Krypto e.V.

Das schwedische Standardisierungsinstitut SIS (www.sis.se) hat die positiv ausgefallene Abstimmung für die ISO-Standardisierung des offenen Dokumentenstandards Open XML von Microsoft überraschend zurückgezogen. Es gäbe den dringenden Verdacht, dass ein Mitglied der abstimmungsberechtigten Unternehmen mehrfach seine Stimme abgegeben habe. Dadurch müsse der Abstimmungsvorgang als ungültig erachtet werden, so die SIS in einer offiziellen Stellungnahme. Bestritten wurde freilich, dass die Zurücknahme des Ergebnisses mit der unmittelbar nach der Abstimmung laut gewordenen Kritik zu tun habe, Microsoft habe sich das positive Ergebnis gekauft.

Der Microsoft-Manager Jason Matusow hat indessen in seinem Blog (blogs.msdn.com/jasonmatusow) Stellung zu den Vorwürfen bezogen. Er bestätigte, dass ein Mitarbeiter von Microsoft Schweden zumindest zwei Unternehmen via E-Mail gebeten hat, an der Abstimmung teilzunehmen. Innerhalb weniger Stunden habe sich derselbe Mitarbeiter auf Betreiben von Microsoft Sweden aber erneut bei den Unternehmen gemeldet und das vorhergehende Mail für nichtig erklärt. Matusow bekräftigte zudem, dass Microsoft niemals angeboten habe, den für die Abstimmung fälligen Mitgliedsbeitrag zu übernehmen: “Das widerspricht unser internen Firmenpolitik und wird auch an alle unseren regionalen Zweigstellen so kommuniziert.”

Der Microsoft-Manager gab auch zu Protokoll, dass man das Standardisierungsinstitut unmittelbar nach Kenntnisnahme des Vorfalls darüber informiert habe, um jeglichen Missverständnissen vorzubeugen. Wie das SIS in seiner Pressemitteilung bekannt gab, wird die schwedische Abstimmung im globalen ISO-Standardisierungsprozess nun nicht berücksichtigt werden. Als Grund geben die SIS-Verantwortlichen an, dass die Zeit bis zum vorgesehen Abstimmungsende einfach zu knapp ist. Als Stichtag für die nationalen Empfehlungen, ob Open XML ein ISO-Standard werden soll oder nicht, ist der 2. September vorgesehen.

In Zukunft könnte das gesamte Leben eines Menschen von einem Netzwerk intelligenter Sensoren aufgezeichnet werden, sagt Martin Sadler, Forscher bei Hewlett Packard, gegenüber BBC. Im Jahr 2057 werde es in Großbritannien zumindest eine Mio. Kameras, Sensoren oder andere Aufnahmegeräte pro Einwohner geben, prognostiziert der Wissenschaftler. Eine britische Studie aus dem Jahr 2002 hatte errechnet, dass im Moment etwa 4,2 Millionen Überwachungskameras im Einsatz sind – im Schnitt eine pro 14 Bürgern. “Der durchschnittliche Londoner wird mehr als 300 Mal am Tag gefilmt”, so Sadler.

Die zu erwartenden Fortschritte bei Speicher- und Kameratechnologie und die sinkenden Kosten würden in Zukunft zu einer explosionsartigen Verbreitung von Überwachungstechnologie führen. “Vielleicht erfahren dann Frauen dadurch, dass sie Werbung für Babykleidung bekommen, dass sie schwanger sind, weil die intelligente Toilette oder ein anderes Objekt in ihrer Umgebung diese Information gesammelt hat”, warnt Sadler vor ethischen Konflikten.

“In 50 Jahren wird es in Großbritannien wahrscheinlich etwa eine Million unterschiedliche Sensoren pro Kopf geben”, prognostiziert der Wissenschaftler. Im Gegensatz zu dieser “konservativen” Schätzung, vermuteten andere sogar einen Anstieg der Zahl auf bis zu 20 Millionen pro Einwohner. Am Ende würden wir uns in einer Welt bewegen, in der “alles was wir beobachten möchten, auch beobachtet werden kann”, so Sadler. Potentieller Missbrauch dieses Sensorennetzwerkes sei zu erwarten.

Oliver Sparrow, Berater der britischen Regierung und internationaler Organisationen, geht in seiner Zukunftsprognose noch einen Schritt weiter. Fortschritte in der Technologie würden winzige Überwachungsgeräte möglich machen, die unsere Körper und unseren Lebensraum durchdringen und so jegliche Information aufzeichnen könnten, so Sparrow. “Wir haben in den nächsten Jahren Entscheidungen darüber zu treffen, ob wir von der Technologie profitieren, oder ob sie eine dunkle Zukunftsvision darstellt”, so Sadler. In Zukunft müsse die Debatte über Überwachungstechnologien verstärkt in der Öffentlichkeit stattfinden, sind sich beide Wissenschaftler einig.

Die Sicherheitsexperten von F-Secure berichten in ihrem Weblog, dass sie eine Software mit Rootkit-Funktion aus dem Haus Sony entdeckt haben. Vor knapp zwei Jahren lieferte Sony BMG in den USA Audio-CDs mit einem Kopierschutzprogramm aus, das ebenfalls ein Rootkit enthalten hat. Im aktuellen Fall bekommen Sony-Kunden das zwielichtige Tool in einer Software geliefert, die für die Installation des Fingerprint-Sensors des Microvault USB-Sticks nötig ist.

Bei der Installation der Fingerabdruck-Funktionen wird das versteckte Verzeichnis “c:\windows\” angelegt, berichten die F-Secure-Techniker. Lässt sich der PC-User nun alle Ordner und Dateien in Windows anzeigen, so ist eben dieses Verzeichnis nicht sichtbar, da es von der Windows API nicht erkannt wird. “Kennt man jedoch den Namen des Ordners, so kann man darin weitere Dateien ablegen, die in weiterer Folge ebenfalls nicht angezeigt werden. Zudem ist es dort möglich, Malware zu deponieren und unerkannt auszuführen”, heißt es im Blog. Viele Viren-Scanner würden die versteckte Schadsoftware ebenfalls nicht entdecken. Somit erfülle dieses Verzeichnis die Voraussetzung eines Rootkits.

Bei den betroffenen USB-Sticks handle es sich nach Angaben der Sicherheitstechniker zwar um ein älteres Produkt, ein Test mit aktualisierter Sony-Software aus dem Web brachte jedoch dasselbe Ergebnis. Man sei sehr überrascht gewesen, als der hauseigene Rootkit-Scanner DeepGuard HIPS Alarm geschlagen habe, so die Experten. Sie hätten die Warnung des Rootkit-Scanners zunächst für einen Fehlalarm gehalten. Nach näherer Untersuchung habe sich jedoch herausgestellt, dass es sich wirklich um ein weiteres Rootkit von Sony handelt. Laut F-Secure blieben entsprechende Anfragen bei Sony bis dato unbeantwortet.

Als Grund für den Einsatz einer Rootkit-Technik vermuten die Experten, dass der betroffene Ordner zum Schutz der Fingerabdruckdaten angelegt wird. Somit soll verhindert werden, dass die Daten ausgelesen bzw. die Authentifizierung umgangen wird. “Es ist natürlich klar, dass man derartige sensible Daten nicht für jedermann einsehbar abspeichern kann. Diese Art ist jedoch nach unserer Ansicht der falsche Weg”, mahnen die F-Secure-Techniker.

Chinesische Trojanerangriffe auf das Kanzleramt, Datenraub beim Jobportal Monster, verseuchte elektronische Grußkarten als neuer Trend, mangelnde Informationen über die IT-Sicherheit im Mittelstand: die Sicherheit der Informationstechnik in Behörden und Unternehmen bleibt auf der Tagesordnung. “Die Internet-Gefahren nehmen sowohl in Quantität als auch in Qualität deutlich zu”, sagte Michael Hange, Vizepräsident des Bundesamtes für Sicherheit in der Informationstechnik BSI bereits zu Jahresbeginn.

Laut IT-Sicherheitsreport 2007, den das Netzwerk Elektronischer Geschäftsverkehr (NEG) veröffentlicht hat, informiert die Hälfte aller Unternehmen seine Angestellten überhaupt nicht über Sicherheitsfragen. Außerdem verfügen viele Firmen nicht über IT-Notfallpläne, die bei einem Virenangriff in Kraft treten könnten. An der NEG-Studie beteiligten sich bundesweit 275 Unternehmen. Leider spielt das Thema im Mittelstand vorwiegend eine theoretische Rolle. “In der Praxis herrschen Ahnungslosigkeit und das Gefühl ‘Es wird schon gut gehen’. Oft endet der Schutz schon bei Firewall und Viren-Scanner und ist damit ziemlich lückenhaft,” berichtet das CIO-Magazin.

Experten machen dafür auch mangelndes Bewusstsein in der Führungsetage aus. “Viele Entscheidungsträger verengen das Thema auf den technischen Aspekt und betrachten es nicht als ganzheitliche Managementaufgabe. Eine erfolgreiche Sicherheitsstrategie benötigt jedoch immer die Unterstützung der Geschäftsführung und muss alle Mitarbeiter einbeziehen”, sagt Projektleiter Andreas Duscha vom E-Commerce-Center Handel in Köln. Und das, obwohl mit Basel II auch die Sicherheit der Informationstechnik für die Unternehmensbewertung insgesamt wichtiger geworden ist. Denn vor einer Kreditvergabe beispielsweise müssen Banken auch das Unernehmensrisiko bewerten. Dazu gehört die Ausfallsicherheit der EDV-Systeme und der generelle Schutz vor Informationsverlust. “Die meisten Unternehmen haben derzeit vor allem in technische IT-Sicherheit investiert, aber zu wenig in IT-Prozessmanagement. Zur Bewertung der operationellen Risiken nach Basel II werden aber genau solche Faktoren wie exakte Dokumentation, Notfallpläne, Security-Policy oder IT-Verfügbarkeit geprüft”, sagt Erich Scheiber von der österreichischen Zertifizierungsstelle für Informationssicherheit CIS www.cis-cert.com . “Zur Bewertung der operationellen Risiken nach Basel II werden aber Faktoren wie exakte Dokumentation, Notfallpläne, Security-Policy und IT-Verfügbarkeit geprüft”, so Scheiber

Wer beim Thema IT-Sicherheit nur auf Technik setzt, ist nach Ansicht vieler Branchenkenner auf dem Holzweg. “In punkto Datensicherheit gab es in den vergangenen Jahren eine unvorstellbare Technologiegläubigkeit, die sich immer weiter von der Realität entfernt hat”, weiß Lynn McNulty von der Sicherheits-Akkreditierungsbehörde der US-Regierung. Eine Studie des IT-Konzerns Cisco Systems besagt, dass es einen eklatanten Unterschied zwischen dem Sicherheitsbewusstsein der Mitarbeiter eines Unternehmens und ihrem tatsächlichen Verhalten gibt. “Phishing, das Ausspähen oder Erschleichen von Passwörtern und Codes, ist durch Technik alleine nicht in den Griff zu kriegen”, erläutert auch Massimiliano Mandato, Network Security Consultant des Stuttgarter Systemintegrators Nextiraone.

Die Sicherheitsstrukturen vieler Unternehmen seien oft reines Flickwerk. Das hänge auch damit zusammen, dass die IT-Sicherheit nicht als kontinuierliche und ganzheitliche Aufgabe begriffen werde, sondern als einmalige Investition. “Viele Kunden im Mittelstand greifen auf lokale Anbieter von Sicherheitssystemen zurück. Diese sind aber meistens produktorientiert und kennen viele Sicherheitsmechanismen nur oberflächlich”, so Mandato. Auch das Bewusstsein in der Unternehmensführung für die Belange der IT-Sicherheit müsse verstärkt werden. Denn dieselben technologischen Errungenschaften, die den Erfolg eines Unternehmens vorantreiben, bringen auch Gefahren mit sich. Daher benötige man eine Strategie aus einem Guss und Abwehrsysteme, die flexibel sind.

Ihre “innere Sicherheit” kostet Mensch und Staat Milliarden. Wenn es um gefühlte Sicherheit geht, setzt der Verstand aus. Weil irrationale Ängste schlechte Risikoberater sind, profitiert speziell die Politik davon.

Diffuse Ängste
Versperren Sie zu Hause ihre Eingangstür? Fühlen Sie sich nachts in U-Bahnen unwohl? Zahlen Sie Altersvorsorge ein, und bevorzugen Sie beim Autokauf möglichst sichere Fahrzeuge? Sicherheit lässt sich schwer quantifizieren, Unsicherheiten finden bestenfalls Ausdruck in Kriminalitätsstatistiken. “Das Sicherheitsbedürfnis vieler Menschen ist völlig irrational. Die Leute fürchten sich vor Erdbeben oder Überflutungen, aber nicht vor den eigenen Familienmitgliedern, dabei sind die viel gefährlicher”, sagt der Verhaltensforscher und Leiter der Konrad-Lorenz-Forschungsstelle Kurt Kotrschal.

Analog zur bekannten Zeitungsregel “Only Bad News are Good News” befragt man Menschen häufiger nach ihren Ängste als nach ihrer Sicherheit: So weiß man um Ängste vor Arbeitslosigkeit und steigenden Preisen. Vor allem Frauen fürchten, im Alter ein Pflegefall zu werden. Firmen sehen die größte Gefahr im menschlichen Versagen, international steht die Angst vor Feuer an der Spitze unternehmerischer Schreckensbilanzen.

Security or Safety
Der Komplexität des Themas Sicherheit nimmt sich ein eigener Forschungszweig an: die Sicherheitswissenschaft. Zur Präzision greift man auf die Unterscheidung zwischen den englischen Begriffen “Security” und “Safety” zurück: “Security” beschäftigt sich mit Sicherheitsfragen auf gesellschaftlicher Ebene, wo äußere Bedrohung existiert, etwa durch militärische Angriffe. “Safety” thematisiert hingegen die Sicherheit des Einzelnen. Hier geht es um die Erforschung individueller Sicherheitsbedürfnisse, wie man lernt, auf sich selbst und andere aufzupassen, Geborgenheit erlebt und vermittelt. Zugleich heißt “Safety” aber auch, aktiv Vorkehrungen zu treffen, ob im Haushalt oder beim Sport.

In den vergangenen Jahrzehnten haben Sicherheitsfragen an Bedeutung gewonnen, wobei die Grenzen zwischen tatsächlicher und imaginärer Bedrohung fließend sind. Das Selbstverständnis, in einer “Risikogesellschaft” zu leben, bleibt nicht auf Risikotechnologien wie Atomkraft beschränkt. In technischer Hinsicht bestehen gerade in Österreich viele diffuse Ängste, wie die emotional geführte Diskussion um Gentechnik belegt. In einer Welt mit technischem Restrisiko zu leben, fördert allem Anschein nach die Inszenierung alternativer Bedrohungsszenarios. Es genügt offensichtlich nicht, in einem der sichersten, reichsten Länder der Welt zu leben.

Lesen Sie in der neue Economy (www.economy.at) zum aktuellen Schwerpunkt Sicherheit mit zahlreichen Interviews, Analysen und Kommentaren.

Wissen schafft
Dazu finden Sie weitere Berichte u.a. im Ressort Forschung “Zwischen Bangen und Hoffen” und “Auf dem beschwerlichen Weg zur Kostenwahrheit” sowie im Ressort Technologie “Der Computer als Beifahrer” und “Spannen von Amts wegen” sowie im Ressort Wirtschaft “Das Geschäft mit der Angst” und “Die Kraft der feinen Klauseln” sowie das umfangreiche Special Innovation zum Thema “ERP und Prozessoptimierung” und den Schwerpunkt im Dossier zum Thema “Zuversicht und Schutz”.

Neben den auszugsweise zitierten Berichten, finden Sie in der aktuellen Ausgabe weitere Interviews, Berichte und Kommentare von Alexandra Riegler, Klaus Lackner, Doris Lippitsch, Jakob Steuerer, Christine Wahlmüller, Astrid Kasparek, Lydia J. Goutas und Antonio Malony sowie das Special Innovation von Ernst Brandstetter, Sonja Gerstl und Manfred Lechner.

Unvorsichtiger Umgang mit persönlichen Daten auf Social-Network-Seiten im Internet kann Betrügern das Stehlen von Identitäten erleichtern. Internetnutzer unterschätzen oft die Bedeutung von Informationen wie Geburtsdatum, Beruf oder Familienstand und veröffentlichen sie gutgläubig auf Seiten wie MySpace oder Facebook. “In einer Zeit, in der Information und Identität die neue Währung für Kriminelle sind, sind Social-Networking-Seiten eine Goldmine für Betrüger, die Daten veruntreuen”, erklärt David Porter vom Informations- und Nachrichtenberatungsunternehmen Detica (www.detica.com) gegenüber der Zeitung “The Independent”. Sogar die harmlosesten Informationen über ein Unternehmen, seine Mitarbeiter und die tägliche Routine könnten zum Verhängnis werden.

Die Gefahr für Privatpersonen besteht unter anderem darin, dass manche Informationen, die leichtfertig veröffentlicht werden, dazu verwendet werden können, um Konten auf den Namen dieser Person einzurichten. Außerdem wird die Wahrscheinlichkeit, ein Passwort zu knacken, höher, wenn typische Informationen, wie beispielsweise der Mädchenname der Mutter, bekannt sind. In Großbritannien sind allein im letzten Jahr 80.000 Menschen Opfer eines Identitätsbetruges geworden. Dies verursachte einen Schaden von 1,5 Mrd. Pfund für Einzelpersonen oder Banken.

Banken reagieren auf die neue Gefahr nun mit verstärkten Sicherheitsmaßnahmen. Die britische Bank Barclays liefert nun PIN-Geräte aus, die Internetuser zu Hause verwenden können. Aber nicht nur Einzelpersonen sollten in Zukunft besser auf den Umgang mit ihren persönlichen Daten achten, sondern auch Behörden und große Unternehmen, die ebenfalls im Visier von Betrügern sind.

Im elektronischen Geschäftszeitalter sind vor allem Unternehmen in den neuen boomenden asiatischen Märkten zunehmend mit dem Thema IT-Security konfrontiert. Überraschend ist jedoch, dass chinesische Konzerne bis zu 19 Prozent ihres IT-Budgets für diesbezügliche Sicherheitsmaßnahmen aufwenden, während dieser Anteil in den USA nur zwölf Prozent ausmacht. Zu diesem Ergebniss kommt der Managementberatungs-, Technologie- und Outsourcing-Spezialist Accenture in seiner gestern, Mittwoch, vorgestellten Studie, bei der über 3.000 IT- und Security-Fachleute in China und den USA befragt wurden.

“Bei der Informationssicherheit und beim Informationsmanagement liegt China im Vergleich zu den USA noch weit zurück, sodass chinesische Unternehmen mehr in diesen Bereich investieren als amerikanische. Vor diesem Hintergrund erklärt sich die auftretende Diskrepanz”, erklärt Andreas Knäbchen, Leiter der Security-Practice bei Accenture für den deutschsprachigen Raum. Während die meisten chinesischen IT-Verantwortlichen die Bedrohungen für ihre Systemlandschaft höher einschätzen als noch 2006 (58 Prozent), wollen 55 Prozent ihrer Kollegen die Sicherheitsausgaben für 2007 merklich erhöhen. In den USA hingegen schätzen nur 16 Prozent die aktuelle Gefahrenlage höher ein als noch vor einem Jahr. So geben 2007 nur zwei von fünf IT-Spezialisten (39 Prozent) mehr für IT-Security aus.

Die Studie zeigt zudem, dass höhere Ausgaben nicht zwangsläufig mehr Sicherheit bedeuten. Nur jedes dritte amerikanische sowie zwei von fünf chinesischen Unternehmen passen ihre IT-Security-Budgets dem analysierten Kenntnisstand aktueller IT-Sicherheitsrisiken an. “Organisationen in beiden Ländern geben zwar mehr Geld für die Sicherheit ihrer IT aus, aber es hat den Anschein, als wüssten sie nicht genau, warum”, so Alastair MacWillson, Managing Director Security bei Accenture weltweit. “Unzureichendes Patch-Management – also Sicherheitslücken in den Betriebssystemen der Unternehmen mit Updates zu schließen – beklagen in China 38 Prozent der Befragten, während es in den USA nur 17 Prozent sind”, verdeutlicht Knäbchen auf Nachfrage von pressetext.

Anders hingegen die Situation in Deutschland: “Hier konzentrieren sich die Unternehmen in punkto Sicherheit darauf, den gesetzlichen Vorgaben im Rahmen des Risikomanagements zu entsprechen (Stichwort Sarbanes-Oxley-Act)”, so der IT-Security-Experte. 70 Prozent der chinesischen Unternehmen waren 2006 von Viren-Angriffen betroffen, jede zweite Firma wurde Opfer von Wurm-Attacken. In den USA ergibt sich ein deutlich besseres Bild: 49 Prozent der Firmen fielen Viren- und nur 35 Prozent Wurm-Angriffen zum Opfer. Dies rührt daher, dass die Amerikaner intensiver überwachen lassen, was die eigenen Mitarbeiter tun. 50 Prozent der amerikanischen Unternehmen kontrollieren den E-Mail-Verkehr (China: 34 Prozent) sowie 40 Prozent das Aufrufen von Websites (China: 25 Prozent) der Arbeitnehmer.

Alle streiten über die Online-Durchsuchung privater PCs, doch niemand weiß, wie sie funktionieren soll. Nun endlich wurde der so genannte Bundestrojaner enttarnt: Das Technikmagazin Chip beschreibt in seiner aktuellen Ausgabe, mit welchen Mitteln das Bundeskriminalamt (BKA) Computer verdächtiger Personen ausspähen will. Demnach wird die Schnüffel-Software in aller Regel durch den physikalischen Zugriff auf den Ziel-PC installiert – BKA-Experten müssen also in die Wohnungen Verdächtiger eindringen. Der Autor des Exklusivberichts beruft sich auf BKA-Präsident Jörg Ziercke und weitere Quellen der Wiesbadener Polizeibehörde.

Außer von Ziercke erhielt CHIP Informationen vom IT-Chef des BKA und einem der Entwickler jener ominösen Software, die der deutschen Öffentlichkeit seit Monaten Rätsel aufgibt. Dieses Programm nennt sich “Remote Forensic Software” (RFS) und ist mit dem kursierenden Fachbegriff “Trojaner” eigentlich falsch beschrieben: Dem Artikel zufolge wird das Tool nur in Ausnahmefällen per Online-Übertragung auf den Zielrechner gespielt; die Erfolgsaussichten dieser Methode seien einfach zu schlecht. Vielmehr verfolge das BKA individuelle Strategien, um so genannte Gefährder auszuspähen. Am Anfang jeder Maßnahme stünden “Umfeld-Analysen” – gemeint sei der Einsatz von V-Leuten, die sich der Zielperson bereits lange vor einer PC-Durchsuchung widmeten.

Beim später folgenden Angriff auf den PC bevorzuge die Behörde “robustes Agenten-Handwerk”, heißt es in dem Chip-Artikel weiter: “Ein BKA-Team dringt heimlich in die Wohnung ein und zieht Kopien von allen Festplatten. Diese Daten analysiert dann der BKA-Software-Entwickler und bastelt ein Tool, das perfekt auf die Rechner-Umgebung zugeschnitten ist.” Das modular aufgebaute Programm finde seinen Weg in den Ziel-PC ebenfalls auf, so Chip, “eher analoge
Weise: Spezialisten machen die Wohnung noch einmal auf und installieren das Tool. Das Programm gleicht also eher einer Überwachungswanze als einem Trojaner.”

Durch das Eindringen in die Wohnung sei es dem BKA möglich, fast alle technischen Probleme zu überwinden: “Zwei Beispiele: Damit die Firewall nicht Alarm schlägt, wenn RFS Daten zum BKA sendet, könnten die ‘Wohnungsöffner’ die Sicherheits-Software so einstellen, dass sie Aktivitäten des Schnüffel-Tools immer zulässt. Veschlüsselt ein angeblicher Gefährder seine Daten an einem Offline-PC, bevor er sie über einen Internet-Rechner rausschickt, könnte das Tool den Verschlüsselungscode per Keylogging abgreifen. Das heißt, die Tastatureingaben würden aufgezeichnet und an die betreffende Datei angehängt. Gleiches gilt für Passwörter – das BKA bekäme alle Zugangsdaten frei Haus geliefert.”

Laut Chip hat Ziercke auch deutlich gemacht, dass es keine “staatlich verordneten Sicherheitslücken” geben werde. Das BKA unternehme keinerlei Versuche, Hersteller von Sicherheitssoftware oder Betriebssystemen zu einer Zusammenarbeit zu bewegen.
Entsprechenden Spekulationen in der Öffentlichkeit dürfte durch den angestrebten physikalischen Zugriff auf den PC ohnehin die Grundlage entzogen sein.

Das Technikmagazin kann dem enormen Aufwand, den das BKA betreiben muss, Positives abgewinnen – ein breit angelegter digitaler Angriff auf die Bevölkerung sei schlicht nicht zu bewältigen. BKA-Chef Ziercke schätzt dem Artikel zufolge, dass die Zahl der Fälle, in denen ein RFS-Einsatz in Frage käme, derzeit im einstelligen Bereich liege. Gleichwohl warnt Chip vor einem Gesetz, das die PC-Durchsuchung sanktioniert: “Zwar birgt die PC-Wanze derzeit kein Potential zur Massenüberwachung. Was aber, wenn der technische Fortschritt einen Online-Zugriff auf jeden beliebigen PC ermöglicht? Dann wäre ein Orwell-Szenario denkbar – gedeckt von einem Gesetz, das unter anderen Voraussetzungen entstanden ist.”

Die Überwachung des E-Mail- und Telefonverkehrs der US-Amerikaner durch den Geheimdienst National Security Agency (NSA) war nicht die einzige von US-Präsident George W. Bush angeordnete Schnüffelaktion. Das geht laut einem Bericht der Washington Post aus einem Schreiben des NSA-Chefs Mike McConnell an den republikanischen Senator Arlen Specter hervor. Die Verfügung des US-Präsidenten infolge der Attentate vom 11. September 2001 enthielt demnach mehrere Geheimdienstaktivitäten, darunter auch das Terrorist Surveillance Program, unter dem die bisher bekannt gewordenen landläufig zusammengefasst werden.

Bush hatte im Dezember eingeräumt, der NSA schon Anfang 2002 die Erlaubnis für Lauschangriffe gegeben zu haben, ohne dafür die verfassungsmäßig vorgeschriebene richterliche Genehmigung zu besitzen. Seit Januar liegen diese unter richterlicher Kontrolle. McConnell verfasste den Brief mit der Absicht, Justizminister Alberto Gonzales gegen Angriffe aus den Reihen der Demokraten zu verteidigen, die ihn der Falschaussage beschuldigen. Gonzales hatte gegenüber dem Kongress erklärt, gegen das NSA-Lauschprogramm seien vom damaligen Justizminister Ashcroft keine rechtlichen Einwände erhoben worden, Uneinigkeit habe es in einem Disput zwischen Ashcroft und Vertretern des Weißen Hauses nur über “andere Geheimdienstaktivitäten” gegeben, die Gonzales aber nicht mit der NSA und der Anordnung des Präsidenten verbunden hatte.(Quelle: heise.de)

Ein Bericht von heise online über den Beschluss des Amtsgerichts Offenburg zur Ermittlung von Tauschbörsennutzern durch Strafverfolgungsbehörden hatte für einiges mediales Echo gesorgt. Mittlerweile liegen der Redaktion ältere Beschlüsse von Staatsanwaltschaften vor, die in eine ähnliche Richtung weisen. Von einer Einzelfallentscheidung kann demzufolge nicht mehr ausgegangen werden.

Das Amtsgericht (AG) Offenburg hatte der dort ansässigen Staatsanwaltschaft wegen “offensichtlicher Unverhältnismäßigkeit” am 20. Juli untersagt, eine Provider-Anfrage zur Ermittlung der persönlichen Daten mittels der IP-Adresse eines mutmaßlichen Tauschbörsennutzers zu stellen. Das Anbieten von wenigen urheberrechtlich geschützten Musikstücken per Tauschbörsen-Client sei “der Bagatellkriminalität zuzuordnen”.

Dass das badische Gericht mit seiner Ansicht keineswegs allein dasteht, belegt ein ausführliches Schreiben der Generalstaatsanwaltschaft Celle vom 20. Februar 2007, das heise online mittlerweile vorliegt. Mit dem Brief antwortete man auf eine Beschwerde der durch Massenstrafanzeigen bekannt gewordenen Rechtsanwaltskanzlei Schutt-Waetke. Diese hatte zuvor bei der Staatsanwaltschaft Hannover eine riesige Zahl von Strafanzeigen gegen mutmaßliche Tauschbörsennutzer gestellt, die urheberrechtlich geschützte Musik zum Download angeboten haben sollen. Weil sich die Staatanwaltschaft weigerte, bei Providern die Personen hinter den eingereichten IP-Adressen zu ermitteln, beschwerte sich die Kanzlei Schutt-Waetke bei der Generalstaatsanwaltschaft Celle als zuständige Aufsichtsbehörde.

Diese wies die Beschwerde als unbegründet zurück. Sie befand die Begründung der Hannoveraner Staatsanwaltschaft, nach der ein ernstliches Strafverfolgungsinteresse der Mandantin von Schutt-Waetke fraglich sei, als zutreffend. Es liege kein zur Aufnahme von Ermittlungen notwendiges öffentliches Interesse an der Strafverfolgung vor, denn durch die Verfehlungen der mutmaßlichen Tauschbörsennutzer “ist der Rechtsfrieden über den Lebenskreis Ihrer Mandantin hinaus nicht gestört”.

Überdies seien die Verfehlungen “unbedeutend”. Ein beträchtlicher Schaden sei nicht konkret nachgewiesen worden. Die Generalstaatsanwaltschaft führt an, dass man “es bedauern mag”, dass den Urheberrechtsinhabern von Gesetzes wegen kein zivilrechtlicher Auskunftsanspruch gegenüber den Providern eingeräumt ist. Es könne deshalb aber “nicht erwartet werden, dass Versäumnisse des Gesetzgebers in anderen Bereichen in jedem Bagatellfall durch die Strafverfolgungsbehörden mit ihren knappen Ressourcen aufgefangen werden”.

Deutlicher noch wurde in einem ähnlich gelagerten Fall die Berliner Staatsanwaltschaft. Sie verweigerte einer Rechtsanwaltskanzlei Provider-Anfragen, als diese 9186 IP-Adressen per Strafanzeige zur Ermittlung übergab. Die Kanzlei beschwerte sich daraufhin sowohl bei der Berliner Generalstaatsanwaltschaft als auch bei der Justizsenatorin des Landes.

Auch die ausführliche Begründung der Berliner Staatsanwaltschaft vom 18. Oktober 2006 liegt heise online anonymisiert vor. Die Staatsanwaltschaft warf den Rechteinhabern vor, “unter dem Deckmantel vorgeblicher Strafverfolgung die zur Durchsetzung zivilrechtlicher Ansprüche erforderlichen Personaldaten unentgeltlich unter Einsatz beschränkter Strafverfolgungsressourcen und finanziell zu Lasten des Berliner Landeshaushaltes beschaffen” zu wollen. Auch die Berliner Staatsanwaltschaft erkannte kein öffentliches Interesse an der Strafverfolgung. Es handle sich ausnahmslos um Bagatellstraftaten.

Ahnlich wie das AG Offenburg setzte sich auch die Berliner Staatsanwaltschaft mit dem angegebenen Schaden durch die Tauschbörsen-Uploads auseinander. Dieser sei entgegen den Aussagen in den Strafanzeigen als “unbedeutend” anzusehen. Deshalb müsse der Gesichtspunkt der “geringen Schuld” ohne Aufnahme von Ermittlungen zur Verfahrenseinstellung führen.

Außerdem handle es sich bei der “Entschlüsselung von IP-Adressen” oder bei Durchsuchungsbeschlüssen um Grundrechtseingriffe, die dem Prinzip der Verhältnismäßigkeit unterliegen. Dieses gebiete, zu den vorgelegten Strafanzeigen keine derartigen Ermittlungen durchzuführen. Auch hier führt die Staatsanwaltschaft die Motivation der Rechteinhaber ins Feld: “Ermittlungen auf strafrechtlicher Grundlage, die Grundrechtseingriffe nach sich ziehen, dürfen nicht aus sachfremden Erwägungen – wie etwa allein zur Beschaffung von Beweismitteln für ein Zivilverfahren – geführt werden.”(Quelle: heise.de)