Gedanken zur Onlinedurchsuchung
Wednesday, February 27. 2008, 23:48
Heute früh hat das Bundesverfassungsgericht geurteilt, das ganze so, dass jeder sich ein bißchen als Sieger fühlen darf. Grob lautet das Urteil, dass Onlinedurchsuchungen zwar prinzipiell zulässig sind, aber nur unter extrem eingeschränkten Bedingungen und mit Richtervorbehalt. Letzterer wird leider allzu oft als Allheilmittel gegen Mißbrauch gesehen, was sich dummerweise mit der Realität äußerst selten deckt.
Das Problem, was ich bei Diskussionen über die sogenannte »Onlinedurchsuchung« erlebe, ist, dass meine Hauptbedenken erst da anfangen, wo das technische Verständnis der meisten anderen (insbesondere auch der entscheidenden Politiker) längst aufgehört hat. Ich gebe mich heute dem Versuch hin, selbige Bedenken auszuformulieren, ohne alle Nicht-Techies abzuhängen.
Zunächst mal muss man ungefähr begrifflich fassen, was »Onlinedurchsuchung« sein soll. Im Regelfall meint man damit, dass in ein fremdes Computersystem eingedrungen werden soll und dort Daten geholt oder manipuliert werden (Detailunterscheidungen in Datenbeschlagnahmung, Quellen-TKÜ o.ä. unterlasse ich jetzt mal). Nun ist der vielfach herzitierte Vergleich mit der Hausdurchsuchung ein problematischer, weil Computer üblicherweise keine virtuelle »Tür« haben. In der Realwelt wird eine Tür eben eingetreten oder das Schließsystem anderweitig umgangen (ja, es gibt elegantere Wege, die kenn ich auch). Sowas ist jetzt erstmal bei einem Computersystem nicht zwangsweise möglich, weil es nichts gibt, was man im Zweifel mit roher Gewalt (Türe) überwinden kann.
Um dennoch in ein System einzudringen, macht man sich üblicherweise Sicherheitslücken in Systemen zu Nutze. Und hier kommen wir meiner Ansicht nach zum Kern des Problems: Nämlich der Umgang mit dem Wissen über Sicherheitslücken. Im Hacker-Slang unterscheidet man manchmal zwischen Whitehats (»gute« Hacker) und Blackhats (»böse« Hacker). Whitehats sind solche, die ihr erlangtes Wissen über Sicherheitslücken lediglich dazu nutzen, diese zu beheben, indem sie etwa den Hersteller des Systems/der Software informieren und die Lücke anschließend publizieren. Blackhats sind solche, die die Kenntnis über Sicherheitslücken nutzen, um in fremde Systeme einzudringen.
Nun haben wir den etwas ungewohnten Fall, dass der Staat als Blackhat agieren will, sprich Sicherheitslücken NICHT publiziert, weil er sie für Onlinedurchsuchungen nutzen möchte. An diesem Punkt wird auch klar, dass das Thema eben nicht nur für die von einer Durchsuchung Betroffenen relevant ist, sondern für praktisch jeden. Woher der Staat diese Informationen bekommt, wäre eine eigene spannende Frage.
Nun ergeben sich daraus einige interessante Folgefragen. Ab und an kommt es ja vor, dass ein Computervirus mal eben das halbe Wirtschaftsleben lahmlegt (vor nicht allzu langer Zeit wurde ein Großteil der Rechner der Deutschen Post befallen). Bei zukünftigen derartigen Fällen wird man, nicht zu Unrecht, die Frage stellen, ob ein solcher Vorfall möglicherweise hätte verhindert werden können, hätte der Staat sein Wissen über Sicherheitsprobleme mit dem Rest der Menschheit geteilt. Was das für eventuelle Schadensersatzansprüche bedeutet, damit mag sich ein ambitionierter Jurist vielleicht einmal beschäftigen.
Ein weiterer, möglicherweise durchaus nicht unspannender Aspekt, der sich auftut: Der Staat begibt sich hier auf ein Gebiet, auf dem gewisse Regeln nicht unbedingt so gelten wie andernorts. Um oben genanntes Beispiel einer Hausdurchsuchung heranzuziehen, dürfte es in aller Regel so sein, dass ein Staat eine Hausdurchsuchung durchsetzen kann, egal in welcher Form sich die Hausinsassen wehren, aus dem simplen Grund, dass der Staat ein übermächtiges Repertoire an Gewaltmitteln zur Verfügung hat (zumindest gilt derartiges für westeuropäische Industrieländer).
Nun begibt sich der Staat in Außeinandersetzungen, wo dieser Vorteil plötzlich schwindet. Was der Staat hier tut, darauf hat er kein Monopol. »Onlinedurchsuchung«, das kann der Spammer, der Terrorist oder der Feierabendhacker möglicherweise genau so gut.
Das Problem, was ich bei Diskussionen über die sogenannte »Onlinedurchsuchung« erlebe, ist, dass meine Hauptbedenken erst da anfangen, wo das technische Verständnis der meisten anderen (insbesondere auch der entscheidenden Politiker) längst aufgehört hat. Ich gebe mich heute dem Versuch hin, selbige Bedenken auszuformulieren, ohne alle Nicht-Techies abzuhängen.
Zunächst mal muss man ungefähr begrifflich fassen, was »Onlinedurchsuchung« sein soll. Im Regelfall meint man damit, dass in ein fremdes Computersystem eingedrungen werden soll und dort Daten geholt oder manipuliert werden (Detailunterscheidungen in Datenbeschlagnahmung, Quellen-TKÜ o.ä. unterlasse ich jetzt mal). Nun ist der vielfach herzitierte Vergleich mit der Hausdurchsuchung ein problematischer, weil Computer üblicherweise keine virtuelle »Tür« haben. In der Realwelt wird eine Tür eben eingetreten oder das Schließsystem anderweitig umgangen (ja, es gibt elegantere Wege, die kenn ich auch). Sowas ist jetzt erstmal bei einem Computersystem nicht zwangsweise möglich, weil es nichts gibt, was man im Zweifel mit roher Gewalt (Türe) überwinden kann.
Um dennoch in ein System einzudringen, macht man sich üblicherweise Sicherheitslücken in Systemen zu Nutze. Und hier kommen wir meiner Ansicht nach zum Kern des Problems: Nämlich der Umgang mit dem Wissen über Sicherheitslücken. Im Hacker-Slang unterscheidet man manchmal zwischen Whitehats (»gute« Hacker) und Blackhats (»böse« Hacker). Whitehats sind solche, die ihr erlangtes Wissen über Sicherheitslücken lediglich dazu nutzen, diese zu beheben, indem sie etwa den Hersteller des Systems/der Software informieren und die Lücke anschließend publizieren. Blackhats sind solche, die die Kenntnis über Sicherheitslücken nutzen, um in fremde Systeme einzudringen.
Nun haben wir den etwas ungewohnten Fall, dass der Staat als Blackhat agieren will, sprich Sicherheitslücken NICHT publiziert, weil er sie für Onlinedurchsuchungen nutzen möchte. An diesem Punkt wird auch klar, dass das Thema eben nicht nur für die von einer Durchsuchung Betroffenen relevant ist, sondern für praktisch jeden. Woher der Staat diese Informationen bekommt, wäre eine eigene spannende Frage.
Nun ergeben sich daraus einige interessante Folgefragen. Ab und an kommt es ja vor, dass ein Computervirus mal eben das halbe Wirtschaftsleben lahmlegt (vor nicht allzu langer Zeit wurde ein Großteil der Rechner der Deutschen Post befallen). Bei zukünftigen derartigen Fällen wird man, nicht zu Unrecht, die Frage stellen, ob ein solcher Vorfall möglicherweise hätte verhindert werden können, hätte der Staat sein Wissen über Sicherheitsprobleme mit dem Rest der Menschheit geteilt. Was das für eventuelle Schadensersatzansprüche bedeutet, damit mag sich ein ambitionierter Jurist vielleicht einmal beschäftigen.
Ein weiterer, möglicherweise durchaus nicht unspannender Aspekt, der sich auftut: Der Staat begibt sich hier auf ein Gebiet, auf dem gewisse Regeln nicht unbedingt so gelten wie andernorts. Um oben genanntes Beispiel einer Hausdurchsuchung heranzuziehen, dürfte es in aller Regel so sein, dass ein Staat eine Hausdurchsuchung durchsetzen kann, egal in welcher Form sich die Hausinsassen wehren, aus dem simplen Grund, dass der Staat ein übermächtiges Repertoire an Gewaltmitteln zur Verfügung hat (zumindest gilt derartiges für westeuropäische Industrieländer).
Nun begibt sich der Staat in Außeinandersetzungen, wo dieser Vorteil plötzlich schwindet. Was der Staat hier tut, darauf hat er kein Monopol. »Onlinedurchsuchung«, das kann der Spammer, der Terrorist oder der Feierabendhacker möglicherweise genau so gut.
Politics, Security |
Comments (3)
| Trackbacks (0)
Defined tags for this entry: bundestrojaner, bundesverfassungsgericht, onlinedurchsuchung, security, sicherheit, überwachung
Trackbacks
Trackback specific URI for this entry
No Trackbacks
Comments
Display comments as
(Linear | Threaded)
sehr geehrter herr,
mit nachsicht für den fall, dass ich hier in nichtkenntnis ihrer diskussion etwas wiederhole:
ich meine, es sollte der politische streit um den datenschutz resp. die polizeistaatlichen begehrlichkeiten der online-kontrolle sowohl auf der technisch-fachlichen ebene wie auf der populär-zugänglicheren bestritten werden.
auch für den it-analphabeten ist wohl dieses argument
sehr schlagend:
polizei, behörden und judikative sind nicht hinreichend
dazu fähig, die relevanz und die sozio-politische
reichweite zu erkennen und zu qualifizieren, damit schäden und risiken ausgeschlossen werden können bzw. dass der gesetzgeber rechtsstaatliche sicherheit nicht bieten kann.
die die in der politischen diskussion befindlichen
verfügungsrechte und möglichen praktiken, zugriff auf daten und onlineströme staatlicherseits ungehemmt (bzw. eben unqualifiziert) nehmen zu dürfen, bergen. es sind unabschätzbare soziale, aber sehr wohl nichtabsicherbare
pekuniäre schadensersatzrelevante schäden.
ich gebe ein banales und simples, ja geradezu geringfügigeres beispiel: wenn ein hochdotierter
manager, als von untersuchungen privat beschuldigter,
beruflichen rufmord erleidet, allein weil bekannt
wird, dass ihn der verdachtsvorwurf (ohne richtervorbehalt)
traf und eine weile an seiner unbefleckten
berufsausübung behindert, entsteht unter umständen bezifferbarer schaden (ende seiner karriere), der einklagbar ist und nicht dem allgemeinen lebensrisiko des geschädigten zugewiesen werden kann.
bliebe andererseits der richter- oder staatsanwaltvorbehalt gesetzlich vorgeschrieben, wie es das verfassungsgericht
neuerdings meint, ist die gerichtlichkeit mangels personal außerstande, eine ausgeweitete heranziehung von daten zu strafverfolgungs- oder sicherheitszwecken sachlich
qualifizieren zu können (vermutlich liegt allein hierin
der grund, dass der gesetzgeber den richtervorbehalt streichen will und nicht in offizialen missbrauchsoptionen).
also: die polizei soll mittel verwenden dürfen, deren risiko
die polizei nicht ausreichend kennt und abschätzen kann.
das ist schon als politische absicht definitiv wahnsinn.
&
mit nachsicht für den fall, dass ich hier in nichtkenntnis ihrer diskussion etwas wiederhole:
ich meine, es sollte der politische streit um den datenschutz resp. die polizeistaatlichen begehrlichkeiten der online-kontrolle sowohl auf der technisch-fachlichen ebene wie auf der populär-zugänglicheren bestritten werden.
auch für den it-analphabeten ist wohl dieses argument
sehr schlagend:
polizei, behörden und judikative sind nicht hinreichend
dazu fähig, die relevanz und die sozio-politische
reichweite zu erkennen und zu qualifizieren, damit schäden und risiken ausgeschlossen werden können bzw. dass der gesetzgeber rechtsstaatliche sicherheit nicht bieten kann.
die die in der politischen diskussion befindlichen
verfügungsrechte und möglichen praktiken, zugriff auf daten und onlineströme staatlicherseits ungehemmt (bzw. eben unqualifiziert) nehmen zu dürfen, bergen. es sind unabschätzbare soziale, aber sehr wohl nichtabsicherbare
pekuniäre schadensersatzrelevante schäden.
ich gebe ein banales und simples, ja geradezu geringfügigeres beispiel: wenn ein hochdotierter
manager, als von untersuchungen privat beschuldigter,
beruflichen rufmord erleidet, allein weil bekannt
wird, dass ihn der verdachtsvorwurf (ohne richtervorbehalt)
traf und eine weile an seiner unbefleckten
berufsausübung behindert, entsteht unter umständen bezifferbarer schaden (ende seiner karriere), der einklagbar ist und nicht dem allgemeinen lebensrisiko des geschädigten zugewiesen werden kann.
bliebe andererseits der richter- oder staatsanwaltvorbehalt gesetzlich vorgeschrieben, wie es das verfassungsgericht
neuerdings meint, ist die gerichtlichkeit mangels personal außerstande, eine ausgeweitete heranziehung von daten zu strafverfolgungs- oder sicherheitszwecken sachlich
qualifizieren zu können (vermutlich liegt allein hierin
der grund, dass der gesetzgeber den richtervorbehalt streichen will und nicht in offizialen missbrauchsoptionen).
also: die polizei soll mittel verwenden dürfen, deren risiko
die polizei nicht ausreichend kennt und abschätzen kann.
das ist schon als politische absicht definitiv wahnsinn.
&
#1
raymond parole
on
2008-02-28 12:39
Von welchem Verdachtsvorwurf redest du? Onlinedurchsuchung ist doch nicht ohne Richtervorbehalt möglich, wieso schreibst du dann "ohne Richtervorbehalt"..?
Ich kann deinem Beitrag nicht so recht folgen...
Trifft das, von dir beschriebene, nicht auf jegliche Überwachende Maßnahme zu?
Gibt es eine öffentliche Liste, die bekannt gibt, bei wem eine Onlinedurchsuchung vollzogen wurde? So wie du das formulierst, würde es eine geben.
Hab ich dich total falsch verstanden oder geht dein Kommentar irgendwie sowohl am Thema, als auch an Realität vorbei?
Ich kann deinem Beitrag nicht so recht folgen...
Trifft das, von dir beschriebene, nicht auf jegliche Überwachende Maßnahme zu?
Gibt es eine öffentliche Liste, die bekannt gibt, bei wem eine Onlinedurchsuchung vollzogen wurde? So wie du das formulierst, würde es eine geben.
Hab ich dich total falsch verstanden oder geht dein Kommentar irgendwie sowohl am Thema, als auch an Realität vorbei?
danke für response.
ich rede von den forderungen von min schäuble und anderen,
die den richtervorbehalt abschaffen wollen. (ich weiß, dass das bundesverfassungsgericht am beispiel westfalen die aufhebung des richtervorbehalts als nicht verfassungsgemäß
einschätzt).
ich beziehe mich darauf, dass der staat - aus sicht und verpflichtung der rechtsstaatlichen selbstbindung - grundsätzlich keine vorschriften so regeln darf, dass
entsprechend "unbezahlbare" schäden/schadensersatzforderungen
entstehen können. das wird überhaupt nicht von
deiner frage berührt: ob, oder wodurch eine betroffene
person oder juristische person davon erfährt.
es steht hier der begriff des hinzunehmenden lebensrisikos
in rede bzw. der schaden, der zum beispiel bei dem
manager zumwinkel bereits eingetreten ist, der nicht
einmal angeklagt ist, nur verdächtigt, keinesfalls
schuldhaft von gerichten beurteilt. aber der schaden -
das ende seine bisherigen lebensweges ist unweigerlich
von der staatsanwaltsaktion erzeugt.
ich brede also davon, dass bei aufhebung des richter- bzw.
staatsanwaltvorbehalts onlineerfassungen und profilierungen in zusammenhang mit verdachtsverdächtigung
gesetzlich werden soll, dass dann als routine der
sicherheitsorgane hinzunehmen wäre.
es sind diese argumentation seitens schäuble.co
(gesetzlich und technisch auf der höhe der kriminellen
arbeiten zu dürfen)
und meine gegenargumentation, die hier in rede stehen.
&
ich rede von den forderungen von min schäuble und anderen,
die den richtervorbehalt abschaffen wollen. (ich weiß, dass das bundesverfassungsgericht am beispiel westfalen die aufhebung des richtervorbehalts als nicht verfassungsgemäß
einschätzt).
ich beziehe mich darauf, dass der staat - aus sicht und verpflichtung der rechtsstaatlichen selbstbindung - grundsätzlich keine vorschriften so regeln darf, dass
entsprechend "unbezahlbare" schäden/schadensersatzforderungen
entstehen können. das wird überhaupt nicht von
deiner frage berührt: ob, oder wodurch eine betroffene
person oder juristische person davon erfährt.
es steht hier der begriff des hinzunehmenden lebensrisikos
in rede bzw. der schaden, der zum beispiel bei dem
manager zumwinkel bereits eingetreten ist, der nicht
einmal angeklagt ist, nur verdächtigt, keinesfalls
schuldhaft von gerichten beurteilt. aber der schaden -
das ende seine bisherigen lebensweges ist unweigerlich
von der staatsanwaltsaktion erzeugt.
ich brede also davon, dass bei aufhebung des richter- bzw.
staatsanwaltvorbehalts onlineerfassungen und profilierungen in zusammenhang mit verdachtsverdächtigung
gesetzlich werden soll, dass dann als routine der
sicherheitsorgane hinzunehmen wäre.
es sind diese argumentation seitens schäuble.co
(gesetzlich und technisch auf der höhe der kriminellen
arbeiten zu dürfen)
und meine gegenargumentation, die hier in rede stehen.
&
#2
raymond+parole
on
2008-03-03 16:39
Add Comment