von Phillip Brunst

Dass Handlungen im Cyberspace sehr reale Strafen nach sich ziehen können (z.B. Geld- oder Gefängnisstrafen), dürfte inzwischen auch dem letzten Computerstraftäter klar sein – auch wenn die Täter (zum Teil zu Recht) davon ausgehen, dass die Chancen, entdeckt zu werden, in der Regel recht gering sind. In England wird jetzt über weitere Strafmaßnahmen nachgedacht.

In der UK Cyber Security Strategy wird u.a. ausgeführt, dass Richter in England ermutigt werden sollen, zukünftig bei online begangenen Straftaten (neben den regulären Strafen) verstärkt auch Online-Sanktionen zu verhängen. Hierzu gehören z.B. die Überwachung oder Einschränkung des Internetverkehrs nach der Haftentlassung, etwa um zu verhindern, dass eBay-Betrüger Online-Auktionen nutzen oder dass Cyber-Stalker zum Schutz der Allgemeinheit nur eingeschränkten Internetzugang erhalten. Diese Maßnahmen sind bereits nach geltendem britischen Recht möglich.

Darüber hinaus sollen zukünftig so genannte “cyber-tags” eingeführt werden. Darunter versteht die Regierung offenbar bestimmte Verhaltensweisen einer verurteilten Person im Internet, die Indikator dafür sein sollen, dass diese sich nicht an die gerichtlich vorgegebenen Verhaltensweisen hält (z.B.: ein verurteilter Betrüger stellt erneut Artikel auf eBay ein, obwohl der Richter dies untersagt hat). In diesem Fall soll automatisch die Polizei oder der Bewährungshelfer informiert werden. The Register spekuliert diesbezüglich schon über Twitter- und Facebook-Verbote für einschlägige Täter.

England hatte bereits im Jahr 2010 mit der Three-Strikes-Regelung als eines der ersten Länder Online-Sanktionen eingeführt. Das Three-Strikes-Modell erlaubt es, den Internet-Zugang mehrfach ertappter Urheberrechtsverletzer zu sperren oder die Bandbreite zu drosseln, um auf diese Weise künftige Taten zu unterbinden. Auch in Frankreich gibt es seit 2009 ein derartiges Verfahren. Angeblich droht dort momentan 60 Nutzern die letzte Stufe dieses Verfahrens.

Betrachtet man die Geschwindigkeit, mit der gefordert wurde, die englischen und französischen “Innovationen” (trotz aller Kritik) auch auf Deutschland zu übertragen, so dürfte es nicht lange dauern, bis auch hierzulande die ersten Forderungen nach “Online-Sanktionen” laut werden.

Sinnvoller erscheinen da die Begleitmaßnahmen, die nach der Cyber Security Strategie ebenfalls geplant sind. So sind etwa allgemeine Informationskampagnen vorgesehen, mit der grundlegende Sicherheitsmaßnahmen der breiten Bevölkerung und in der Privatwirtschaft vermittelt werden sollen. Nach Auffassung der britischen Regierung sollen sich so bis zu 80% der gegenwärtig begangenen Online-Taten verhindern lassen:

Because prevention is key, we will work to raise awareness and to educate and empower people and firms to protect themselves online. 80% or more of currently successful attacks exploit weakness that can be avoided by following simple best practice, such as updating anti-malware software regulary.

Hierfür sollen auch soziale Netzwerke eingesetzt werden, um auf diesem Weg schnell große Teile der Bevölkerung über erkannte Gefahren aus dem Internet (z.B. Betrugsmaschen) informieren zu können.

Im Übrigen spricht sich das Vereinigte Königreich an mehreren Stellen seiner (auch sonst durchaus lesenswerten) Cyber Security Strategie dafür aus, aktiv die Cybercrime-Konvention des Europarates zu unterstützen und deren weitere Verbreitung zu fördern. Insbesondere das 24/7-Netzwerk, das eine schnelle transnationale Kontaktaufnahmen bei Cybercrime-Fällen erlauben soll, wird hervorgehoben.

via pbrunst

von Phillip Brunst

Wie häufig passiert es, dass man z.B. http://www.gogole.de eintippt, statt http://www.google.de? Derartige “Vertipper” kennt wahrscheinlich jeder. Bislang wurde dies vor allem von Firmen genutzt, die derartige Domains für sich registriert haben, um den darauf fehlgeleiteten Traffic für Werbeanzeigen zu nutzen und darüber Geld zu verdienen. Die Registrierung dieser “Vertipper”-Domains wird als “Typosquatting” bezeichnet.

Zwei Wissenschaftler haben nun derartige Domains für viele der sog. “Fortune 500 Companies”, also weltweit agierende, große Unternehmen registriert. Zweck war es allerdings nicht, Web-Traffic für Werbeanzeigen zu generieren, sondern gezielt fehlgeleitete E-Mails zu erfassen und auszuwerten. Nach sechs Monaten konnten sie knapp 20 Gigabyte Daten analysieren. Wenn man sich vor Augen führt, dass eine E-Mail üblicherweise nur wenige Kilobyte groß ist (ohne Attachments), dann kann man sich ausmalen, wie viel Datenverkehr ausgewertet werden konnte. Unter den – “abgefangen” ist hier wohl das falsche Wort – erhaltenen E-Mails befanden sich solche mit den Usernamen und Passwörtern von Angestellten, Details zur Netzwerkkonfiguration, Rechnungen und ähnliche Dokumente.

Details sind in einem Paper der beiden Wissenschaftler veröffentlicht worden. Danach waren etwa 30% der Fortune 500 Companies grundsätzlich für derartige Angriffe verwundbar. Bei ihren Recherchen fanden die Wissenschaftler zudem heraus, dass bereits einige Typo-Domains für große U.S.-Firmen von China aus registriert worden waren. Es liegt daher nahe anzunehmen, dass derartige Angriffe bereits gefahren werden.

Ein besonderes Risiko liegt hierbei vor allem darin, dass die Angriffe kaum bemerkt werden können, da kein Angriff auf die eigene Infrastruktur stattfindet. Es handelt sich also um rein passive Angriffe. Bei Vertippern in E-Mails wird meist lediglich eine Fehlermeldung empfangen, die kein weiteres Misstrauen hervorruft. Oder das Missgeschick wird aus einem Grund bemerkt kommentarlos durch den Absender korrigiert (indem die Mail an den richtigen Empfänger erneut gesendet wird). Besonders Firmen, die Subdomains nutzen (z.B. se.ibm.com für den schwedischen Teil der Firma IBM) scheinen verwundbar zu sein (etwa beim versehentlichen Weglassen des Punktes bei Registrierung von seibm.com). Von den 30 Domains, die durch die Wissenschaftler registriert wurden, bemerkte lediglich eine einzige Firma die Aktion und drohte mit einer gerichtlichen Verfolgung, falls die Domain nicht wieder freigegeben würde.

Aus Sicht der Wissenschaftler kommen vor allem zwei Möglichkeiten in Betracht, um derartige Angriffe zu verhindern. Zum einen können Firmen versuchen, mögliche Typo-Domains selbst zu registrieren. Dies wäre jedenfalls für die gängigen Vertipper möglich. Die eingangs erwähnte Domain http://www.gogole.de wurde z.B. von einem Markenschutzunternehmen registriert. Zum anderen kann der interne Netzwerkverkehr zu derartigen Domains auf der Ebene des Routers blockiert werden. Damit werden zwar keine externen Mails an die Doppelgänger-Domains blockiert, aber zumindest der interne Datenverkehr kann ausgefiltert werden.

Via pbrunst.

von Phillip Brunst

Wardriving ist ein alter Hut. Bewaffnet mit einem Laptop und einem GPS-Empfänger fährt man im Auto durch die Gegend, um offene (und ggf. auch gesicherte) WLANs zu finden und auf einer Karte zu dokumentieren. Da man in einige Gegenden mit dem Auto entweder gar nicht oder nur sehr auffällig gelangt, kamen schon früh einige Aktivisten auf die Idee, das Auto gegen ein Flugzeug auszutauschen. Warflying nannte sich das dann. Nun gibt es eine weitere Steigerung: zwei Sicherheitsexperten haben Warflying mit einem IMSI-Catcher kombiniert – und das ausschließlich mit kostengünstig und frei erwerbbaren Teilen.

Ein IMSI-Catcher gibt sich gegenüber einem Handy als Basisstation aus, in die sich ein Mobiltelefon einbucht, wenn das Signal ausreichend stark ist. Auf diese Weise kann die International Mobile Subscriber Identity (IMSI) ausgelesen werden, mit der Teilnehmer eindeutig identifiziert werden können (daher der Name IMSI-Catcher) und z.B. der genaue Standort des Geräts ermittelt werden. Letztlich lässt sich auf diesem Weg auch ein Telefonat abhören, was einen IMSI-Catcher sowohl für Strafverfolgungsbehörden als auch grundsätzlich für Kriminelle (z.B. im Bereich der Wirtschaftsspionage) sehr interessant macht. Kommerzielle Geräte waren früher allerdings nur für sechsstellige Eurobeträge und mit besonderer Genehmigung erhältlich, was die Einsatzhäufigkeit drastisch reduziert hat. Inzwischen hat sich das Preisniveau zwar teilweise etwas entspannt, für weite Teile der Bevölkerung bleiben derartige Geräte aber dennoch unerschwinglich (und der Einsatz illegal).

Letztes Jahr sorgte daher ein IMSI-Catcher im Eigenbau für nur 1.500 EUR für großes Aufsehen. Da liegt es nahe, derartige Technik mit geeignetem Fluggerät zu kombinieren. Die Drohne, die Mike Tassey und Richard Perkins nach einem Bericht auf Golem (dort gibt es auch ein Video) nun gebaut haben, kommt mit 6.000 Dollar zwar etwas teurer als der Billig-Catcher alleine, ist dafür aber ausschließlich aus legal erwerbbaren Teilen zusammengebaut und erlaubt den Angriff auf Mobiltelefone aus der Luft. Die WASP (Wireless Aerial Surveillance Platform) getaufte Konstruktion soll sich nach Aussage der Entwickler “auch zum Guten einsetzen” lassen, zum Beispiel, um “das Mobilfunksignal einer vermissten Person aufzuspüren”. Ob dies tatsächlich der bevorzugte Einsatzzweck sein wird, wage ich zu bezweifeln.

von Nicolas von zur Mühlen

Bis heute haben 23 der 27 Staaten der EU die Richtlinie zur Vorratsdatenspeicherung aus dem Jahr 2006 umgesetzt. In einzelnen Staaten ist dabei aufgrund verfassungsrechtlicher Bedenken schon gar keine Transformation in nationales Recht vorgenommen worden, in anderen Staaten wurden die auf Grundlage der Richtlinie erlassenen Gesetze durch die Verfassungsgerichte aufgehoben. Die EU hatte daher bereits 2008 beschlossen, bis “spätestens 15. September 2010 eine Bewertung der Anwendung der Richtlinie sowie ihrer Auswirkungen auf die Wirtschaftsbeteiligten und Verbraucher unter Berücksichtigung der neuesten Entwicklungen in der Kommunikationstechnik und anhand der ihr zur Verfügung gestellten statistischen Daten zur Vorratsdatenspeicherung vorzulegen.” Trotz dieser wohlformulierten Ziele sind bis heute jedoch kaum Ergebnisse der Studien nach außen gedrungen, welche die einzelnen Mitgliedsstaaten zur Erhebung dieser Daten durchgeführt haben, noch ist es gar zu einer Veröffentlichung der angekündigten Gesamtbewertung der EU gekommen.

Wie heise.de berichtet, gibt eine aktuelle Studie des wissenschaftlichen Dienstes des Bundestages nun einen Überblick über das statistische Datenmaterial, welches in den europäischen Ländern im Kontext der verdachtsunabhängigen Protokollierung von Nutzerspuren vorhanden ist. Danach sei es in den meisten Staaten in den Jahren 2005 bis 2010 zu “keinen signifikanten Änderungen der Aufklärungsquote” gekommen. Unklar bleibt indes, ob dies darauf zurückgeführt werden kann, dass die Vorratsdatenspeicherung den Ermittlern nicht wirklich weitergeholfen hat (wie es in der Überschrift des Artikels bei heise online lautet), oder ob die Länder schlichtweg kein (aussagekräftiges) statistisches Datenmaterial für die Studie beisteuern konnten. Dies deutet der Artikel zumindest an anderer Stelle an, in der es heißt, dass “gemäß dem Papier Informationen zu Effekten der Protokollierung von Nutzerspuren auf die Aufklärungsquote von Straftaten in den einzelnen Mitgliedsstaaten nicht vorliegen”.

Es bleibt daher abzuwarten, ob die im Rahmen der Diskussion zur Vorratsdatenspeicherung von allen Seiten mit Spannung erwartete Evaluation der EU überhaupt aussagekräftige Ergebnisse liefern wird. Zu wünschen wäre dies zumindest, da ohne entsprechende empirische Grundlagen eine Auseinandersetzung über Sinn und Unsinn dieser Maßnahme wohl zwangsläufig weiterhin im luftleeren Raum erfolgen wird.

von Jan Spoenle

Wer noch auf der Suche nach einem spannenden Buch für sonnige Frühlingstage ist und sich inhaltlich mit Kriminalität im Internet beschäftigen will, dem kann geholfen werden: Vor kurzem ist das Buch “Kingpin” neu erschienen – der Ex-Hacker, Wired-Autor und Cybercrime-Reporter Kevin Poulsen beschreibt minutiös die Jagd auf den Carder Max “Vision” Butler, der als Berater des FBI tätig war, während er sich gleichzeitig unter seinem Pseudonym “Iceman” nicht nur liebevoll um die Kreditkartennummern anderer Leute gekümmert, sondern auch viele kriminelle “Kollegen” um deren Beute gebracht hat und dadurch berühmt-berüchtigt wurde. Das Buch bietet wertvolle Einblicke in die Strukturen der – mehr oder weniger organisierten – Internetkriminalität und gibt damit eine glasklare Leseempfehlung ab.

Ein weiteres hoch spannendes Buch zum Thema entstammt ebenfalls dem Genre “True Crime”: Fatal System Error von Joseph Menn, einem intimen Szene-Kenner und hochkarätigen Journalisten der Financial Times. Anders als Poulsen schildert Menn eine der wenigen erfolgreichen internationalen Kooperationen gegen Internetkriminalität aus der Perspektive der Strafverfolger; außerdem erfährt der Leser die wahre Geschichte von Barrett Lyon, der sich mit der Abwehr von dDos-Angriffen auf die Glücksspiel-Branche einen Namen gemacht hat und später zu einem wertvollen Berater für die inzwischen nicht mehr existente britische National High Tech Crime Unit (NHTCU) wurde. Wie Poulsens “Kingpin” glänzt das Buch mit hervorragend recherchierten Einzelheiten über die Abläufe im Bereich der Online-Kriminellen als auch über die teils traurige Realität der internationalen Zusammenarbeit von Polizeibehörden und verdient sich schon dadurch eine Empfehlung für interessierte Leser.

Beide Bücher sind, soweit ersichtlich, derzeit lediglich auf Englisch erhältlich; angesichts des ständigen und notwendigen Einsatzes englischsprachiger Fachbegriffe aus dem IT-Sicherheits-Jargon dürfte sich ein Warten auf die deutsche Übersetzung allerdings kaum lohnen.

von Phillip Brunst

Es ist schon sehr kompliziert geworden in dieser Welt. Insbesondere, wenn man als Polizeibehörde eine technische Überwachungsmaßnahme schalten will oder als Richter(in) darüber zu befinden hat. So scheint es jedenfalls, wenn man sich eine aktuelle Entscheidung des LG Landshut (PDF) anschaut, die iiure.org vor ein paar Tagen veröffentlicht hat. Aber der Reihe nach.

Das AG Landshut hatte in einem BtMG-Fall “gemäß § 100a, b StPO” die Überwachung des Telekommunikationsverkehrs eines Beschuldigten angeordnet. Davon sollte nach Ansicht des unterzeichnenden Richters auch erfasst sein “die Überwachung und Aufzeichnung der […] verschlüsselten Telekommunikation sowie die Vornahme der hierzu erforderlichen Maßnahmen im Rahmen einer Fernsteuerung.” Dies sollte, so der Richter, die Erfassung von über https laufenden Webanfragen und von Skype-Sprachverkehr erlauben. Die Polizei installierte daraufhin unter anderem ein Programm, das im 30-Sekunden-Takt einen Screenshot, also ein Bildschirmfoto anfertigte. Das – so das LG – ist aber über eine Anordnung nach §§ 100a, 100b StPO nicht möglich. Es hat daher die Anfertigung von Screenshots als rechtswidrig erkannt, im übrigen die Maßnahmen aber für rechtmäßig befunden. Damit liegt es ganz auf der Linie der herrschenden Meinung.

Die StPO bietet mit den §§ 100a, b StPO in der Tat eine Rechtsgrundlage, um Telekommunikationsverbindungen aufzuzeichnen. In der Regel setzen diese beim Provider an. Bei verschlüsseltem Datenverkehr, etwa über https oder mit Programmen, die den Datenverkehr selbständig verschlüsseln, z.B. Skype, führt dies dazu, dass auch nur die verschlüsselt ausgetauschten Daten aufgezeichnet werden können. Mit anderen Worten: damit kann niemand etwas anfangen. International werden zu diesem Problem verschiedene Lösungen diskutiert, z.B. Täter zur Schlüsselherausgabe zu zwingen, nur schwache Kryptographie zuzulassen, die man mit ordentlich Rechenpower auch selbst wieder knacken kann, oder ganz einfach Verschlüsselung zu verbieten.

Deutschland hat sich für den technischen Weg entschieden. Mit Hilfe der Online-Durchsuchung kann heimlich – ähnlich wie bei einem Hacking-Angriff – auf den Rechner eines Verdächtigen zugegriffen werden. Dort kann sich die Polizei dann in aller Ruhe “virtuell” umsehen, Informationen sichern und – in bestimmten Fällen – sogar löschen. Das Bundesverfassungsgericht hat in seiner viel beachteten Entscheidung zur Online-Durchsuchung allerdings darauf hingewiesen, dass für derartige Maßnahmen eine eigene Rechtsgrundlage erforderlich ist. Eine solche existiert z.B. inzwischen mit § 20k BKAG für das Bundeskriminalamt oder mit Art. 34d BayPAG für die Bayerische Polizei. In Bayern sind die Voraussetzungen hierfür jedoch recht streng. Erforderlich ist z.B., dass eine dringende Gefahr besteht für Leib, Leben oder Freiheit einer Person. Zur Aufklärung eines Betäubungsmitteldelikts wäre der Einsatz unzulässig.

Neben der vollwertigen Online-Dursuchung gibt es noch die Quellen-Telekommunikationsüberwachung, kurz Quellen-TKÜ. Hierbei wird ebenfalls in den Rechner eingedrungen. Allerdings wird nicht der Inhalt der Festplatte durchsucht, sondern es werden “nur” Kommunikationsinhalte mitgeschnitten – und zwar entweder bevor sie verschlüsselt den Rechner verlassen, oder nachdem sie auf dem Rechner angekommen und entschlüsselt wurden. Vereinfacht kann man sich vorstellen, der Trojaner (denn darum handelt es sich letztlich) würde die Signale am Mikrofon und an den Lautsprechern abschalten. Auch mit dieser Problematik hat sich das Bundesverfassungsgericht in der Entscheidung befasst. Es ist zu dem Schluss gekommen, dass eine Quellen-TKÜ nur dann ohne gesonderte Rechtsgrundlage möglich ist, wenn technisch sichergestellt ist, dass ausschließlich Kommunikationsinhalte erfasst werden können, nicht etwa – um beim Mikrofon-Beispiel zu bleiben – auch das Gespräch im Raum, das gar nicht für die Übertragung im Internet vorgesehen war. In diesem Fall sollen nach einer weit verbreiteten Ansicht §§ 100a, 100b StPO ausreichend sein. Gleichwohl gibt es mit § 20l BKAG oder dem vor wenigen Tagen in Kraft getretenen Bestimmungen in Rheinland-Pfalz auch explizite gesetzliche Regelungen hierzu. In Bayern fehlt eine Landesregelung bislang.

Das LKA hatte geschildert, dass sie einen modifizierten Skype-Client auf dem Rechner des Beschuldigten installiert hatten. Auf diese Weise ist sichergestellt, dass nur Kommunikationsinhalte, nämlich die mit Skype übertragenen VoIP-Informationen und Messages, abgefangen werden können, nicht auch sonstige Inhalte. Insoweit war die Entscheidung des LG also ganz richtig.

Die Screenshot-Funktion geht jedoch über das reine Abgreifen von verschlüsselten Telekommunikationsinhalten weit hinaus. Vielmehr – so führt das LG ganz richtig aus – erfasst sie Inhalte, die vor dem eigentlichen Telekommunikationsvorgang entstehen und möglicherweise so niemals den Rechner verlassen werden. Schließlich kann man eine E-Mail bis zum Abschicken noch beliebig verändern – oder sie sogar wieder ganz löschen. Hätte das LKA also eine derartige Screenshot-Funktionalität haben wollen, so wäre dies nur im Rahmen einer Online-Durchsuchung möglich gewesen, weil damit in das nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG geschützte “Recht auf Vertraulichkeit und Integrität informationstechnischer Systeme” (vulgo: “Computergrundrecht”) eingegriffen wird. Zur Aufklärung von BtMG-Delikten ist das aber wie dargestellt nicht möglich.

Die Entscheidung des LG ist daher zu begrüßen. Verwunderlich ist allerdings, wie das LKA Bayern, das immerhin bereits seit mehreren Jahren über ein Kompetenzzentrum zur Telekommunikationsüberwachung verfügt, überhaupt auf die Idee kommen kann, eine derartige Maßnahme, die immerhin für jeden Einzelfall programmiert bzw. angepasst werden muss, einzusetzen. Auch dass ein Ermittlungsrichter den Vollzug der Maßnahme nicht sofort als rechtswidrig erkennt, sondern damit erst die nächste Instanz befasst werden muss, lässt für die nähere Zukunft nichts Gutes erwarten. Immerhin ist die Diskussion um die Online-Durchsuchung und die Einführung (und speziell in Bayern: anschließende Anpassung) von landesrechtlichen Vorschriften in diesem Bereich mit derart großen Presseberichten begleitet worden, dass niemand ernsthaft behaupten könnte, nicht ausreichend für die Problematik sensibilisiert gewesen zu sein.

von Nicolas von zur Mühlen

von Jan Spoenle

Im Dezember erfreuen sich nicht nur Jahresrückblicke aller Arten und Geschmacksrichtungen großer Beliebtheit – viele fühlen sich auch zu Vorhersagen über konkrete Entwicklungen im kommenden Jahr berufen und stellen aufgrund ihres Erfahrungsschatzes mehr oder weniger seriöse Überlegungen an.

So hat etwa Jart Armin, ein im Hinblick auf seine Expertise allseits anerkannter IT-Security-Spezialist, der mit seinem Projekt Host Exploit gegen kriminelle Infrastrukturen im Netz kämpft, einen Ausblick auf das Jahr 2011 in Sachen Cybercrime gewagt. In seinem Blog-Beitrag mit dem Titel “2011: The Good, the Bad & the Ugly” freut er sich auf HTTPS-Verschlüsselung für alle und alles sowie über strengere Gesetze gegen Cyberkriminalität in Russland. Auf der Soll-Seite hingegen prophezeit er deutlich mehr an Neuerungen für das kommende Jahr: So geht Armin davon aus, dass die derzeit noch als relativ geschützt geltenden Apple-Plattformen Mac OS X und iOS endgültig zum Ziel der organisierten Internetkriminellen werden und beschwört dazu passend den Aufstieg von Smartphone-Botnetzen herauf – letzteres hat man zwar schon häufiger gehört, angesichts des Verkaufserfolgs dieser Geräteklasse im abgelaufenen Jahr erscheint die Einschätzung jedoch nicht unrealistisch. Und schließlich befürchtet der Sicherheitsexperte, dDoS-Angriffe wie jüngst gegen Unternehmen, die dem Wikileaks-Projekt ihre Unterstützung entzogen haben, könnten künftig zur Allzweckwaffe für die Einschüchterung und Belästigung auch von Einzelpersonen avancieren.

Trübe Aussichten? Die sind wohl – wie so häufig – zum Teil einer gewissen déformation professionnelle geschuldet. Was meinen die Blogleser zu den Entwicklungen in Sachen Netzsicherheit und Cybercrime im kommenden Jahr?

von Phillip Brunst

Die immer weiter zunehmende Chat-Bereitschaft nicht nur über die Tastatur, sondern auch über die (meist in neueren Laptops schon eingebaute) Kamera gepaart mit günstigen Flatrates, die dazu führen, dass viele Computer 24/7 angeschaltet sind, bedeuten auch für ambitionierte Cyberkriminelle spannende Herausforderungen. In mehreren Fällen ist in der letzten Zeit über Täter berichtet worden, die über das Internet auf die Kamera ihrer Opfer zugegriffen haben und – wortwörtlich – so in Wohn- und Schlafzimmer eingedrungen sind. In einem Fall brüstete sich der Täter vor seinen Freunden, dass er umfangreiches Material, z.B. einer Teenagerin in Schuluniform, einer Mutter mit ihrem Neugeborenen im Krankenhaus sowie intimes sexuell einschlägiges Material auf diese Weise auf seinen Rechner gebracht habe.

In einem anderen Fall ging der Täter auf die gleiche Weise vor und sicherte sich vor allem Bilder, auf denen die ahnungslosen Opfer beim An- und Ausziehen zu sehen waren. Etwa drei Millionen Bilder wurden auf seinem Rechner später gefunden. Nachweislich war er in einem guten halben Jahr in fast 100 Rechner von Kindern und Erwachsenen eingedrungen.

Technisch waren sich beide Täter ähnlich. Sie hatten E-Mails verschickt, die einen Trojaner auf den Rechnern der Opfer implementierten. Neben einer ausgeprägten voyeuristischen Ader hatten beide zudem versucht, ihr Selbstwert- und Machtgefühl durch die Taten zu steigern. So konnte anhand der Chatlogs nachvollzogen werden, wie einer der beiden vor seinem Freund damit angab, ein 16 Jahre altes Mädchen sei in Tränen ausgebrochen, nachdem er begonnen habe, auf ihrem Bildschirm Wörter zu vertauschen – nachdem er sie bereits stundenlang beobachtet hatte.

Die Täter sind zu 22 Monaten auf Bewährung (nach deutschem Recht) bzw. 18 Monaten Haft (nach englischem Recht) verurteilt worden. Aufgeflogen waren beide allerdings aus gänzlich anderen Gründen: Während der englische Täter für mehrere Jahre unbehelligt seinem Hobby frönen konnte und lediglich seine sonstigen (ebenfalls cyber-) kriminellen Aktivitäten in einer Hacker-Gruppe Scotland Yard und finnische Behörden auf den Plan lief, fiel der deutsche Täter unmittelbar aufgrund seiner Webcam-Leidenschaft auf: Eines seiner Opfer hatte beim Besuch eines Datenschutzbeauftragten in der Schule darüber berichtet, dass die Kontroll-Leuchte der Webcam am Laptop ständig an sei. Im Rahmen der darauf folgenden Ermittlungen war der Trojaner aufgefallen und der Täter konnte kurz darauf verhaftet werden.

von Malaika Nolde

Für die einen ist es kollektive Kriminalitätsbekämpfung mit Spiel- und Spaßfaktor, für die anderen ist es die Privatisierung der Überwachungsgesellschaft durch gefährliches Denunziantentum… Mit “Internet Eyes” kann jetzt jeder im Nebenjob Hausdetektiv (auch i.S.v. Detektiv am häuslichen PC) werden. Registrierte  Nutzer verfolgen durch Livebilder von CCTV-Überwachungskameras das Geschehen und das Verhalten der Kunden in den am Projekt beteiligten Geschäften und melden verdächtige Beobachtungen sofort über eine Alert-Funktion. Diesen Hinweisen wird vor Ort nachgegangen. Abhängig vom Ergebnis der Recherche werden Punkte vergeben, falls tatsächlich ein Delikt aufgedeckt wurde. Der Teilnehmer, der am Ende des Monats die meisten Punkte erzielt hat, erhält 1.000 Pfund.

Dem Konzept liegt angeblich die Beobachtung zugrunde, dass zahlreiche der in Großbritannien mittlerweile eingesetzten CCTV-Überwachungskameras nicht ausgewertet werden, weil für die über 4 Millionen Kameras nicht annähernd ausreichend Personal zur Verfügung steht, das sich mit einer Kontrolle des Bildmaterials befasst. Im Lichte einer solchen Erkenntnis könnte man nun diese Ressourcenknappheit der Kontrolleure als naturgegebenen Schutz vor einer Totalüberwachung akzeptieren, vielleicht sogar als Sicherungsfunktion für die Bürgerrechte begrüßen. CCTV steht für “Closed Circuit Television”: Auf die Daten hat aus guten Gründen grds. nur ein begrenzter Personenkreis Zugriff.

Im Mutterland der CCTV-Überwachung wird mit “Internet Eyes” jedoch eine andere Lösung für den Engpass angestrebt: Die Kameras bleiben – und zusätzliche Augen zur Auswertung werden rekrutiert. Die Kleinen Schwestern des Großen Bruders zahlen sogar freiwillig eine “Schutzgebühr”, um sich am heimischen PC als Hobby-Ladendetektive betätigen zu können. Auch die Geschäfte, deren Kameras an das Angebot angeschlossen sind, beteiligen sich finanziell an dem einmal monatlich ausgeschütteten Preisgeld und hoffen auf diese Weise kostengünstig Kontrollen outsourcen zu können.

Klingt nach einer Win-Win-Situation … würden nicht die Datenschützer z.B. an die Rechte der Kunden erinnern, die eigentlich nur eine Flasche Milch kaufen wollten und sich nun auf dem PC einer Hobby-Miss Marple wiederfinden. Bereits vor einem Jahr wurde bei Golem mit der Überschrift “Spielend überwachen: Überwachung als Online Game” über “Internet Eyes” berichtet. In den letzten Tagen ist das Projekt durch die aktuelle Kritik von Bürgerrechtlern, die sich an das Denunziantentum in Diktaturen erinnert fühlen, wieder vermehrt in der Diskussion. Die Initiatoren von “Internet Eyes” heben weiterhin die Idee der Kriminalitätsbekämpfung hervor – und streben sogar einen internationalen Markt an.

Wer sich an die Debatte erinnert, die Anfang 2010 im Zusammenhang mit den online gestellten Webcam-Aufnahmen einer Buchhandelskette aufkam, wird allerdings an der Exportfähigkeit des Konzepts Zweifel haben. Bezeichnenderweise hob auch die Sprecherin der betroffenen Ladenkette damals hervor “Uns war die Brisanz des Themas gar nicht bewusst. [...] Für uns war das eigentlich eine Spielerei.” An den rechtlichen Problemen ändert dies wenig, auch wenn sich gerade hierzulande viele begeisterte Anhänger des Projekts finden dürften, solange sie nicht vor, sondern nur hinter der Kamera “mitspielen”.