungsbehörden problemlos rechtlichen Zugriffsanspruch auf alle existierenden Daten in einem Unternehmen – seien sie nun „dienstlich“ oder „privat“.

Dr. Christiane Bierekoven, Autorin des bereits erwähnten Artikels in IT-Grundschutz Info 3/09, kommt allerdings zu dem Fazit dass diese Entscheidung nicht überbewertet werden sollte, da sie die meisten der in der Praxis im Zusammenhang mit dem Zugriff auf private E-Mails des Arbeitnehmers relevanten Rechtsfragen unberücksichtigt lässt. Daher rät sie die private Nutzung von E-Mail und Internet im Unternehmen entweder komplett zu verbieten oder eindeutig und detailliert in einer Betriebsvereinbarung zu regeln. Ein Schritt zu dem auch viele anderen Experten aus den Bereichen IT-Sicherheit, IT-Recht und Datenschutz raten.

Dabei sollte besonders auf die Formulierung der Einwilligungserklärungen durch die Beschäftigten geachtet werden, da datenschutzrechtliche Einwilligungen von Arbeitnehmern aufgrund des Machtungleichgewichts im Betrieb rechtlich besonders kritisch gewertet werden. Die individuell einzuholenden Erklärungen der Beschäftigten sollten möglichst genau beschreiben, bei welchen oder welcher Art von Straftaten und bei welchem Grad an Verdachtsmomenten ohne Vorankündigung eine inhaltliche Kontrolle von Mails oder ähnlichem durch den Arbeitgeber zulässig sein soll.

Individuelle Einwilligungen aller betroffenen Beschäftigten sind erforderlich, da § 4 BDSG die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässsig, wenn ein Gesetz oder eine andere Rechtsvorschrift es erlaubt oder der Betroffene dazu eingewilligt hat. Eine Betriebsvereinbarung ist weder ein Gesetz noch eine individuelle Einwilligung und daher dafür kein Ersatz.

Deshalb rät die Anwältin die Sache unter Beteiligung des betrieblichen Datenschutzbeauftragten und des Betriebsrats unter Beachtung dessen Beteiligungsrechte möglichst konkret und zügig zu regeln. Zumindest bis ein ordentliches Arbeitnehmerdatenschutzgesetz an dieser Baustelle für klarere Verhältnisse sorgt.

Grundschutz.info: IT und Recht – Kein Fernmeldegeheimnis am Arbeitsplatz?

Wo die Mafia investiert

Als Mafia bezeichnen Kritiker der Verwerterlobby die „Music and Film Industry Associations“ (M.A.F.I.A.) – also politisch aktive Lobby- und Standesorganisationen der Content-Industrie wie die IFPI, RIAA oder die BSA. Und zwar deshalb, weil sie und viele ihrer Mitglieder im Wesentlichen von der Verwaltung der Arbeit anderer leben, ohne selbst nennenswerte Beiträge dazu zu leisten. Beispielsweise Verlage die Autoren oder Musiker Vereinbarungen aufdrücken, die man ruhigen Gewissens als Knebelverträge verzeichnen darf. Wie es z.B. auch Jörg Morisse und Rasmus Engler in ihrem Buch „Wovon lebst du eigentlich? Vom Überleben in prekären Zeiten“ beschreiben.

Diese Mafia hat sich in den vergangenen Jahren zunehmend zu einem gesamtgesellschaftlichen Problem entwickelt. Sie drückt Löhne und hinterzieht oder vermeidet Sozialversicherungsbeiträge für die tatsächlichen Urheber, kriminalisiert ihre Kunden, missbraucht das Rechtssystem durch Förderung des Abmahnbetrugs (eine Form legaler Schutzgelderpressung) und versucht so alte, überkommene und zum Teil auf ausbeuterischen Praktiken beruhende Geschäftsmodelle ins 21. Jahrhundert hinüberzuretten. Dazu schadet sie der Weiterentwicklung globaler Kommunikationsinfrastrukturen, indem sie diese in ausschließlich kommerziell ausgerichtete Dienste umstrukturieren will. Und sie richtet sich – Neonazis und Sekten gleich – gegen Bürgerrechte und Informationsfreiheit, wo sie diese als den geschäftlichen Interessen ihrer Mitglieder zuwiderlaufend ansieht.

Vor kurzem gaben aber mehrere große Musiklabels bekannt, künftig ihre Produkte frei von Nutzungshemmnissen, d.h. frei von DRM (digital rights / restrictions management) anzubieten. Ihnen war klar geworden, was ihnen jeder Ladenbesitzer sofort hätte sagen können. Dass zahlende Kunden mit Mängeln behaftete Ware entweder gar nicht oder aber nur zu Dumpingpreisen akzeptieren. Produkte mit mangelnder Gebrauchstauglichkeit sind eben schwer verkäuflich. Die beträchtlichen mit DRM verbundenen Investitionskosten dürften daher gewinnmindernd abgeschrieben werden.

Online-Musikshops setzen auf Klang und Kopierbarkeit

iTunes erweitert DRM-freies Musik-Angebot

Yahoo-Manager rechnet mit Ende des digitalen Kopierschutzes

Doch nach wie vor traut die Mafia ihren Kunden nicht über den Weg. Schließlich könnten diese die gerade legal erworbene Ware ja weiterverkaufen. Oder – schlimmer noch – verschenken, indem sie diese in eine Tauschbörse einstellen.

Daher werden nun digitale Güter wie Filme oder Musik zwar in verbreiteten und offenen Formaten wie MP3 oder FLAC angeboten. Aber es werden zusätzlich Hashwerte oder steganografisch ins Produkt integrierte Wasserzeichen gebildet, um ausgelieferte Ware auch im Nachhinein dem Kunden zuordnen zu können, falls sie in Tauschbörsen auftaucht. Was allerdings nur begrenzt Sinn macht, da der Kunde seine gekauften digitalen Güter ja an andere weiterveräußern kann und spätestens dann die Belegkette abbricht. Aus diesem Grund untersagen es die Shops ihren Kunden oft, die erworbenen und bezahlten Produkte ihrerseits weiterzuveräußern. Zumal sie für ihr Geld ohnehin nicht mehr als ein sehr eng beschränktes Nutzungsrecht bekommen. Oft erreichen die AGBs solcher Onlineshops dann auch den Umfang von Jahresabschlussberichten börsennotierter Konzerne.

Auch hier wurde mal wieder zuwenig nachgedacht, Offenbar schränkt das Misstrauen der Mafia in ihr eigenes Geschäft und ihren Kunden gegenüber ihr Denkvermögen drastisch ein. Kundenfreundlichkeit sieht anders aus.

In einer Wettbewerbswirtschaft ist allerdings das Bessere der ärgste Feind des Guten. Und daher gibt es bereits Labels, die auf solche Praktiken verzichten. Zumal dafür erneut beträchtliche Investitionen in entsprechende Hart- und Software erforderlich wären. Oder auch für der Mafia zuarbeitende Dienstleister wie  Logistep und Copyright Solutions, die spezielle Softwarelösungen und Dienstleistungen im sog. „Anti-Piracy“-Umfeld, d.h. zur Rückverfolgung von Dateien in Tauschbörsen anbieten. Dienstleistungen solcher Art sind zur Vorbereitung von Massenabmahnungen und Abmahnbetrug erforderlich.

Die Verwerterlobby sowie ihr zuarbeitende Dienstleister sind demnach gute Kunden IT-forensischer Produkte und Dienstleistungen.

Es bleibt zu hoffen, dass dies dem an sich guten Ruf der IT-Sicherheit nicht weiter schadet. Schließlich würden es die wenigsten namhaften Unternehmen gerne sehen, wenn man ihre Produkte mit legalen aber in weiten Kreisen der Bevölkerung als illegitim angesehenen Praktiken in Verbindung bringen würde. Und auch den Herstellern von Sicherheitsprodukten würde es in den Augen der Bevölkerung schaden, wenn herauskäme, dass z.B. die Mafia ihre Produkte und Leistungen kauft.

Insbesondere wenn die jugendlichen Filesharer von heute morgen in Entscheiderpositionen kommen und über Investitionsbudgets für IT-Projekte verfügen sollten. Würden sie tatsächlich bei Unternehmen kaufen oder bei Verträgen mit Anwaltskanzleien zusammenarbeiten, die gemeinsame Sache mit der Mafia machen? Ich bezweifle das. Bereits die Datenschmuddelaffären bei Lidl oder der Bahn hatten ja schon drastisch negative Image-Effekte und führten zu Wechseln auf Vorstandsebene.

Zudem häufen sich die Stimmen wie z.B. die der kürzlich zur Europawahl zugelassenen Piratenpartei, die eine grundsätzliche Reform des Urheberrechts fordern. Die vielen heutigen Kompliziertheiten und Anachronismen, die zum Teil noch auf Zeiten zurückgehen als Deutschland noch einen Kaiser hatte, sollen beseitigt, die Verfügbarkeit und Weiterverwendbarkeit von Kulturgütern verbessert und die Möglichkeit von Urhebern auch ohne Mittler und Verwerter selbst Einkommen zu erwirtschaften gestärkt werden.

Ein Beispiel hierfür ist die Idee einer Kulturflatrate bei der Zuschläge auf Breitbandinternetzugänge erhoben und an die Urheber von Kulturgütern weitergereicht würden. Im Gegenzug wäre Filesharing dann nicht mehr illegalisiert sondern Teil der Distributionskette und ein Instrument zur Bemessung des Anteils einzelner Urheber am zu verteilenden Kulturflatrate-Geldtopf.

Die Mafia kann das aber nicht wollen – ihre Geschäftsgrundlage würde ersatzzlos wegfallen, wenn plötzlich jeder Kulturschaffende seine Produkte mit minimalem Aufwand selbst vermarkten und damit Geld verdienen könnte.