In den vergangenen Tagen hat eine von der GVU lancierte Meldung aus Dresden für Bewegung gesorgt. Medien und Blogs berichteten über die Absicht (oder nur die Möglichkeit?) der Ermittlungsbehörden, nun auch gegen die Premium-Nutzer von Kino.to zu ermitteln.
An dieser juristisch blödsinnigen Kaffeesatzleserei aufgehängt stellen sich ein paar Fragen. Wie verhält man sich eigentlich vorbeugend sinnvoll, wenn man in der Zeit zwischen 6 Uhr (ab dem 1. April: 4 Uhr) morgens und 21 Uhr abends (§ 104 Abs. 3 StPO) unerwarteten Besuch erwartet?
Aufräumen
Überflüssig dürfte der Rat sein, etwaig vorhandene Cannabisplantagen und andere Blüten möglichst unauffällig aus dem Haus zu schaffen. Denn auch wenn die Polizei nach Sprengstoff sucht und statt dessen Suchtstoff findet, führt das zur Einleitung eines (weiteren) Ermittlungsverfahrens.
Objekte der Begierde
Interessant ist hier aber die EDV im weitesten Sinne. Damit sind nicht nur die Desktop-Rechner unterm Schreibtisch gemeint, sondern alles, was im Entfernten dazu geeignet sein könnte, Daten zu speichern. Dazu gehören auch Tablets, Smart- und Tele-Phones, mobile Festplatten, USB-Sticks und was es sonst noch so an Datenspeichern gibt. All diese Datenträger könnten ja irgendwann und irgendwie mal wichtig sein, deswegen werden sie sehr gern mitgenommen.
Warum auch Mäuse, Tastaturen und Monitore sichergestellt bzw. beschlagnahmt werden, ist für den Laien nicht auf den ersten Blick erkenntlich. Den Grund für diese Maßnahme erahnt man, wenn man einmal über den Begriff „Tatwerkzeug“ nachdenkt.
Für die Zeit danach
Derjenige, der also mit Besuch rechnet, sollte dafür sorgen, daß Kopien seiner Datensammlungen, die er auch nach der Durchsuchung noch nutzen möchte, stets aktuell an einer Stelle aufbewahrt, die einem spontanen Zugriff der Behörden entzogen ist. Die „Wolke“ wäre beispielsweise ein geeigneter Ort dafür, nicht aber der Keller, das eigene Auto oder die Zweitwohnung.
Versteckspiel
Eine weniger gute Idee wäre es, Backups z.B. in Wandtresoren, in doppelten Böden von Schränken oder unter den Fließen im Bad zu lagern. Denn solche Verstecke führen zu ganz erheblichem Renovierungsbedarf, nachdem die Spezialisten der Kriminalämter das Haus wieder verlassen haben.
Dauerkrise
Selbst, wenn sich heraus stellen sollte, daß man zu Recht „nichts zu verbergen“ hatte: Der Schaden, dem man dadurch erleidet, weil man 18 Monate lang nicht auf seine Daten (Telefonbuch nicht vergessen!) zugreifen konnte, wird in der Regel nicht ersetzt. Mit der Anfertigung und Aushändigung von Daten-Kopien durch die Kriminalen nach einer Sicherstellung ist in der Regel auch erst nach Ablauf einer Zeit zu rechnen, die im Einzelfall für den Gang zum Insolvenzgericht mehr als ausreicht.
Verbergen
Diejenigen, die nicht „nichts zu verbergen“ haben, sollten über eine Verschlüsselung nachdenken. Damit sind jetzt nicht die Windows-eigenen Spielereien gemeint, mit denen man sich beim Rechnerstart anmeldet. Je nach Ausstattung der „KT“ (Kriminaltechnik) sind auch die Versteckspielchen der Office-Pakete und PDF-Programme nicht sonderlich hilfreich. Sehr schön sind aber ein Container oder eine Festplattenpartition, die z.B. mit TrueCrypt behandelt wurden.
Müssen, dürfen, sollen
Nun stellt sich hier die Frage, ob die Frage der Ermittler nach den Zugangsdaten beantwortet werden sollte oder gar müßte. Darauf gibt es eine klare Anwort: Müssen muß man nicht, dürfen darf man aber; über das sollte, sollte man sich beraten lassen. Eins ist jedenfalls sicher: Die Preisgabe der Passworte bei einer Durchsuchung führt in aller Regel nicht zum Verzicht auf die Beschlagnahme. Also bleibt immer noch ausreichend Zeit für eine stressfreie Beratung durch einen Verteidiger, nachdem sich der Staub der Durchsuchungsmaßnahme gelegt hat.
Gute Vorsätze
Wie Sie sich zu Beginn und während einer Durchsuchungsmaßnahme verhalten sollten, lesen hier in unserer Bedienungsanleitung zur den Sofortmaßnahmen.
Ausnahme: BitLocker, die integrierte Festplattenverschlüsselung in den teureren Versionen von Windows Vista, Windows 7 und Windows Server 2008. Auf dem Mac steht seit Mac OS X 10.7 «Lion» mit FileVault 2 eine vergleichbare Möglichkeit zur Verfügung.
In jedem Fall sollte man bei Festplattenverschlüsselung daran denken, dass diese letztlich nur bei abgeschaltetem Computer schützt. Im laufenden Betrieb und kurz nach dem Abschalten besteht die Gefahr, dass der verwendete Schlüssel aus dem Arbeitsspeicher ausgelesen wird.
Das mit den Monitoren liegt daran, dass die Ermittler nicht immer fähig sind, auf den ersten Blick zu erkennen, ob es sich hierbei nicht um einen Rechner handelt. ;-)
@Martin Steiger
Wie soll das funktionieren?
Mich würde folgendes interessieren:
Bei mir wird eine Hausdurchsuchung gemacht und Computer, Smartphone und Tablet beschlagnahmt. Heute kann man ja nicht mehr ohne leben, ich schaffe mir also einen neuen PC samt Software, neues Handy etc. an. Es stellt sich heraus, dass ich völlig unschuldig bin. (z.B. Verwechslung der IP-Adresse)
Wer zahlt mir die neu gekauften Geräte, Software bzw. ersetzt mir den sonst entstandenen Schaden?
@Kampfschmuser
„Cold Boot Attack“:
https://citp.princeton.edu/research/memory/
http://www.youtube.com/watch?v=JDaicPIgn9U
Im RAM verbleiben einige Zeit die Reste des Verschlüsselungspasswortes…
Im universitären Bereich gab es Versuche als proofe of concept, die so einen Angriff als möglich verifiziert haben. Es geht dabei um einen engen Zeitrahmen von ca. 30 s nach ausschalten, in dem sich unter bestimmten Umständen aus bestimmten Speicherriegeln mit relativ engen technischen Parametern teile des Inhaltes noch auslesen ließen. Wenn Sie also Ihren Rechner in Ihrem Büro oder zu Hause ausschalten wollen und bemerken hinter sich auf einmal Menschen in weißen Kitteln mit mehreren rollbaren Racks voller HighTech Equipment, die betont unauffällig tun, sollten Sie mißtrauisch werden…
Ansonsten hat dieses Angriffsszenario in the wild KEINERLEI Relevanz, auch wenn es immer wieder gerne von Halblaien angeführt wird.
@kampfschmuser
z.B. über die FireWire-Schnittstelle.
Ich weiß allerdings nicht, ob das dazu benötigte Wissen die Kompetenz der Ermittler vor Ort übersteigt.
@Phillipp
Der Kommentator „or“ hat es ja schon angeführt. Sekunden, im besten Falle wenige Minuten und die Daten im Riegel sind Geschichte.
Wer beim Ausschalten des PCs direkt hinter sich eine Schar von Spezialisten mit neuestem Equipment wittert, kann ja einfach noch mal den Rechner einschalten (Passwort nicht eingeben!), falls das SEK nicht auf einen schon einprügelt. ;)
Warum ist der Rat überflüssig?
Wenn aufgeräumt würde, würde auch nichts weiteres gefunden werden. Und damit auch auch kein weiteres Strafverfahren. Aber das meinten Sie letztendlich sicher.
Warum verbreitet sich das mit den Premium kino.to Nutzern so unreflektiert. Ist mein Erinnerungsvermögen so getrübt oder hat mein Filter diese Option ausgeblendet. Auch auf alternativen Seiten dieser Art kann ich keinen Premium Zugang erkennen. Diese gab und gibt es m. E. lediglich bei den Hostern selbst. Und wenn so ein Premiumzugang für einen Anfangsverdacht reicht würde mich die Reaktion der Staatsanwaltschaft interessieren wenn sich alle „Freunde der Ermittlungsbehörden“ einen Premiumzugang für einen Tag bei einem Hoster ihrer Wahl zulegen und danach eine juristisch korrekte Selbstanzeige bei der Staatsanwaltschaft abgeben.
Wie ist der Absatz „Versteckspiel“ zu verstehen?
Ob was versteckt ist oder nicht, wissen die Beamten doch erst nach dem Suchen – dann ist der Schaden schon angerichtet. Eher sollte man also Schweigen und nicht die Beamten mit „Ich habe eine MicroSD Karte versteckt, die findet ihr niemals“ aufziehen. Es sei denn man mag seinen Vermieter nicht.
Wenn die dann Scheuerleisten rausreissen, Parkett aufschlitzen und Rigipswaende aufklopfen, ist der Vermieter dann der Dumme?
Die meisten Kriminalbeamten sind schon mit einem NAS im Heizungskeller überfordert. Wenn das Haus eine aktuelle Netzwerkverkabelung hat, finden die den Kram eh nie.
@Stefan
Wenn Kabel vorhanden sind, die Beamten vor Ort nicht gerade mit dem Klammerbeutel gepudert sind, reißen die solange die Kabel aus der Wand bis man im Keller am NAS angekommen ist.
Ein WLan-„Kabel“ wäre da die bessere Wahl. Ok, auch nicht 100% sicher, aber man kann nicht am Kabel reißen. ;)
Das Risiko besteht doch wohl nur dann, wenn zuvor das Versteck entdeckt wird. Ansonsten wird ja wohl bei einer Hausdurchsuchung nicht standardmäßig alles abgerissen. Ich weiß jedenfalls einige Orte in meiner Wohnung und dem Haus wo ich problemlos das Backup lagern könnte ohne realistisches Risiko, daß man es findet.
@Kampfschmuser: Das klingt doch eher unrealistisch, daß man die Wohnung verwüstet ohne konkreten Verdacht, daß eines der Netzwerkkabel womöglich anderswo hinführen könnte.
Wie sieht es eigentlich aus, wenn man als „Überraschung“ ein paar USB-Sticks (oder Datenträger, Container) „versteckt“, deren Inhalt dem unbedarften Schnüffler (Freuden?)Tränen in die Augen treibt? Wie aktuell ist die übliche Anti-Viren-Softwarwe der Freunde und Helfer?
@ Christoph Hofmann (#4)
Bei jedenfalls offensichtlicher Unschuld können Sie eventuelle Vermögensschäden von der jeweils haftenden Körperschaft (Bundesland) nach § 839 BGB ersetzt verlangen, da die StA zur eigenverantwortlichen Prüfung verpflichtet ist und diese Schutzpflicht auch Vermögensinteressen einschließt (so BGH NJW 2000, 2672 – Nichterstattung eines Feuerschadens wegen unvertretbarer Anklage wegen Brandstiftung).
Problem ist i.d.R., dass Durchsuchungsmaßnahmen von einem Ermittlungsrichter abgesegnet werden, was grds. dazu führt, dass der jeweils handelnde StA durch diese „Absegnung“ von seiner Haftung frei wird. Die Rspr. lässt hier aber Ausnahmen zu, wenn Anzeichen dafür bestehen, dass das Gericht keine wirkliche eigenverantwortliche Prüfung angestellt hat (BGH NJW 1998, 751). Wenn ein Durchsuchungsbeschluss telefonisch erlassen wurde und sich im Nachhinein als unvertretbar darstellt, bestehen also je nach Einzelfall auch hier Möglichkeiten, dass es Amtshaftungsanspruch besteht.
Ob im Falle einer Verwechslung der IP-Adresse ein Anspruch bestehen kann ist meines Wissens noch nicht geklärt. Hier ließe sich Fahrlässigkeit und damit Verschulden bei der Amtspflichtverletzung anführen. Allerdings gehöre ich selber zu den Juristen, die gerne mal Nummern verdrehen oder solche kleinen Details missachten, weshalb ich hier nicht gleich unterstellen will, dass jeder Zahlendreher gleich einen Rückschluss auf Fahrlässigkeit zulässt…
Gibt man bei Google „CCCS Hausdurchsuchung“ ein, so ist der erste Treffer ein PDF-Flyer.
Ersteller ist ein Thilo Hardt, IIRC ist er Jurist, ob er natürlich so qualifiziert wie Herr Hoenig ist, oder nur für den Vortrag (bei dem der Flyer verteilt wurde) einen Ausflug ins Strafrecht unternommen hat, kann ich nicht beurteilen.
Außerdem ist der Flyer schon ein paar Jahre alt, ob sich also zwischenzeitlich Änderungen im Recht ergeben haben, die die aufgelisteten Punkte ungültig machen, sollte ein Fachmann beurteilen.
Punkt 3 Satz 2 dürfte sicherlich in Herrn Hoenigs Sinne sein – „Rufe Deinen Anwalt an.“, der Rat „nicht zur Sache äußern“/“Aktives Schweigen“ findet sich dagegen nicht wirklich. (Andererseits sollte einem das der Anwalt ja beim Telefonat auch noch einmal einbleuen…)
Thilo Hardt ist kein Jurist sondern ITler.
@Christoph Hofmann (#4):
§§ 2, 7 StrEG.
@Hans In der Tat, Asche auf mein Haupt. Ich hatte ihn mit einem anderen CCCS-nahen Herrn mit ähnlichen Initialen velwechsert.
@ Auke
Manchmal hilft ein Blick ins Gesetz… Ich hatte immer gedacht, dass StrEG gilt nur bei Freiheitsentziehung. Dabei dürfte sich der Anspruch hier wohl tatsächlich schon aus §§ 2, 7 StrEG ergeben…
@NoName:
Die Sachen werden nicht vom Datenträger gebootet. Die Datenträger werden per Linux einzeln ausgelesen und anschließend in virtuellen Umgebungen gearbeitet.
Das wird alleine schon deswegen gemacht, damit man nicht irgendwelche selbstvernichtungsmechaniken beim Booten auslöst.
Ich schlage vor Hr. Hönig, dass Sie diese Anleitung an Hr. Wulff weiterleiten. Er könnte es ggf. demnächst brauchen!
[…] (394) 53. TV-Noir (400) 54. Duckhome (403) 55. Angelas Bastelwelt(404) 56. Kunzfrau Kreativ(419) 57. Kanzlei Hoenig (425) 58. Weinakademie Berlin (482) 59. taz Hausblog (439) 60.Das Nuf advanced (447) 61. allet ohne […]
Pre Boot Schutz, Pre Boot Verschlüsselung, Auslagerung der temp. Dateien (oft vergessen) in eine RAM-Disk, keine Speicherung von Zugangsdaten oder Passwörtern auf dem Rechner, im Vorfeld schon mit Virtualisierungssoftware arbeiten, Datenbackup bei anonymen Filehostern in verschlüsselter Form, PGP o.ä. auch beim normalen Mailverkehr nutzen, unverfängliche Datenträger zum „gefunden werden“ ablegen,
nichts sagen, Zeugen hinzuziehen, Anwalt anrufen
mmhh . was vergessen?
Geht es dem Blogbetreiber gut? Verhindern Arbeit oder Urlaub neue Einträge? Eben solche werden durchaus vermisst …
[…] fragt der Kommentator tapir. […]