126 32 18MB
German Pages 538 [539] Year 2019
Schriften zum Strafrecht Band 336
Die Überwachung lokaler Funknetzwerke („WLAN-Catching“) Informationstechnologische und strafprozessuale Aspekte unter besonderer Berücksichtigung allgemeiner Fragen der Internetüberwachung und Verschlüsselung
Von
Christian R. Ulbrich
Duncker & Humblot · Berlin
CHRISTIAN R. ULBRICH
Die Überwachung lokaler Funknetzwerke („WLAN-Catching“)
Schriften zum Strafrecht Band 336
Die Überwachung lokaler Funknetzwerke („WLAN-Catching“) Informationstechnologische und strafprozessuale Aspekte unter besonderer Berücksichtigung allgemeiner Fragen der Internetüberwachung und Verschlüsselung
Von
Christian R. Ulbrich
Duncker & Humblot · Berlin
Die Rechtswissenschaftliche Fakultät der Universität Zürich hat diese Arbeit im Jahre 2018 als Dissertation angenommen.
Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Alle Rechte vorbehalten
© 2019 Duncker & Humblot GmbH, Berlin Satz: Druckvorlage vom Autor Druck: CPI buchbücher.de gmbh, Birkach Printed in Germany ISSN 0558-9126 ISBN 978-3-428-15653-5 (Print) ISBN 978-3-428-55653-3 (E-Book) ISBN 978-3-428-85653-4 (Print & E-Book)
Gedruckt auf alterungsbeständigem (säurefreiem) Papier entsprechend ISO 9706
Internet: http://www.duncker-humblot.de
Vorwort Die vorliegende Arbeit widmet sich einem bisher von der deutschen rechtswissenschaftlichen Literatur nahezu gänzlich übersehenen Thema – der Überwachung lokaler Funknetzwerke. Zum einen ergründet sie, auf einer informationstechnologischen Ebene, das Potential eines solchen Ansatzes, auch moderne, digitale Kommunikationsformen „an der Leitung“ zu überwachen. Sie tritt damit einer verbreiteten Ansicht entgegen, dass der sog. „Staatstrojaner“ das allein selig machende Mittel moderner Telekommunikationsüberwachung sei, was auch von Relevanz für die Beurteilung der Verhältnismäßigkeit von Quellen-Telekommunikationsüberwachung und Online-Durchsuchung ist. Die Arbeit wählt dabei einen etwas anderen Ansatz als die meisten juristischen Werke. Auf einer Untersuchung aufbauend, die vorab beschriebene Überwachungsmethoden auch unter Realbedingungen untersucht und testet, versucht sie das Problem der schlechten Quellenlage in diesem Bereich zu beheben und die tatsächlich in der Praxis auftretenden Konstellationen und Schwierigkeiten zu erfassen, um sie derart für eine rechtliche Bewertung zugänglich zu machen. Zum anderen untersucht sie in einem zweiten Schritt auf einer rechtlichen Ebene, wie sich die eruierten verschiedenen (Teil-)Maßnahmen mit der geltenden Strafprozessordnung in Einklang bringen lassen. Das ist auch deshalb erforderlich, weil spätestens seit 2012 bekannt ist, dass sich u.a die Strafverfolgungsbehörden der, von ihnen als „WLAN-Catching“ bezeichneten, Methode, zumindest seit 2007 bereits bedienen. Umso erstaunlicher ist es, dass ein solches Vorgehen bisher kaum in der rechtswissenschaftlichen Literatur diskutiert worden ist, zumal es mit nicht unerheblichen Grundrechtseingriffen für die Betroffenen einhergeht. Dabei zeigt sich, wie wenig sich derzeit traditionelle juristische Konzeptionen mit modernen technologischen Entwicklungen in Einklang bringen lassen. An diesem Befund ändern auch die mit dem Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens neu eingefügten Ermächtigungsgrundlagen in den §§ 100a I S. 2, 3 StPO und § 100b I StPO nichts. Es zeigt sich aber auch in aller Deutlichkeit, wie kompliziert die Rechtslage für die Strafverfolgungsbehörden (geworden) ist, wenn sie von modernen technologischen Möglichkeiten Gebrauch machen wollen. Ganz herzlich danken möchte ich meinem Doktorvater Prof. Dr. Wolfgang Wohlers. Seine Anregungen und sein Feedback waren sehr wertvoll und haben auch der
6
Vorwort
Konzeption der Arbeit sehr gut getan. Besonderer Dank gilt auch der Tatsache, dass sie immer äußerst schnell und zuverlässig kamen, und das trotz des steigenden Umfangs und des nicht immer leicht verdaulichen, technischen Inhalts, was alles andere als selbstverständlich ist. Ich fühlte mich außerordentlich gut aufgehoben. Ebenso herzlich möchte ich meinem Zweitkorrektor, Prof. Dr. Frank Meyer, danken, der auch in Tempo und Zuverlässigkeit meinem Doktorvater in Nichts nachstand. Ein besonderer Dank gebührt auch Prof. Dr. Dr. h.c. mult. Bruno S. Frey und Prof. Dr. Dr. h.c. Margit Osterloh, die durch die Vielzahl anregender Diskussionen und auch durch ihre außerordentliche Gastfreundschaft zum Gelingen des Projektes beigetragen haben. Prof. Dr. Alois Stutzer und Dr. Renate Thiele möchte ich in diesem Zusammenhang gleichermaßen dankend erwähnen. Danken möchte ich ebenfalls der Friedrich-Naumann-Stiftung für die Freiheit für das Promotionsstipendium und die mannigfachen Impulse, die ich erhalten habe, sowie Prof. Dr. Dr. h.c. mult. Ulrich Sieber und Prof. Dr. Jürgen Taeger, die mir einen Forschungsaufenthalt am Max-Planck-Institut für ausländisches und internationales Strafrecht in Freiburg ermöglichten. Ein ganz besonderer Dank gebührt Annika Bernnat, auf deren Rückhalt und mannigfaltige Unterstützung ich angewiesen war und bin, sowie Tatiana R. Lichtenfeld, die ebenfalls dafür gesorgt hat, dass die Rahmenbedingungen stimmen. Dieser Rückhalt ermöglichte es mir überhaupt, mich so intensiv auf dieses Projekt zu konzentrieren. Lilli Karlotta Bernnat hingegen zeichnet sich für den letzten Motivationsschub verantwortlich. Jörg Lichtenfeld danke ich für die Übernahme der Bürde des Korrekturlesens (für den unvermeidbaren Rest an Rechtschreibfehlern ist ausschließlich der Verfasser verantwortlich). Ihnen allen sei dieses Buch gewidmet. Diese Arbeit ist im Frühjahrssemester 2018 von der Rechtswissenschaftlichen Fakultät der Universität Zürich als Dissertation angenommen worden. Sie wurde im Januar 2018 fertig gestellt und berücksichtigt im Wesentlichen die bis zum Dezember 2017 erschienene, relevante Literatur und Rechtssprechung.
Zürich, im Januar 2018
Christian R. Ulbrich
Inhaltsübersicht
Erster Teil Einleitung und Grundlagen A.
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
29
B.
Begrifflichkeiten und Grundlagen der Kommunikation über das InternetNetzwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
40
C.
Kryptologische Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . .
55
Zweiter Teil Informationstechnologische Analyse D.
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
69
E.
Der Zugriff auf den Datenverkehr eines lokalen Funknetzwerks . . . . . .
72
F.
(Inhaltliche) Untersuchung des Netzwerkverkehrs . . . . . . . . . . . . .
113
G.
Folgerungen für die nachfolgende rechtliche Analyse . . . . . . . . . . . .
142
Dritter Teil Rechtliche Analyse H.
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
149
I.
Die Überwachung lokaler Funknetzwerke („WLAN-Catching“) . . . . . .
152
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen . . . . . .
186
Vierter Teil Ergebnisse und Zusammenfassung K.
Kernaussagen des Buches . . . . . . . . . . . . . . . . . . . . . . . . . .
339
8
Inhaltsübersicht
L.
Ergebnisse der informationstechnologischen Analyse . . . . . . . . . . . . . 341
M.
Zusammenfassung der rechtlichen Analyse . . . . . . . . . . . . . . . . .
345
N.
Schlussfolgerung und thesenartiger Überblick . . . . . . . . . . . . . . .
352
Anhang A Einzelheiten zu der informationstechnologischen Untersuchung und Umsetzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
355
Anhang B
Detailinformationen zur Arbeitsweise des Internet-Netzwerks . . . .
378
Anhang C
Kryptologischer Hintergrund . . . . . . . . . . . . . . . . . . . . .
400
Anhang D Mathematische Grundlagen und Zeichenkodierung . . . . . . . . . . . 491 Quellen im World Wide Web . . . . . . . . . . . . . . . . . . . . . . . . . . . .
510
Zitierte Entscheidungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
523
Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
525
Stichwortregister . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537
Inhaltsverzeichnis
Erster Teil Einleitung und Grundlagen A.
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Theorie und Realität der Überwachung moderner Kommunikation 1. Der „Staatstrojaner“ . . . . . . . . . . . . . . . . . . . . . . 2. Die Alternativlosigkeit des „Staatstrojaners“ . . . . . . . . . . 3. Eine Alternativmöglichkeit . . . . . . . . . . . . . . . . . . . a) Die Alternativmöglichkeit aus technologischer Sicht . . . . b) Die Alternativmöglichkeit in der Praxis . . . . . . . . . . . c) Die Alternativmöglichkeit aus rechtlicher Sicht . . . . . . . III. Methodik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Informationstechnologische Analyse . . . . . . . . . . . . . . 2. Rechtliche Analyse . . . . . . . . . . . . . . . . . . . . . . . IV. Gang der Darstellung . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . .
B.
Begrifflichkeiten und Grundlagen der Kommunikation über das InternetNetzwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Das Internet-Netzwerk . . . . . . . . . . . . . . . . . . . . . . . . II. Die Netzwerkprotokolle des Internet-Netzwerkes . . . . . . . . . . 1. Referenzmodelle . . . . . . . . . . . . . . . . . . . . . . . . . 2. TCP/IP-Referenzmodell . . . . . . . . . . . . . . . . . . . . . a) Aufbau des TCP/IP-Referenzmodells . . . . . . . . . . . . . b) Die einzelnen Schichten des TCP/IP-Referenzmodells . . . . aa) Anwendungsschicht . . . . . . . . . . . . . . . . . . . . bb) Transportschicht . . . . . . . . . . . . . . . . . . . . . cc) Internetschicht . . . . . . . . . . . . . . . . . . . . . . dd) Netzzugangsschicht (Sicherungs- und Bitübertragungsschicht) . . . . . . . . . . . . . . . . . . . . . . . . . . (1) IEEE 802.11 (WLAN) als Beispielprotokoll der Netzzugangsschicht . . . . . . . . . . . . . . . . . (a) Betriebsmodus . . . . . . . . . . . . . . . . . (b) Assoziierung . . . . . . . . . . . . . . . . . . (c) Begleiterscheinungen der Funkübertragung . . (d) Authentifizierung/Verschlüsselung . . . . . . . (aa) Sicherheitsmechanismen . . . . . . . . . .
29 29 31 31 33 34 34 35 36 36 37 38 38 40 40 42 42 43 43 44 44 45 45 46 47 47 48 48 49 49
10
Inhaltsverzeichnis
III. C.
(bb) WPA2-Personal und WPA2-Enterprise (e) Adressierung . . . . . . . . . . . . . . . . (2) Address Resolution Protocol . . . . . . . . . . (a) Intra-Netzwerk-Niveau . . . . . . . . . . . (b) Inter-Netzwerk-Niveau . . . . . . . . . . . 3. Art der Übermittlung . . . . . . . . . . . . . . . . . . . . . Protokolldateneinheiten: Überblick und Termini . . . . . . . . .
Kryptologische Grundlagen . . . . . . . . . . . . . . . . . . . . I. Kryptologie: Termini und Aufgaben . . . . . . . . . . . . . 1. Termini . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Aufgaben der Kryptologie . . . . . . . . . . . . . . . . II. Elementares Instrumentarium der Kryptographie . . . . . . 1. Kryptographischer Algorithmus . . . . . . . . . . . . . 2. Schlüssel . . . . . . . . . . . . . . . . . . . . . . . . . 3. Kryptosystem, Verschlüsselungsverfahren, Algorithmus 4. Symmetrische Algorithmen – Secret-Key-Verfahren . . . a) Prinzip des symmetrischen Algorithmus . . . . . . . b) Problem des Schlüsselaustausches . . . . . . . . . . 5. Asymmetrische Algorithmen – Public-Key-Verfahren . . 6. Hybride Algorithmen . . . . . . . . . . . . . . . . . . . III. Kryptanalyse . . . . . . . . . . . . . . . . . . . . . . . . . 1. Angriffsarten . . . . . . . . . . . . . . . . . . . . . . . 2. Man-in-the-Middle-Angriff . . . . . . . . . . . . . . . . IV. Public-Key-Infrastrukturen . . . . . . . . . . . . . . . . . . 1. Authentizität des öffentlichen Schlüssels . . . . . . . . . 2. Grundschema einer PKI . . . . . . . . . . . . . . . . . V. Digitale Signaturen . . . . . . . . . . . . . . . . . . . . . . VI. Hashfunktionen . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . .
. . . . . . .
. . . . . . .
49 50 50 51 51 52 52
. . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . .
55 55 55 55 56 56 57 57 57 57 58 59 61 62 62 63 64 65 65 66 67
Zweiter Teil Informationstechnologische Analyse D.
E.
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Erläuterung und Eingrenzung des Untersuchungsgegenstandes . . . 1. Eigenständigkeit und lokaler Ansatzpunkt der Überwachungsmaßnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Vorgehen ohne Eindringen in das informationstechnische Endgerät 3. Überprüfbarkeit des Vorgehens als methodische Voraussetzung . 4. Aktualität der Untersuchung . . . . . . . . . . . . . . . . . . . II. Gang der Analyse . . . . . . . . . . . . . . . . . . . . . . . . . . . Der Zugriff auf den Datenverkehr eines lokalen Funknetzwerks I. Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . II. Der Zugriff auf lokale Funknetzwerke (Wireless LAN) . . . 1. Lokalisieren und Zuordnen des Access Points . . . . . . a) Grundlagen . . . . . . . . . . . . . . . . . . . . . . aa) Aktives und passives Scannen . . . . . . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
69 69 69 70 70 71 71 72 72 72 73 73 74
Inhaltsverzeichnis (1) Service Set Identifier (SSID) . . . . . . . . . . . . (2) Aktives Scannen . . . . . . . . . . . . . . . . . . . (3) Passives Scannen . . . . . . . . . . . . . . . . . . bb) Beacon-Frame und Probe-Response-Frame . . . . . . . b) Lokalisieren funkbasierter Netzwerke . . . . . . . . . . . . . c) Hidden Network . . . . . . . . . . . . . . . . . . . . . . . . d) Zuordnung zum Ziel der Infiltration . . . . . . . . . . . . . . e) Zusammenfassung: Lokalisieren und Zuordnen des Access Points 2. Der Zugang zum (fremden) Wireless LAN . . . . . . . . . . . . a) WLAN ohne Sicherheitsvorkehrungen . . . . . . . . . . . . aa) Authentifizierung und Assoziierung . . . . . . . . . . . bb) Access Control List . . . . . . . . . . . . . . . . . . . . cc) Zusammenfassung: WLAN ohne Sicherheitsvorkehrungen b) WEP-verschlüsseltes WLAN . . . . . . . . . . . . . . . . . aa) Verschlüsselung bei WEP . . . . . . . . . . . . . . . . . (1) Shared Key . . . . . . . . . . . . . . . . . . . . . (2) WEP-Seed/Gesamtschlüssel (=RC4-Schlüssel) . . . (3) Verschlüsselungsvorgang . . . . . . . . . . . . . . (4) Versendeter Datenteil bei WEP . . . . . . . . . . . bb) Authentifizierung und Assoziierung bei WEP . . . . . . (1) Verfahren . . . . . . . . . . . . . . . . . . . . . . (2) Fake Authentication . . . . . . . . . . . . . . . . . cc) Attacks on WEP . . . . . . . . . . . . . . . . . . . . . (1) FMS/KoreK-Method . . . . . . . . . . . . . . . . (a) FMS . . . . . . . . . . . . . . . . . . . . . . . (b) KoreK . . . . . . . . . . . . . . . . . . . . . . (2) PTW-Method . . . . . . . . . . . . . . . . . . . . (a) Klein- bzw. Jenkins-Korrelation . . . . . . . . (b) Extension to Multiple Key Bytes . . . . . . . . (3) Schätzung der ersten 16 Bytes des RC4-Schlüsselstroms (4) Umsetzung einer WEP-Attack . . . . . . . . . . . dd) Zusammenfassung: WEP-verschlüsseltes WLAN . . . . c) WPA/WPA2-verschlüsseltes WLAN (Pre-Shared-Key) . . . . aa) Verschlüsselung bei WPA/WPA2 . . . . . . . . . . . . . (1) WPA – Temporary Key Integrity Protocol . . . . . (2) WPA2 – AES-CCMP . . . . . . . . . . . . . . . . bb) Schlüsselmanagement in WPA/WPA2 . . . . . . . . . . cc) Authentifizierung und Assoziierung bei WPA/WPA2 . . dd) Attacks on WPA/WPA2 . . . . . . . . . . . . . . . . . . (1) Brute-Force-Attack . . . . . . . . . . . . . . . . . (a) Offline-Dictionary-Attack (als Ausprägung der Brute-Force-Attack) . . . . . . . . . . . . . . . (b) Dictionary Files . . . . . . . . . . . . . . . . . (c) Precomputed Hash Files (Rainbow Tables) . . . (d) Erfolgsaussichten eines Dictionary-Angriffs auf WPA/WPA2 . . . . . . . . . . . . . . . . . (e) Erweiterung: Deauthentication attack . . . . . (f) Umsetzung der Brute-Force-Attack . . . . . . .
11 74 74 74 75 75 75 77 78 78 79 79 79 80 80 80 81 81 81 81 82 82 82 83 83 83 84 84 84 84 85 86 87 87 88 88 89 90 90 91 91 91 92 93 94 94 95
12
Inhaltsverzeichnis
III.
F.
(2) Schwachstelle: Vorkonfigurierter WPA/WPA2-Schlüssel (PSK) . . . . . . . . . . . . . . . . . . . . . . . . (3) Schwachstelle: Wi-Fi Protected Setup (WPS) . . . (4) Schwachstelle: Router-Remote Management . . . . (5) Sonstige Attacken auf WPA/WPA2 . . . . . . . . . (a) WPA-TKIP . . . . . . . . . . . . . . . . . . . (aa) Beck/Tews . . . . . . . . . . . . . . . . . (bb) Beck und Vanhoef/Piessens . . . . . . . . (cc) Umsetzung . . . . . . . . . . . . . . . . . (b) WPA2 . . . . . . . . . . . . . . . . . . . . . . (aa) Hole196 Vulnerability . . . . . . . . . . . (bb) KRACK . . . . . . . . . . . . . . . . . . ee) Zusammenfassung: WPA/WPA2-verschlüsseltes WLAN d) Evil-Twin-Attack . . . . . . . . . . . . . . . . . . . . . . . . e) Zusammenfassung: Der Zugang zum (fremden) Wireless LAN 3. Mitschneiden des Datenverkehrs im Wireless LAN . . . . . . . a) Sniffen des unverschlüsselten Netzwerkverkehrs (WLAN ohne Sicherheitsvorkehrungen) . . . . . . . . . . . . . . . . b) Sniffen des WEP-verschlüsselten Netzwerkverkehrs . . . . . c) Sniffen des WPA/WPA2-verschlüsselten Netzwerkverkehrs . d) Sniffen am Evil Twin . . . . . . . . . . . . . . . . . . . . . e) Zusammenfassung: Mitschneiden des Datenverkehrs im Wireless LAN . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung: Der Zugriff auf den Datenverkehr . . . . . . . . 1. Lokalisieren und Zuordnen des Access Points . . . . . . . . . . 2. Der Zugang zum (fremden) Wireless LAN . . . . . . . . . . . . 3. Mitschneiden des Datenverkehrs im Wireless LAN . . . . . . .
(Inhaltliche) Untersuchung des Netzwerkverkehrs . . . . . . . . . . . . I. Einführung und Eingrenzung . . . . . . . . . . . . . . . . . . . . . II. Bestimmung des anvisierten Endgerätes . . . . . . . . . . . . . . . III. Auswerten der Daten und Herausfiltern der Kommunikationsinhalte 1. Methoden des Mitschneidens und Speicherns der Daten . . . . . 2. Inhaltsdaten und Zugangsdaten . . . . . . . . . . . . . . . . . . a) Inhaltsdaten . . . . . . . . . . . . . . . . . . . . . . . . . . b) Zugangsdaten/Passwörter . . . . . . . . . . . . . . . . . . . 3. E-Mails . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) E-Mail-Client . . . . . . . . . . . . . . . . . . . . . . . . . aa) E-Mails versenden: Simple Mail Transfer Protocol . . . bb) E-Mails empfangen: POP3/IMAP . . . . . . . . . . . . b) Webmail . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Soziale Netzwerke/Webforen/Sonstiges HTTP . . . . . . . . . . 5. Instant Messaging/Chat . . . . . . . . . . . . . . . . . . . . . . IV. Besonderheit: Verschlüsselung oberhalb der Netzzugangsschicht . . 1. Verschlüsseltes World Wide Web . . . . . . . . . . . . . . . . . a) Transport Layer Security (SSL/TLS) . . . . . . . . . . . . . b) HTTP über eine SSL/TLS-Verbindung (HTTPs) . . . . . . . c) Angriffe auf HTTPs . . . . . . . . . . . . . . . . . . . . . . aa) Ausgangspunkt: Man-in-the-Middle-Angriff . . . . . . .
95 96 98 99 99 99 100 101 101 101 101 102 103 105 105 106 106 107 109 109 110 110 111 111 113 113 113 114 115 115 115 115 116 116 116 116 116 117 117 118 119 119 121 121 123
Inhaltsverzeichnis
V.
G.
13
(1) Address Resolution Protocol Spoofing . . . . . . . (2) Domain Name System Spoofing . . . . . . . . . . bb) SSL-Stripping . . . . . . . . . . . . . . . . . . . . . . . cc) Man-in-the-Middle-Angriff über eigene digitale Zertifikate dd) SSL/TLS-Session-Cookie-Hijacking . . . . . . . . . . . ee) Schutzmaßnahmen: HSTS und HPKP . . . . . . . . . . (1) HTTP Strict Transport Security (HSTS) . . . . . . (a) Funktionsweise von HSTS . . . . . . . . . . . (b) Schwachstellen und Verbreitung von HSTS . . (2) HTTP Public Key Pinning (HPKP) . . . . . . . . . ff) Weitere Beispiele für Schwachstellen und Zero-Day-Exploits (1) BEAST . . . . . . . . . . . . . . . . . . . . . . . (2) POODLE . . . . . . . . . . . . . . . . . . . . . . (3) RC4-Verzerrungen . . . . . . . . . . . . . . . . . . gg) Sonstige Angriffe (Spear-Phishing, Brute-Force-Attack) . 2. Weitere offene Forschungsfelder beim Einsatz von Verschlüsselung Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Auswerten der Daten und Herausfiltern der Kommunikationsinhalte 2. Verschlüsseltes World Wide Web . . . . . . . . . . . . . . . . .
Folgerungen für die nachfolgende rechtliche Analyse . . . . . . . . . .
123 124 125 126 129 131 131 131 132 133 134 135 136 137 138 139 140 140 140 142
Dritter Teil Rechtliche Analyse H.
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Abgrenzung zu Quellen-TKÜ und Online-Durchsuchung . . . . . .
149 149 150
I.
Die Überwachung lokaler Funknetzwerke („WLAN-Catching“) . . . I. Überwachung lokaler Funknetzwerke aus technischer Perspektive . 1. Differenzierende Betrachtungsweise des Vorgangs . . . . . . . 2. Erläuterung der unterschiedlichen Maßnahmen . . . . . . . . 3. Einheitliche Betrachtungsweise des Vorgangs? . . . . . . . . II. Überwachung lokaler Funknetzwerke aus rechtlicher Perspektive . 1. (Kurze) Erläuterung der maßgeblichen Normen . . . . . . . . a) Maßgebliche Grundrechte . . . . . . . . . . . . . . . . . . aa) Recht auf informationelle Selbstbestimmung, Art. 2 I i.V.m. Art. 1 I GG . . . . . . . . . . . . . . . . . . . . bb) Brief-, Post- und Telekommunikationsgeheimnis, Art. 10 I GG . . . . . . . . . . . . . . . . . . . . . . . . . cc) Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (GVIiS), Art. 2 I i.V.m. Art. 1 I GG . . . . . . . . . . . . . . . . . . . . . . . . . . dd) Unverletzlichkeit der Wohnung, Art. 13 I GG . . . . . b) Maßgebliche strafprozessuale Normen . . . . . . . . . . . 2. Eine (erste) rechtliche Einordnung . . . . . . . . . . . . . . . a) Allgemeines . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . .
152 152 152 155 160 162 162 162
.
163
.
163
. . . . .
164 165 166 167 167
14
Inhaltsverzeichnis
. .
169 171
.
172
.
173
. . . . . .
175 175 176 179 183 185
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen . . . . I. Die Primärmaßnahme . . . . . . . . . . . . . . . . . . . . . . . . . 1. Erläuterung der Ermittlungsmaßnahme . . . . . . . . . . . . . 2. Verfassungsrechtliche Vorgaben . . . . . . . . . . . . . . . . . a) Telekommunikationsgeheimnis, Art. 10 I GG . . . . . . . . . aa) Reichweite des Schutzbereichs des Telekommunikationsgeheimnisses . . . . . . . . . . . . . . . . . . . . . (1) Die Übermittlung von Informationen (die Transportkomponente des Telekommunikationsgeheimnisses) . . . . . . . . . . . . . . . . . . . . . . . . (a) Beginn/Ende/Unterbrechung des Übermittlungsvorganges (Behandlung der beim Provider zwischengespeicherten E-Mails) . . . . . . . . . . (b) Übertragung der Vorgaben auf Daten in lokalen Funknetzwerken (Netzbetreiberlose Telekommunikation) . . . . . . . . . . . . . . . . . . . (aa) Technologische Aspekte . . . . . . . . . . (bb) Rechtliche Aspekte . . . . . . . . . . . . (2) Die Überwachung des gesamten Surfverhaltens (die Kommunikationskomponente des Telekommunikationsgeheimnisses) . . . . . . . . . . . . . (a) Die Kommunikationskomponente in der Definition des BVerfG . . . . . . . . . . . . . . . . (b) Abgrenzung von Individual- und Massenkommunikation . . . . . . . . . . . . . . . . . . . (aa) Subjektives Kriterium . . . . . . . . . . . (bb) Objektives Kriterium . . . . . . . . . . . (cc) Beschränkung auf klassische, interpersonale Kommunikation? . . . . . . . . . . . (c) Potentielle Betroffenheit von interpersonaler Kommunikation . . . . . . . . . . . . . . . . . (d) Nichtannahmebeschluss des BVerfG . . . . . .
186 186 186 187 189
III.
J.
b) Die Primärmaßnahme: Mitschneiden und Speichern des Datenverkehrs eines lokalen Funknetzwerks (Abhören des WLAN) inkl. Überwachung des Surfverhaltens . . . . . . . c) Sekundärmaßnahmen . . . . . . . . . . . . . . . . . . . . aa) Sekundärmaßnahmen I: Maßnahmen ohne Überwindung von Sicherheitsvorkehrungen . . . . . . . . . . . bb) Sekundärmaßnahmen II: Maßnahmen zur Überwindung von Sicherheitsvorkehrungen (insb. Verschlüsselung) . cc) Sekundärmaßnahmen III: „Informationstechnologische Täuschungen“ im Rahmen der Überwachung lokaler Funknetzwerke . . . . . . . . . . . . . . . . . . . . . Überwachung lokaler Funknetzwerke in Lit. und Rspr. . . . . . . 1. Jordan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Kleih . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Weitere Erwähnungen . . . . . . . . . . . . . . . . . . . . . 4. Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
189 189 190 192 192 192 194 195 196 196 196 196 199 199
Inhaltsverzeichnis (e) Drohender Wertungswiderspruch . . . . . . . . (3) Zusammenfassung: Reichweite des Schutzbereichs des Telekommunikationsgeheimnisses . . . . . . . bb) Eingriff in das Telekommunikationsgeheimnis . . . . . . b) Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, Art. 2 I i.V.m. Art. 1 I GG . . . . . aa) Lokale Funknetzwerke als IT-Systeme . . . . . . . . . . (1) Netzwerkkomponenten als informationstechnisches System . . . . . . . . . . . . . . . . . . . . . . . . (2) Rechnernetze als informationstechnisches System . bb) Zwei Schutzrichtungen und Eingriffe in das GVIiS . . . cc) Abgrenzung von GVIiS zu Art. 10 I GG . . . . . . . . . (1) „Laufender Telekommunikationsvorgang“ . . . . . (2) Nutzung der gesamten Bandbreite des InternetNetzwerks als „laufende Telekommunikation“? . . dd) Zusammenfassung: Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, Art. 2 I i.V.m. Art. 1 I GG . . . . . . . . . . . . . . . . . . . . . c) Unverletzlichkeit der Wohnung, Art. 13 I GG . . . . . . . . . d) Recht auf informationelle Selbstbestimmung, Art. 2 I i.V.m. Art. 1 I GG . . . . . . . . . . . . . . . . . . . . . . . . . . . e) Zusammenfassung: Verfassungsrechtliche Vorgaben . . . . . 3. Strafprozessuale Zulässigkeit der Primärmaßnahme . . . . . . . a) Anwendbarkeit der §§ 94 ff. StPO? . . . . . . . . . . . . . . aa) Daten als Gegenstände . . . . . . . . . . . . . . . . . . bb) Behandlung der beim Provider zwischengespeicherten E-Mails in der Rechtsprechung des BVerfG . . . . . . . cc) Übertragung der Vorgaben auf andere Daten und differente Übertragungsphasen? . . . . . . . . . . . . . . . . b) Anwendbarkeit von § 102 StPO? . . . . . . . . . . . . . . . c) Anwendbarkeit von § 110 III StPO? . . . . . . . . . . . . . . d) Anwendbarkeit der §§ 99, 100 StPO? . . . . . . . . . . . . . aa) Behandlung der beim Provider zwischengespeicherten E-Mails in der Rechtsprechung durch das BVerfG und den BGH . . . . . . . . . . . . . . . . . . . . . . . . . bb) Übertragung der Vorgaben auf andere Kommunikationsanwendungen? . . . . . . . . . . . . . . . . . . . . . . cc) Bewertung der von der Rechtsprechung entwickelten Ergebnisse . . . . . . . . . . . . . . . . . . . . . . . . . dd) Übertragung der Vorgaben auf Daten in lokalen Netzwerken? (1) Gewahrsam des Providers an den Daten im lokalen Netzwerk? . . . . . . . . . . . . . . . . . . . . . . (2) Daten im lokalen Netzwerk als dynamischer Vorgang e) Anwendbarkeit von § 100a I S. 1 StPO? . . . . . . . . . . . aa) „Telekommunikation“ i.S.v. § 100a I S. 1 StPO . . . . . (1) Definition von „Telekommunikation“? . . . . . . . (2) Definition des Bundesgerichtshofs . . . . . . . . .
15 200 201 202 202 203 203 204 205 205 206 207 209 209 212 212 214 215 215 217 218 218 218 219 220 222 222 224 224 225 226 227 227 228
16
Inhaltsverzeichnis (3) „Genuin strafverfahrensrechtliche Begriffsbestimmung“ – Beschränkung auf zwischenmenschliche (interpersonale) Kommunikation? . . . . . . . . . (a) Einschränkende Auslegung in der Literatur . . (b) Weites Verständnis in der Literatur . . . . . . . (c) Rechtsprechung . . . . . . . . . . . . . . . . . (4) Schlussfolgerung unter Orientierung am grundrechtlichen Schutz durch Art. 10 GG . . . . . . . . (5) „Telekommunikation“ und das Abhören des WLAN (WLAN-Catching) . . . . . . . . . . . . . . . . . (a) Betroffenheit des gesamten Surfverhaltens . . . (b) Übertragungsweg beendet/noch nicht begonnen? (c) Betroffenheit von Datenpaketen, die nur innerhalb des lokalen Netzwerks zirkulieren . . . . . bb) „Überwacht und aufgezeichnet“ . . . . . . . . . . . . . (1) Zulässigkeit der selbständigen Durchführung einer Überwachungsmaßnahme durch die Strafverfolgungsbehörden im Rahmen von § 100a I S. 1 StPO (2) „Überwacht und aufgezeichnet“ . . . . . . . . . . cc) „Auch ohne Wissen“ . . . . . . . . . . . . . . . . . . . dd) „Betroffene“ . . . . . . . . . . . . . . . . . . . . . . . . ee) Sonstige Anordnungsvoraussetzungen von § 100a I S. 1 StPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . ff) Zusammenfassung: Anwendbarkeit von § 100a I S. 1 StPO für das Mitschneiden und Speichern des Datenverkehrs eines lokalen Netzwerks (Abhören des WLAN) inkl. Überwachung des Surfverhaltens . . . . . . . . . . f) Anwendbarkeit von § 100a I S. 2 StPO? . . . . . . . . . . . aa) Strafprozessuale Begriffsbestimmung des Merkmals „in informationstechnische Systeme eingegriffen“ . . . . . . bb) Ergänzende Anhaltspunkte aus dem Verfassungsrecht? . cc) Ergänzende Anhaltspunkte durch die Begriffsbestimmung in § 20l II BKAG? . . . . . . . . . . . . . . . . . dd) Übertragung auf die Primärmaßnahme . . . . . . . . . . g) Anwendbarkeit von § 100a I S. 3 StPO? . . . . . . . . . . . h) Anwendbarkeit von § 100b I StPO? . . . . . . . . . . . . . . 4. Exklusive Wahrnehmung von WLAN-Verkehrsdaten . . . . . . a) Technologische Einzelheiten . . . . . . . . . . . . . . . . . b) Rechtliche Einordnung . . . . . . . . . . . . . . . . . . . . aa) Erhebung zusätzlich zu der inhaltlichen Wahrnehmung nach § 100a I S. 1 StPO . . . . . . . . . . . . . . . . . . bb) Separate Erhebung anstelle der inhaltlichen Wahrnehmung (1) Verfassungsrechtliche Vorgaben . . . . . . . . . . (2) Strafprozessuale Zulässigkeit . . . . . . . . . . . . (a) Strafprozessuale Zulässigkeit der selbständigen Erhebung von Verkehrsdaten . . . . . . . . (b) Erhebung nicht beim Erbringer öffentlich zugänglicher Telekommunikationsdienste, § 100g V StPO . . . . . . . . . . . . . . . . . . . . .
229 229 231 231 232 233 234 235 237 238 238 240 240 240 242
243 244 245 247 248 248 249 250 250 250 252 252 253 253 254 254 254
Inhaltsverzeichnis
II.
(c) Kategorien von Verkehrsdaten, § 100g I - III StPO 5. Zusammenfassung: Zulässigkeit des Mitschneidens und Speicherns des Datenverkehrs eines lokalen Funknetzwerks (Abhören des WLAN) inkl. Überwachung des Surfverhaltens . . . . . Sekundärmaßnahmen . . . . . . . . . . . . . . . . . . . . . . . . . 1. Sekundärmaßnahmen I: Maßnahmen ohne Überwindung von Sicherheitsvorkehrungen . . . . . . . . . . . . . . . . . . . . . a) Erläuterung der Ermittlungsmaßnahmen . . . . . . . . . . . b) WLAN lokalisieren und zuordnen; Ermittlung der MACAdresse des Access Points . . . . . . . . . . . . . . . . . . . aa) Technologische Einzelheiten . . . . . . . . . . . . . . . bb) Rechtliche Einordnung . . . . . . . . . . . . . . . . . . (1) Verfassungsrechtliche Vorgaben . . . . . . . . . . (2) Strafprozessuale Zulässigkeit . . . . . . . . . . . . c) Maschine-zu-Maschine-Kommunikation: Ermittlung der MACAdressen der assoziierten Endgeräte mittels passiver Scanner; Hidden Networks . . . . . . . . . . . . . . . . . . . . . . . aa) Technologische Einzelheiten . . . . . . . . . . . . . . . bb) Rechtliche Einordnung . . . . . . . . . . . . . . . . . . (1) Verfassungsrechtliche Vorgaben . . . . . . . . . . (2) Strafprozessuale Zulässigkeit . . . . . . . . . . . . (a) § 100i StPO? . . . . . . . . . . . . . . . . . . (b) Ermittlungsgeneralklausel gem. §§ 161, 163 StPO? d) Das Senden von Datenpaketen an den Access Point: Verwendung aktiver Scanner; Einloggen in offenes WLAN . . . . . aa) Technologische Einzelheiten . . . . . . . . . . . . . . . bb) Rechtliche Einordnung . . . . . . . . . . . . . . . . . . (1) Verfassungsrechtliche Vorgaben . . . . . . . . . . (2) Strafprozessuale Zulässigkeit . . . . . . . . . . . . e) Zusammenfassung: Sekundärmaßnahmen I: Maßnahmen ohne Überwindung von Sicherheitsvorkehrungen . . . . . . . 2. Sekundärmaßnahmen II: Maßnahmen zur Überwindung von Sicherheitsvorkehrungen (insb. Verschlüsselung) . . . . . . . . a) Erläuterung der Ermittlungsmaßnahmen . . . . . . . . . . . b) Technologische Einzelheiten . . . . . . . . . . . . . . . . . c) Alleiniges Überwinden von Sicherheitsvorkehrungen von Telekommunikation (das „Knacken“ von Verschlüsselung) . . aa) Verfassungsrechtliche Vorgaben . . . . . . . . . . . . . bb) Strafprozessuale Zulässigkeit . . . . . . . . . . . . . . . (1) Überwinden der Verschlüsselung von Telekommunikation als „Überwachen und Aufzeichnen“ i.S.v. § 100a I S. 1 StPO? . . . . . . . . . . . . . . . . . (2) Überwinden der Verschlüsselung von Telekommunikation als Annexkompetenz zu § 100a I S. 1 StPO? . . . . . . . . . . . . . . . . . . . . . . . . d) Eingriffe in den Datenverkehr einer Netzwerkinfrastruktur zur Überwindung von Sicherheitsvorkehrungen . . . . . . . aa) Verfassungsrechtliche Vorgaben . . . . . . . . . . . . . (1) Telekommunikationsgeheimnis, Art. 10 I GG . . .
17 255 257 259 259 259 260 260 261 261 263 263 263 264 264 266 266 267 268 268 269 269 272 272 273 273 274 276 277 279 279 281 285 285 285
18
Inhaltsverzeichnis (2) GVIiS und Abgrenzung zum Telekommunikationsgeheimnis . . . . . . . . . . . . . . . . . . . . . . (3) Sonstige Grundrechte . . . . . . . . . . . . . . . . bb) Strafprozessuale Zulässigkeit . . . . . . . . . . . . . . . (1) Anwendbarkeit von § 100a I S. 1 StPO? . . . . . . (2) Anwendbarkeit von § 100a I S. 2 StPO? . . . . . . (a) „Die Überwachung und Aufzeichnung der Telekommunikation darf auch in der Weise erfolgen“ (b) „Eingreifen in informationstechnische Systeme“ (c) „Mit technischen Mitteln“ . . . . . . . . . . . (d) „Von dem Betroffenen genutzte“ (informationstechnische Systeme) . . . . . . . . . . . . . (e) „Wenn dies notwendig ist, um die Überwachung und Aufzeichnung insbesondere in unverschlüsselter Form zu ermöglichen“ . . . . . (f) Voraussetzungen des § 100a V und VI StPO . . (g) Schlussfolgerung . . . . . . . . . . . . . . . . (3) Anwendbarkeit von § 100a I S. 3 StPO? . . . . . . (4) Anwendbarkeit von § 100b I StPO? . . . . . . . . . (a) „Eingreifen in ein informationstechnisches System“ (b) „Erheben von Daten aus dem informationstechnischen System“ . . . . . . . . . . . . . . (c) Verhältnis von § 100b StPO zu § 100a StPO? . (d) Schlussfolgerung . . . . . . . . . . . . . . . . e) Maßnahmen mit Auswirkungen auf IT-Endgeräte (aber ohne Infiltration) zur Überwindung von Sicherheitsvorkehrungen . aa) Verfassungsrechtliche Vorgaben . . . . . . . . . . . . . (1) Aussagen des BVerfG . . . . . . . . . . . . . . . . (a) Urteil zum „IMSI-Catcher“ . . . . . . . . . . . (b) Urteil zum NWVerfSchG . . . . . . . . . . . . (c) Urteil zu den neuen Befugnissen im BKAG . . (d) Schlussfolgerung . . . . . . . . . . . . . . . . (2) Übertragung auf die WLAN-Überwachungsmaßnahme mit Auswirkungen auf IT-Endgeräte (aber ohne Infiltration) . . . . . . . . . . . . . . . . . . . . . (a) Ausschließlich punktuelle Veränderung am ITSystem . . . . . . . . . . . . . . . . . . . . . . (b) Ausschließliche Betroffenheit von Daten mit Bezug zu einer laufenden Telekommunikation . (3) Schlussfolgerung . . . . . . . . . . . . . . . . . . bb) Strafprozessuale Zulässigkeit . . . . . . . . . . . . . . . (1) Anwendbarkeit von § 100a I S. 1 StPO? . . . . . . (2) Anwendbarkeit von § 100a I S. 2 StPO? . . . . . . (a) Auswirkungen der verfassungsrechtlichen Vorgaben auf § 100a I S. 2 StPO . . . . . . . . . . (b) Notwendigkeit einer verfassungskonformen Auslegung von § 100a I S. 2 StPO? . . . . . . . (c) Übertragung auf Maßnahmen mit Auswirkungen auf IT-Endgeräte . . . . . . . . . . . . . .
287 289 289 290 291 292 292 293 294 294 295 296 296 296 297 298 299 301 301 301 302 302 302 305 308 308 308 310 310 311 311 312 312 313 314
Inhaltsverzeichnis (3) Anwendbarkeit von § 100a I S. 3 StPO? . . . . . . (4) Anwendbarkeit von § 100b I StPO? . . . . . . . . . (a) „Eingreifen in ein informationstechnisches System“ (b) „Erheben von Daten aus dem informationstechnischen System“ . . . . . . . . . . . . . . (c) Weitere Merkmale . . . . . . . . . . . . . . . (d) Sonstige Anordnungsvoraussetzungen von § 100b StPO . . . . . . . . . . . . . . . . . . . (e) Schlussfolgerung . . . . . . . . . . . . . . . . f) Zusammenfassung: Sekundärmaßnahmen II: Maßnahmen zur Überwindung von Sicherheitsvorkehrungen . . . . . . . 3. Sekundärmaßnahmen III: „Informationstechnologische Täuschungen“ im Rahmen der Überwachung lokaler Funknetzwerke a) Erläuterung der Ermittlungsmaßnahme . . . . . . . . . . . . b) Verfassungsrechtliche Vorgaben . . . . . . . . . . . . . . . . aa) Telekommunikationsgeheimnis, Art. 10 I GG . . . . . . bb) Recht auf informationelle Selbstbestimmung, Art. 2 I i.V.m. Art. 1 I GG . . . . . . . . . . . . . . . . . . . . . (1) Staatliche Identitätstäuschungen . . . . . . . . . . (2) Übertragung auf „informationstechnologische Täuschungen“ im Rahmen der Überwachung lokaler Funknetzwerke . . . . . . . . . . . . . . . . . . . cc) Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, Art. 2 I i.V.m. Art. 1 I GG . . . . . . . . . . . . . . . . . . . . . dd) Konkurrenzverhältnis von GVIiS und Recht auf informationelle Selbstbestimmung . . . . . . . . . . . . . . . ee) Schlussfolgerung . . . . . . . . . . . . . . . . . . . . . c) Strafprozessuale Zulässigkeit . . . . . . . . . . . . . . . . . aa) Anwendbarkeit von § 100b I StPO? . . . . . . . . . . . (1) „Eingreifen in ein informationstechnisches System“ (2) „Erheben von Daten aus dem informationstechnischen System“ . . . . . . . . . . . . . . . . . . . . (3) Weitere Merkmale . . . . . . . . . . . . . . . . . . (4) Sonstige Anordnungsvoraussetzungen von § 100b StPO d) Zusammenfassung: Sekundärmaßnahmen III: „Informationstechnologische Täuschungen“ im Rahmen der Überwachung lokaler Funknetzwerke . . . . . . . . . . . . . . . . . . . . . 4. Zusammenfassung: Sekundärmaßnahmen . . . . . . . . . . . .
19 314 314 315 315 316 317 318 318 320 320 321 322 324 324 325 327 329 331 332 333 333 334 334 335 336 336
Vierter Teil Ergebnisse und Zusammenfassung K.
Kernaussagen des Buches . . . . . . . . . . . . . . . . . . . . . . . . .
339
L.
Ergebnisse der informationstechnologischen Analyse . . . . . . . . . . . 341
M.
Zusammenfassung der rechtlichen Analyse . . . . . . . . . . . . . . .
345
20
Inhaltsverzeichnis I.
. . . . . .
346 346 347 348 349 350
Schlussfolgerung und thesenartiger Überblick . . . . . . . . . . . . . . I. Schlussfolgerung für durchgeführte Maßnahmen des „WLAN-Catchings“ vor dem 24.08.2017 . . . . . . . . . . . . . . . II. Thesenartiger Überblick . . . . . . . . . . . . . . . . . . . . . . . .
352
II. III. IV. N.
Zulässigkeit der Primärmaßnahme . . . . 1. Verfassungsrechtliche Vorgaben . . . 2. Strafprozessuale Zulässigkeit . . . . . Zulässigkeit der Sekundärmaßnahmen I . Zulässigkeit der Sekundärmaßnahmen II . Zulässigkeit der Sekundärmaßnahmen III
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
Anhang A Einzelheiten zu der informationstechnologischen Untersuchung und Umsetzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Der Zugriff auf den Datenverkehr eines (fremden) lokalen Netzwerks 1. Lokalisieren und Zuordnen des Access Points . . . . . . . . . . a) Abbildung eines Beacon-Frames und Probe-Response-Frames b) Beacon- und Probe-Response-Frame bei einem Hidden Network 2. Der Zugang zum (fremden) Wireless LAN . . . . . . . . . . . . a) WEP-verschlüsseltes WLAN . . . . . . . . . . . . . . . . . aa) Versendeter Datenteil bei WEP mit unverschlüsseltem Initialisierungsvektor . . . . . . . . . . . . . . . . . . . bb) Einzelheiten zu den Angriffen auf WEP . . . . . . . . . (1) Fluhrer/Mantin/Shamir . . . . . . . . . . . . . . . (2) KoreK . . . . . . . . . . . . . . . . . . . . . . . . (3) Umsetzung einer WEP-Attack . . . . . . . . . . . b) WPA/WPA2 (PSK)-verschlüsseltes WLAN . . . . . . . . . . aa) WPA mit Temporary Key Integrity Protocol . . . . . . . (1) RC4-Schlüsselgenerierung (per Frame) in TKIP . . (2) (Weitere) Auswirkungen der neuen Schlüsselgenerierung . . . . . . . . . . . . . . . . . . . . . . . . bb) WPA2 mit AES-CCMP . . . . . . . . . . . . . . . . . . (1) AES-Counter Mode . . . . . . . . . . . . . . . . . (2) CBC-MAC . . . . . . . . . . . . . . . . . . . . . cc) Einzelheiten zum Schlüsselmanagement . . . . . . . . . dd) Einzelheiten zur Authentifizierung und Assoziierung bei WPA/WPA2 . . . . . . . . . . . . . . . . . . . . . . ee) Attacks on WPA/WPA2 . . . . . . . . . . . . . . . . . . (1) Brute-Force-Attack . . . . . . . . . . . . . . . . . (a) Funktionsweise der Brute-Force-Attack . . . . (b) Erstellen eigener Dictionary Files und Rainbow Tables . . . . . . . . . . . . . . . . . . . . . . (c) Umsetzung der Brute-Force-Attack . . . . . . . (2) Realisierung einer Evil-Twin-Attack . . . . . . . . II. (Inhaltliche) Untersuchung des Netzwerkverkehrs . . . . . . . . . . 1. Auswerten der Daten und Herausfiltern der Kommunikationsinhalte a) Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Wireshark . . . . . . . . . . . . . . . . . . . . . . . . .
352 353
355 355 355 355 355 356 356 356 356 356 359 359 361 361 361 361 361 361 362 362 363 364 364 364 365 365 368 371 371 371 371
Inhaltsverzeichnis bb) Dsniff . . . . . . . . . . . . . . . . . . . . . . . . . b) E-Mails . . . . . . . . . . . . . . . . . . . . . . . . . . aa) E-Mails versenden per Simple Mail Transfer Protocol bb) E-Mails empfangen: POP3/IMAP . . . . . . . . . . cc) Verschlüsseltes World Wide Web . . . . . . . . . . . (1) Einzelheiten zur Funktionsweise von SSL/TLS
21 . . . . . .
. . . . . .
371 372 372 372 372 372
Anhang B Detailinformationen zur Arbeitsweise des Internet-Netzwerks . I. Details zu den einzelnen Schichten des TCP/IP-Referenzmodells . 1. Anwendungsschicht . . . . . . . . . . . . . . . . . . . . . . . a) SMTP als Beispielprotokoll . . . . . . . . . . . . . . . . . aa) Grundlegendes . . . . . . . . . . . . . . . . . . . . . bb) Kontaktaufnahme . . . . . . . . . . . . . . . . . . . . 2. Transportschicht . . . . . . . . . . . . . . . . . . . . . . . . a) TCP als Beispielprotokoll . . . . . . . . . . . . . . . . . . aa) Grundlegendes . . . . . . . . . . . . . . . . . . . . . bb) Verbindungsorientierung . . . . . . . . . . . . . . . . 3. Internetschicht . . . . . . . . . . . . . . . . . . . . . . . . . a) IP(v4) als Beispielprotokoll . . . . . . . . . . . . . . . . . aa) Grundlegendes . . . . . . . . . . . . . . . . . . . . . bb) Adressierung . . . . . . . . . . . . . . . . . . . . . . (1) IP-Adressen . . . . . . . . . . . . . . . . . . . . (2) Network Address Translation . . . . . . . . . . . cc) Routing und Weiterleitung . . . . . . . . . . . . . . . dd) Fragmentierung . . . . . . . . . . . . . . . . . . . . . 4. Netzzugangsschicht (Sicherungs-/Bitübertragungsschicht) . . a) Ethernet als Beispielprotokoll der Netzzugangsschicht . . . aa) Grundlegendes . . . . . . . . . . . . . . . . . . . . . bb) Adressierung . . . . . . . . . . . . . . . . . . . . . . b) IEEE 802.11 (WLAN) als Beispielprotokoll der Netzzugangsschicht . . . . . . . . . . . . . . . . . . . . . . . . . aa) Die IEEE 802.11-Protokollfamilie . . . . . . . . . . . bb) Medienzugriff . . . . . . . . . . . . . . . . . . . . . . cc) WPA2-Personal (PSK) vs. WPA2-Enterprise (802.1X) (1) Authentifzierung . . . . . . . . . . . . . . . . . (2) Verschlüsselung . . . . . . . . . . . . . . . . . . II. Aufbau einzelner Protokolldateneinheiten . . . . . . . . . . . . . 1. Überblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Aufbau einer Nachricht am Beispiel von SMTP . . . . . . . . 3. Aufbau eines Segments am Beispiel von TCP . . . . . . . . . 4. Aufbau eines Datagramms am Beispiel von IPv4 . . . . . . . 5. Aufbau eines Frames am Beispiel von Ethernet . . . . . . . . 6. Aufbau eines Frames am Beispiel des 802.11-Protokolls . . .
. . . . . . . . . . . . . . . . . . . . . .
378 378 378 378 378 378 380 380 380 380 382 382 382 382 383 384 385 386 386 386 387 387
. . . . . . . . . . . . .
388 388 388 389 389 390 390 390 391 393 394 396 398
Anhang C Kryptologischer Hintergrund . . . . . . . . . . . . . . . . . . . . I. Kryptographische Algorithmen . . . . . . . . . . . . . . . . . . . . 1. Symmetrische Algorithmen . . . . . . . . . . . . . . . . . . .
400 400 400
22
Inhaltsverzeichnis a) Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Permutation und Substitution . . . . . . . . . . . . . . . bb) Blockchiffren vs. Stromchiffren . . . . . . . . . . . . . . cc) Produktchiffren/Substitutions-Permutationschiffren . . . dd) Vernam-Chiffre/One-Time-Pad . . . . . . . . . . . . . . b) Ausgewählte Blockchiffren . . . . . . . . . . . . . . . . . . aa) Feistel-Chiffre . . . . . . . . . . . . . . . . . . . . . . . bb) Data Encryption Standard (DES) . . . . . . . . . . . . . (1) Überblick über die Funktionsweise von DES . . . . (2) Die Erzeugung der Rundenschlüssel . . . . . . . . (3) Eine Runde des DES-Algorithmus . . . . . . . . . (a) Die Rundenfunktion f . . . . . . . . . . . . . (aa) Expansionspermutation und XOR-Verknüpfung . . . . . . . . . . . . . (bb) S-Box-Substitution . . . . . . . . . . . . (cc) P-Box-Permutation . . . . . . . . . . . . (b) Verbindung von linker und rechter Hälfte . . . (4) Die weiteren Teilschritte . . . . . . . . . . . . . . (a) Anfangspermutation . . . . . . . . . . . . . . (b) Schlusspermutation . . . . . . . . . . . . . . . (5) Entschlüsselung mit DES . . . . . . . . . . . . . . (6) Sicherheit von DES . . . . . . . . . . . . . . . . . (7) Triple-DES . . . . . . . . . . . . . . . . . . . . . cc) Advanced Encryption Standard (AES) . . . . . . . . . . (1) Einordnung von AES . . . . . . . . . . . . . . . . (2) Überblick über die Funktionsweise von AES . . . . (3) Eine Runde des AES-Algorithmus . . . . . . . . . (a) Die Rundenfunktion f . . . . . . . . . . . . . (aa) Der endliche Körper GF(28 ) . . . . . . . . (bb) Polynome . . . . . . . . . . . . . . . . . (cc) Byte-Substitution (SubBytes-Operation) . (dd) Zeilenverschiebung (ShiftRows-Operation) (ee) Spaltentransformation (MixColumns-Op.) (b) XOR-Verknüpfung mit Rundenschlüssel (KeyAddition) . . . . . . . . . . . . . . . . . . . . (4) Erzeugung der Rundenschlüssel (Schlüsselexpansion) (5) Entschlüsselung mit AES . . . . . . . . . . . . . . (6) Sicherheit von AES . . . . . . . . . . . . . . . . . dd) International Data Encryption Algorithm (IDEA) . . . . c) Betriebsmodi der Blockchiffren . . . . . . . . . . . . . . . . aa) ECB-Mode . . . . . . . . . . . . . . . . . . . . . . . . bb) CBC-Mode . . . . . . . . . . . . . . . . . . . . . . . . cc) CTR-Mode . . . . . . . . . . . . . . . . . . . . . . . . dd) CFB-Mode . . . . . . . . . . . . . . . . . . . . . . . . ee) OFB-Mode . . . . . . . . . . . . . . . . . . . . . . . . d) Ausgewählte Stromchiffren . . . . . . . . . . . . . . . . . . aa) Allgemeines Prinzip von Stromchiffren . . . . . . . . . bb) RC4/Arcfour . . . . . . . . . . . . . . . . . . . . . . . (1) Überblick über die Funktionsweise von RC4 . . . .
400 400 401 402 402 403 403 405 405 407 408 408 408 410 412 412 412 412 413 413 413 414 415 415 415 416 418 418 419 420 421 422 423 423 424 425 425 426 426 427 427 428 428 429 429 430 431
Inhaltsverzeichnis (2) KSA-Algorithmus . . . . . . . . . . . . . . . . . (a) Die einzelnen Schritte des Algorithmus . . . (b) Beispielrechnung (KSA) . . . . . . . . . . . (3) PRGA-Algorithmus . . . . . . . . . . . . . . . . (a) Die einzelnen Schritte des Algorithmus . . . (b) Beispielrechnung . . . . . . . . . . . . . . . (4) Entschlüsselung . . . . . . . . . . . . . . . . . . (5) Sicherheit von RC4 . . . . . . . . . . . . . . . . cc) Weitere Stromchiffren . . . . . . . . . . . . . . . . . . 2. Asymmetrische Algorithmen . . . . . . . . . . . . . . . . . . a) Einführung in die Public-Key-Kryptographie . . . . . . . . aa) Einwegfunktion . . . . . . . . . . . . . . . . . . . . . bb) Trapdoor-Einwegfunktion . . . . . . . . . . . . . . . . cc) Mathematische Umsetzung . . . . . . . . . . . . . . . (1) Faktorisierung (großer Zahlen) . . . . . . . . . . (2) Diskreter Logarithmus . . . . . . . . . . . . . . b) Der RSA-Algorithmus . . . . . . . . . . . . . . . . . . . . aa) Das zugrunde liegende Prinzip . . . . . . . . . . . . . bb) Mathematische Umsetzung des Prinzips . . . . . . . . cc) Vorüberlegungen . . . . . . . . . . . . . . . . . . . . (1) Größenordnung der Zahlen . . . . . . . . . . . . (2) Voraussetzungen . . . . . . . . . . . . . . . . . (3) Vorbereitung und Umwandlung des Klartextes . . (4) Ausgabe des Geheimtextes als darstellbarer Text . (5) „Berechnung“ der Primzahlen . . . . . . . . . . dd) Die einzelnen Schritte des Algorithmus . . . . . . . . ee) Beispiel eines RSA-Verschlüsselungsvorganges . . . . ff) Sicherheitsprinzip von RSA . . . . . . . . . . . . . . (1) Berechnen des geheimen Schüssels . . . . . . . . (2) Entschlüsseln ohne geheimen Schlüssel durch Invertieren . . . . . . . . . . . . . . . . . . . . . . (3) Randomisierung . . . . . . . . . . . . . . . . . . c) Diffie-Hellman-Schlüsselvereinbarung . . . . . . . . . . . aa) Das zugrunde liegende Prinzip . . . . . . . . . . . . . bb) Parameterauswahl . . . . . . . . . . . . . . . . . . . . (1) Primzahl p . . . . . . . . . . . . . . . . . . . . . (2) Basis g . . . . . . . . . . . . . . . . . . . . . . . (3) Geheimer Exponent x . . . . . . . . . . . . . . . cc) Die einzelnen Schritte des Algorithmus . . . . . . . . dd) Beispielrechnung . . . . . . . . . . . . . . . . . . . . ee) Mathematische Umsetzung des Prinzips . . . . . . . . ff) Sicherheitsprinzip von Diffie-Hellman . . . . . . . . . (1) Diskreter Logarithmus . . . . . . . . . . . . . . (2) Rückschluss auf den Schlüssel direkt . . . . . . . gg) Mehrpersonen . . . . . . . . . . . . . . . . . . . . . . d) Elgamal-Algorithmus . . . . . . . . . . . . . . . . . . . . aa) Das zugrunde liegende Prinzip . . . . . . . . . . . . . bb) Die einzelnen Schritte des Algorithmus . . . . . . . . cc) Beispielrechnung . . . . . . . . . . . . . . . . . . . .
23 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
431 431 432 433 433 434 435 436 436 437 437 437 438 438 438 439 439 440 441 443 443 444 444 446 447 448 450 457 457
. . . . . . . . . . . . . . . . . . .
458 459 459 459 461 461 461 462 462 463 464 465 465 466 466 467 467 468 469
24
Inhaltsverzeichnis
II.
III.
IV.
dd) Mathematische Umsetzung des Prinzips . . . . . . ee) Sicherheitsprinzip von Elgamal . . . . . . . . . . . Public-Key-Infrastrukturen . . . . . . . . . . . . . . . . . . . 1. Elemente einer PKI . . . . . . . . . . . . . . . . . . . . . a) Digitale Zertifikate . . . . . . . . . . . . . . . . . . . b) Certification Authority (CA) . . . . . . . . . . . . . . c) Root-CA . . . . . . . . . . . . . . . . . . . . . . . . . d) Registration Authority (RA) . . . . . . . . . . . . . . . e) Directory Service . . . . . . . . . . . . . . . . . . . . f) Certificate Revocation List . . . . . . . . . . . . . . . 2. Vertrauensmodelle . . . . . . . . . . . . . . . . . . . . . a) Direct Trust . . . . . . . . . . . . . . . . . . . . . . . b) Web of Trust . . . . . . . . . . . . . . . . . . . . . . . c) Hierarchical Trust . . . . . . . . . . . . . . . . . . . . aa) Einstufige Hierarchie . . . . . . . . . . . . . . . . bb) Mehrstufige Hierarchie . . . . . . . . . . . . . . . cc) Cross-Zertifizierung . . . . . . . . . . . . . . . . 3. Lösung des Man-in-the-Middle-Problems durch eine PKI? Digitale Signaturen . . . . . . . . . . . . . . . . . . . . . . . 1. RSA als Signaturverfahren . . . . . . . . . . . . . . . . . 2. Elgamal-Signaturverfahren . . . . . . . . . . . . . . . . . a) Die einzelnen Schritte des Signaturverfahrens . . . . . b) Sicherheit des Elgamal-Signaturverfahrens . . . . . . . 3. Digital Signature Algorithm (DSA) . . . . . . . . . . . . a) Die einzelnen Schritte von DSA . . . . . . . . . . . . . b) Sicherheit des Elgamal-Signaturverfahrens . . . . . . . Kryptologische Hashfunktionen . . . . . . . . . . . . . . . . 1. Überblick über die Funktionsweise von Hashfunktionen . . 2. Allgemeine Sicherheitsaspekte von Hashfunktionen . . . . 3. Wichtige (eigenständige) Hashfunktionen . . . . . . . . . a) MD5 . . . . . . . . . . . . . . . . . . . . . . . . . . . b) SHA-Familie . . . . . . . . . . . . . . . . . . . . . . . c) RIPEMD-160 . . . . . . . . . . . . . . . . . . . . . . 4. Message Authentication Codes (MAC) . . . . . . . . . . .
Anhang D Mathematische Grundlagen und Zeichenkodierung I. Mathematische Grundlagen . . . . . . . . . . . . . . . 1. Natürliche und ganze Zahlen . . . . . . . . . . . . 2. Gruppen und Körper . . . . . . . . . . . . . . . . a) Gruppen . . . . . . . . . . . . . . . . . . . . . b) Ringe . . . . . . . . . . . . . . . . . . . . . . . c) Körper . . . . . . . . . . . . . . . . . . . . . . 3. Die multiplikative Inverse . . . . . . . . . . . . . 4. Teilbarkeit und Primzahlen . . . . . . . . . . . . . a) Teiler . . . . . . . . . . . . . . . . . . . . . . . b) Größter gemeinsamer Teiler . . . . . . . . . . . c) Die Euler’sche φ-Funktion . . . . . . . . . . . d) Primzahlen . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
472 473 474 474 474 474 475 475 475 476 476 476 476 477 477 477 477 478 480 480 482 482 483 484 484 486 486 486 487 488 488 488 489 489
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . 491 . 491 . 491 . 492 . 492 . 493 . 493 . 494 . 494 . 494 . 495 . 495 . 495
Inhaltsverzeichnis . . . . . . . . . . . . . . . . . . . .
496 496 497 497 498 499 500 501 502 502 504 504 504 505 505 505 505 506 507 508
Quellen im World Wide Web . . . . . . . . . . . . . . . . . . . . . . . . . . . .
510
Zitierte Entscheidungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
523
Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
525
II.
e) Die Euler’sche -Funktion und Primzahlen . . . . f) Primfaktorzerlegung . . . . . . . . . . . . . . . . 5. Modulare Arithmetik . . . . . . . . . . . . . . . . . a) Division mit Rest . . . . . . . . . . . . . . . . . b) Kongruenzen . . . . . . . . . . . . . . . . . . . c) Restklassen, Restklassengruppe, Restklassenring . d) Euklidischer Algorithmus . . . . . . . . . . . . . e) Vielfachsummendarstellung . . . . . . . . . . . . aa) Erweiterter euklidischer Algorithmus . . . . bb) Die multiplikative Inverse modulo einer Zahl 6. Der kleine Fermat und der Satz von Euler-Fermat . . a) Der kleine Satz von Fermat . . . . . . . . . . . . b) Der Satz von Euler-Fermat . . . . . . . . . . . . 7. Berechnung großer Potenzen . . . . . . . . . . . . . a) Square-and-Multiply-Algorithmus . . . . . . . . aa) Allgemein . . . . . . . . . . . . . . . . . . . bb) Modulo-Rechnung . . . . . . . . . . . . . . b) Binäre Modulo-Exponentiation . . . . . . . . . . 8. Exklusives Oder bzw. XOR-Verknüpfung . . . . . . Zeichenkodierung . . . . . . . . . . . . . . . . . . . . .
25 . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . .
Stichwortregister . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537
Abkürzungsverzeichnis a. A. Abs. AES a. F. AG Anm. AP ARP ASCII Aufl. Bd. BeckOK BGBl. BGH BR bspw. BVerfG bzgl. bzw. CA ca. CR c’t DoS DRiZ Drucks. DuD EuGH f. FAQ ff. Fn. GA
andere Ansicht Absatz Advanced Encryption Standard alte Fassung Amtsgericht Anmerkung(en) Access Point Address Resolution Protocol American Standard Code for Information Interchange Auflage Band Beck’scher Online-Kommentar Bundesgesetzblatt Bundesgerichtshof Bundesrat beispielsweise Bundesverfassungsgericht bezüglich beziehungsweise Certification Authority circa Computer und Recht Magazin für Computertechnik Denial of Service Deutsche Richterzeitung Drucksache Datenschutz und Datensicherung Europäischer Gerichtshof folgende Frequently Asked Questions fortfolgende Fußnote Goltdammers Achiv für Strafrecht
Abkürzungsverzeichnis GG ggT h. L. h. M. Hrsg. Hs. HTTP HTTPs IEEE im Engl. insb. IP IV i. V. m. JA JR JurPC JuS JZ KK-StPO LAN Lfg. LG LT MAC MITM MMR MüKO NJW NJW-RR NStZ PDU PIN PKI PMK PSK Rd. RFC RSA Rspr. S.
Grundgesetz größter gemeinsamer Teiler herrschende Lehre herrschende Meinung Herausgeber Halbsatz Hypertext Transfer Protocol HTTP secure Institute of Electrical and Electronics Engineers im Englischen insbesondere Internet Protocol Initialisierungsvektor in Verbindung mit Juristische Arbeitsblätter Juristische Rundschau Internetzeitschrift für Rechtsinformatik und Informationsrecht Juristische Schulung Juristenzeitung Karlsruher Kommentar zur StPO Local Area Network Lieferung Landgericht Landtag Medium Access Control Man in the Middle Multimedia und Recht Münchener Kommentar Neue Juristische Wochenschrift Neue Juristische Wochenschrift – Rechtsprechungs-Report Neue Zeitschrift für Strafrecht Protocol Data Unit Personal Identification Number Public Key Infrastructure Pairwise Master Key Pre-Shared-Key Randnummer Request for Comments Rivest/Shamir/Adleman-Algorithmus Rechtsprechung Satz, Seite
27
28 SHA SK-StPO S/MIME sog. SOHO SSID SSL StPO StraFo StV TCP TKIP TKÜ TLS u. a. UDP URL usw. u. U. Var. vgl. vs. WEP Wistra WLAN WPA WPA2 WWW z.B. ZD
Abkürzungsverzeichnis Secure Hash Algorithm Systematischer Kommentar zur Strafprozessordnung Secure Multipurpose Internet Mail Extensions sogenannt Small Office Home Office Service Set Identifier Secure Sockets Layer Strafprozessordnung Strafverteidiger Forum Strafverteidiger Transmission Control Protocol Temporary Key Integrity Protocol Telekommunikationsüberwachung Transport Layer Security unter anderem User Datagram Protocol Uniform Ressource Locator und so weiter unter Umständen Variante vergleiche versus Wired Equivalent Privacy Zeitschrift für Wirtschafts- und Steuerstrafrecht Wireless Local Area Network Wi-Fi Protected Access Wi-Fi Protected Access 2 World Wide Web zum Beispiel Zeitschrift für Datenschutz
Erster Teil Einleitung und Grundlagen A. I.
Einleitung Einführung
Die moderne westliche Industriegesellschaft befindet sich schon seit geraumer Zeit im Wandel von einer „print-based industrial society“ zu einer „internetbased information society“.1 In jüngerer Zeit aber ist eine starke Zunahme der Geschwindigkeit der Veränderungen zu verzeichnen, Informationen und Wissen spielen eine immer zentralere Rolle. Dabei hat sich auch die Art und Weise, an Information und Wissen zu gelangen, in den letzten ca. 15 Jahren grundlegend geändert. Die Etablierung neuer Technologien erhöhte die Quantität und Qualität des Austausches und der Kommunikation enorm. Im Bereich der Kommunikationstechnologien ist eine Verschiebung von analoger zu Datenpaketbasierter Übertragung zu beobachten. Mit der immer weiteren Verbreitung des Internet-Netzwerks, seiner Durchdringung des Alltags und der dadurch nahezu allgegenwärtigen Zugriffsmöglichkeit geht auch die immer stärkere Nutzung digitaler Datenverbindungen als Mittel zur Individualkommunikation einher. EMail, Messenger, Voice over IP und Social Networks sind heute, verstärkt auch durch die Verbreitung von Smartphones und den Aufbau schneller Mobilfunknetze, als Kommunikationsmittel in einem Maße alltäglich geworden, wie dies vor einigen Jahren noch undenkbar war. Auch der nächste Trend, die Steuerung des Internet-Netzwerks über Sprache, zeichnet sich bereits deutlich ab.2 Eine der zentralen Aufgaben des Staates stellt die Gewährleistung der öffentlichen Sicherheit und Ordnung dar. Zur Wahrnehmung dieser Aufgabe wird er unter anderem strafverfolgend und gefahrenabwehrend tätig. Dazu muss und darf er unter bestimmten Voraussetzungen auch Kommunikationsinhalte überwachen. Der beschriebene technologische und auch gesellschaftliche Wandel hat nun 1 Susskind, Tomorrow’s Lawyers, S. 160. 2 Dazu näher z.B. http://www.spiegel.de/netzwelt/gadgets/sprachsteuerung-im-alltagohne-geht-es-nicht-mehr-kolumne-a-1187056.html (Stand: Dezember 2017).
30
A.
Einleitung
freilich Folgen für die Wahrnehmung dieser Aufgaben. Folgen, die sich teilweise, insbesondere aus Sicht der Strafverfolgungsbehörden, als Probleme darstellen. Erstens und am offensichtlichsten lässt sich die Überwachung Datenpaket-basierter digitaler Kommunikationstechnologie nicht mehr mit traditionellen Methoden bewerkstelligen. Es müssen grundsätzlich andere Technologien zum Einsatz kommen. Zweitens sind die Einwirkungsmöglichkeiten des Nutzers moderner Kommunikationsmittel ungleich höher als im Bereich der klassischen Technologien. Das führt unter anderem zum verstärkten Einsatz von Kryptographie. Es existieren bereits zahlreiche Programme und Standards, die Kommunikationsinhalte in den verschiedensten Bereichen verschlüsselt auf die Reise schicken. Die Programme werden immer ausgefeilter und benutzerfreundlicher, verbreiten sich daher auch bei einfachen Anwendern zunehmend oder finden Eingang in häufig genutzte Anwendungen. Aus Perspektive der Strafverfolgung verstärken sich mit dieser Entwicklung die Probleme. Überwachungsmaßnahmen verändern sich nicht nur, sondern werden auch schwieriger und vielschichtiger; die Eingriffe in die Grundrechte intensivieren sich potentiell. Durch die zusätzliche Komponente der Verschlüsselung gewinnt die Materie in technischer Hinsicht wesentlich an Komplexität. Drittens erschwert die Zunahme an Komplexität die rechtliche Bewertung des Sachverhaltes und damit bereits die Einschätzung, ob eine spezifische Maßnahme überhaupt zulässig ist. Es tritt ein Konflikt zwischen althergebrachten juristischen Problemlösungsansätzen und den aktuellen Gegebenheiten der fortschreitenden technologischen Entwicklungen offen zu Tage. Während insbesondere der Gesetzgeber weiterhin auf langsame (Gesetzgebungs-)Verfahren und traditionelle dogmatische Ansätze vertraut, verändern die privat-wirtschaftlich angetriebenen technologischen Neuerungen das reale Verhalten der Bürger wesentlich schneller. Die immer stärkere Divergenz, konkret im strafverfolgenden Bereich, von „alten“ Eingriffsbefugnissen und tatsächlichen Gegebenheiten erschwert zum einen das Vorgehen der Strafverfolgungsbehörden zusätzlich und birgt zum anderen für den Bürger die Gefahr der (unregulierten und auch unbemerkten)3 Verkürzung des grundrechtlichen Schutzes. Eigentlich dürfte es nicht nur primär, wie im gegenwärtigen Diskurs, darum gehen, ob die „alten“ Vorschriften mit den modernen Gegebenheiten in Einklang gebracht werden können, sondern es müsste nach grundsätzlich neuen dogmatischen Ansätzen gesucht werden. Viertens liegt eine weitere Besonderheit in der Infrastruktur und Funktionsweise des Internet-Netzwerks. Die Benutzung impliziert quasi zwangsweise die Überschreitung nationalstaatlicher Grenzen. Insbesondere da die Treiber der Entwicklung und damit auch meistgenutzten Internetdienstleistungsanbieter aus 3 Dazu sogleich näher in Abschnitt 1. auf der nächsten Seite.
II. Theorie und Realität der Überwachung moderner Kommunikation
31
dem anglo-amerikanischen Raum stammen, nehmen die Kommunikationsinhalte oft den Weg über IT-Infrastruktur, die sich außerhalb des Staatsgebietes der Bundesrepublik befindet. Das gilt natürlich auch bei Kommunikationsvorgängen zwischen zwei Parteien, die sich beide in Deutschland aufhalten. Angesichts der Schwierigkeit bei der Strafverfolgung grenzüberschreitender Sachverhalte und der Zusammenarbeit von Behörden verschiedener Nationalstaaten besteht ein inhärentes Interesse der (inländischen) Strafverfolgungsbehörden, etwaige Maßnahmen ohne Auslandsbezug gestalten zu können. All diese Folgen der technologischen Entwicklung haben dazu geführt, dass sich auf dem Gebiet der Telekommunikationsüberwachung von Seiten des Gesetzgebers über die strafverfolgende Praxis bis hin zur Rechtswissenschaft und auch in großen Teilen der Medien eine Art Konsens herausgebildet hat. Danach scheint der einzige technisch mögliche und praktisch handhabbare Ansatz für eine unter bestimmten Voraussetzungen legitime Überwachung moderner Kommunikationsmittel darin zu bestehen, Schadprogramme (sog. Staatstrojaner) auf den jeweiligen IT-Endgeräten des Betroffenen zu installieren und darüber die Überwachungsmaßnahme durchzuführen. Darin liegt insbesondere für (flüchtige) Telekommunikationsdaten ein fundamentaler Paradigmenwechsel zu der bisher üblichen Art der Telekommunikationsüberwachung, die ausschließlich auf den Datentransfer beschränkt war. Diesen Konsens stellt die vorliegende Arbeit ausdrücklich in Frage. Schließt man sich den hier getroffenen Schlussfolgerungen an, dürfte das insbesondere auch grundsätzliche Auswirkungen auf die Feststellung der Verhältnismäßigkeit von Grundrechtseingriffen ganz allgemein im Bereich der Online-Durchsuchung/Quellen-Telekommunikationsüberwachung haben. II.
Theorie und Realität der Überwachung moderner Kommunikationsformen 1.
Der „Staatstrojaner“
Im Jahr 2011 wurde der breiten Öffentlichkeit bekannt, dass staatliche Behörden mit Schadprogrammen (i.e. mit trojanischen Pferden) informationstechnische Systeme von Verdächtigen infiltrieren, um diese zu überwachen.4 Den entdeckten „Staatstrojaner“ hatte das Landeskriminalamt Bayern 2009 auf dem Rechner eines Mitarbeiters einer Psychopharmaka-vertreibenden Firma installiert. Er wurde des „banden -und gewerbsmäßigen Handels und Ausfuhr von Betäubungsmitteln“ verdächtigt.5 Dieser konkrete Staatstrojaner schnitt nicht nur Gespräche mit, die über VoIP-Software wie Skype geführt wurden, und überwachte das gesamte Surfverhalten, indem er bei Nutzung des Browsers Firefox alle 30 Sekunden ein 4 https://www.ccc.de/de/updates/2011/staatstrojaner (Stand: Dezember 2017). 5 http://www.spiegel.de/netzwelt/netzpolitik/ueberwachungssoftware-der-staatstrojan er-kommt-aus-bayern-a-790960.html (Stand: Dezember 2017).
32
A.
Einleitung
Screenshot schoss,6 sondern ermöglichte sogar das Nachladen beliebiger Funktionalitäten, wie etwa das Durchsuchen, Schreiben, Lesen oder Manipulieren von Daten auf dem Zielrechner.7 Bereits 2007 gab es Gerüchte über ein entsprechendes Vorgehen auf Bundesebene, als die Existenz eines Fragenkatalogs des Bundesministeriums der Justiz an das Bundesministerium des Innern8 bekannt wurde.9 Eigentlich sollte die vom Landeskriminalamt Bayern durchgeführte Maßnahme lediglich auf die digitale Kommunikation des Verdächtigen abzielen. So ordnete auch der entsprechende Beschluss des AG Landshut „die Überwachung und Aufzeichnung der [...] verschlüsselten Telekommunikation sowie die Vornahme der hierzu erforderlichen Maßnahmen im Rahmen einer Fernsteuerung“ an.10 Faktisch wäre der Trojaner allerdings zu viel mehr in der Lage gewesen, ohne dass eine richterliche Kontrolle der konkreten Verwendung möglich gewesen wäre. Zudem wurden die abgegriffenen Daten (darunter insgesamt 60.000 Screenshots) nur mangelhaft verschlüsselt über einen Server in den USA an das Landeskriminalamt übermittelt. Da überdies sowohl eine Kommando-Authentifizierung als auch eine Kommando-Verschlüsselung fehlte, hätte ein Dritter den Trojaner jederzeit übernehmen und steuern können.11 Vor allem die Art und Weise des Einsatzes der Screenshot-Funktion verstieß darüber hinaus ganz offensichtlich gegen das Urteil des BVerfG zur Unzulässigkeit der Onlinedurchsuchung.12 Auch erfolgte der Einsatz gerade nicht in einem Verfahren wegen des Verdachts von Terrorismus oder einer ähnlichen Form schwerster Kriminalität. Wie mit einem Brennglas zeigt der aufgerollte Sachverhalt die eingangs erwähnte Problematik beim Aufeinandertreffen von neuer, realer digitaler Welt und der darauf nur mangelhaft vorbereiteten rechtlichen Sphäre. Zudem veranschaulicht der entdeckte Trojaner mehr als deutlich, dass das generelle Gestatten der Infiltration von IT-Endgeräten mittels trojanischer Pferde große und zudem kaum 6 http://ijure.org/wp/wp-content/uploads/2011/01/LG_Landshut_4_Qs_346-101.pdf (Stand: Dezember 2017). 7 https://www.ccc.de/de/updates/2011/staatstrojaner (Stand: Dezember 2017). 8 https://netzpolitik.org/wp-upload/fragen-onlinedurchsuchung-BMJ.pdf (Stand: Dezember 2017). 9 Durch die schriftliche Anfrage der Abgeordneten Gisela Piltz in der Woche vom 24.09.2007, vgl. BT-Drucks. 16/6535, S. 8, abrufbar unter: http://dipbt.bundestag.de/ dip21/btd/16/065/1606535.pdf (Stand: Dezember 2017). Ein erster Einsatz erfolgte wohl durch den Zollfahndungsdienst im Jahr 2007, vgl. BT-Drucks. 16/6572 http: //dipbt.bundestag.de/dip21/btd/16/065/1606572.pdf (Stand: Dezember 2017). 10 Dieser Beschluss wurde später vom übergeordneten LG Landshut als rechtswidrig erachtet, vgl. http://ijure.org/wp/wp-content/uploads/2011/01/LG_Landshut_4_Qs_ 346-101.pdf (Stand: Dezember 2017). 11 CCC, Analyse einer Regierungs-Malware, S. 2, https://www.ccc.de/system/uploads/ 76/original/staatstrojaner-report23.pdf (Stand: Dezember 2017). 12 BVerfG NJW 2008, 822. Richter Ulf Buermeyer spricht in diesem Zusammenhang gar von einer „Selbstermächtigung der Justiz“, vgl. http://ijure.org/wp/archives/756 (Stand: Dezember 2017).
II. Theorie und Realität der Überwachung moderner Kommunikation
33
kontrollierbare Gefahren für den Grundrechtsschutz vieler Betroffener durch die unerlaubte Erhebung zusätzlicher Informationen birgt. 2. Die Alternativlosigkeit des „Staatstrojaners“ Trotz dieser Gefahren wird die Infiltration von Computern, Laptops oder Smartphones durch den Einsatz derartiger staatlicher Malware ausführlich diskutiert und in weiten Teilen der staatlichen Sphäre auch befürwortet. Der Grund liegt unter anderem auch darin, dass ein solcher Einsatz als alternativlos betrachtet wird. Aussagen wie etwa folgende in dem Vorschlag zur Beschlussfassung der Frühjahrskonferenz der Justizminister 2016 prägen das Bild: „[D]ie Quellen-TKÜ [stellt] auf Grund der ständigen Zunahme der Verbreitung kryptierender Applikationen (Skype, WhatsApp‚ Viber etc.) ein unverzichtbares Instrument zur effektiven Verfolgung insbesondere schwerer und schwerster Kriminalität [dar]“.13 Ganz ähnlich formuliert die Innenministerkonferenz der SPD-geführten Ressorts Ende 2016: „Ebenso wollen wir das Abgreifen von Kommunikation vor deren Verschlüsselung zur Strafverfolgung und Gefahrenabwehr ermöglichen („Quellen-TKÜ“). Für die „Online-Welt“ dürfen keine anderen Gesetze gelten als in der „Offline-Welt“; hier gilt es die Hausaufgaben des Gesetzgebers sorgfältig zu erledigen, um mit den technischen Anwendungen Schritt zu halten.“14 Das Bundeskriminalamt warnte auf seiner Herbsttagung 2014 gar vor der Gefahr des „going dark“.15 Es scheint damit sowohl in der politischen und medialen als auch in der rechtswissenschaftlichen Diskussion nur zwei Alternativen zu geben. Entweder man beschränkt sich auf die Überwachung klassischer Telekommunikationsmittel wie Telefonie und SMS und lässt die gesamte über das Internet-Netzwerk geführte Kommunikation außen vor oder man befürwortet, möchte man auch diesen Bereich erfassen, die Infiltration des betreffenden informationstechnischen Endgerätes durch einen Trojaner. Der gesamte Diskurs wird entlang dieser extremen Positionen geführt. 13 Beschlussvorschlag von Thomas Heilmann, damals Berliner Senator für Justiz und Verbraucherschutz, für die Frühjahrskonferenz der Justizminister 2016, vgl. https://netzpolitik.org/2016/fruehjahrskonferenz-justizministerfordern-ausweitungvon-staatstrojanern-auf-mehr-behoerden-und-mehr-straftaten/ (Stand: Dezember 2017). Für den Beschluss mit gleichlautender Wortwahl siehe https://mdjev.brandenburg.de/media_fast/bb1.a.3663.de/top_ii.21__schaffung_einer_rechtlichen_grundlagen_fuer_quellen-telekommunikation.pdf (Dezember 2017). 14 https://www.schleswig-holstein.de/DE/Landesregierung/IV/_startseite/Artikel/161107 _a_laender_innenministerkonferenz_Material/norderstedter_erklaerung.pdf?__blob=p ublicationFile&v=1 (Dezember 2017). 15 http://www.sueddeutsche.de/digital/cyberkriminalitaet-die-lampe-wird-schwaecher1.2230165 (Stand: Dezember 2017).
34
A.
3. a)
Einleitung
Eine Alternativmöglichkeit
Die Alternativmöglichkeit aus technologischer Sicht
Ein erstes Anliegen dieses Dissertationsprojektes war es, genau diese Grundannahme zu überprüfen und zu untersuchen, ob es nicht eine technologische Möglichkeit geben könnte, die es ermöglicht, auch moderne Kommunikationsformen zu überwachen, die aber von der Art und Weise eher wie die klassische Telekommunikationsüberwachung funktioniert. Dies jedoch ohne dass direkt eine neue Technologie, wie so häufig, zum Anlass genommen wird, die Überwachungsmöglichkeiten auszuweiten und tiefgreifendere Grundrechtseingriffe durchzusetzen.16 Dazu müsste sie am Übertragungsweg („an der Leitung“) ansetzen und ohne die Infiltration eines IT-Endgerätes mittels staatlicher Malware auskommen. Das hätte den entscheidenden Vorteil, dass die Gefahr, den ganzen Inhalt des Computers, Laptops oder Smartphones auszuspähen, gar nicht erst entstünde, sondern vielmehr von vornherein nur die Daten betroffen wären, die das betreffende Gerät sendet oder empfängt – es also bereits zu einem willentlichen Sichöffnen nach außen gekommen ist. Als Möglichkeit wurde die Überwachung lokaler Funknetzwerke eruiert.17 Diese Maßnahme hätte im Gegensatz zum Ausleiten des (Roh-)Datenstroms beim Provider den Vorteil, unter bestimmten Umständen, genau wie ein Trojaner auch, den Schutz durch gängige Verschlüsselung umgehen zu können.18 Ein weiterer Vorteil dieser Herangehensweise läge darin, dass sie eigenständig, ohne die Notwendigkeit des Mitwirkens fremder Dienstanbieter, und im eigenen staatlichen Hoheitsbereich ohne exterritorialen Bezug durchgeführt werden kann.19 Nachteilig dürfte aus Sicht der Strafverfolgungsbehörden sein, dass sie mit einem höheren Aufwand und der Nähe zum Bezugsobjekt verbunden ist. Dem ersten Anliegen widmet sich detailliert die informationstechnologische Analyse. Die Durchführbarkeit der Methode wird darin bestätigt. Ferner wird sie im Hinblick auf ihre Erfolgsaussichten bewertet sowie eine Klassifizierung der technologischen Rahmenbedingungen vorgenommen, auf der im Folgenden aufgebaut werden kann.20 16 Ebenso Kühne in: Roggan, Online-Durchsuchungen: Rechtliche und tatsächliche Konsequenzen des BVerfG-Urteils vom 27. Februar 2008, S. 89. 17 Rein kabelbasierte lokale Netzwerke sind heute eine absolute Randerscheinung. Für das Jahr 2017 etwa übersteigt den Angaben von Statista zufolge sogar die Anzahl der WLAN-Nutzungen nach Haushalten (45,98 Millionen) die Anzahl der DSL/VDSLAnschlüsse (42,2 Millionen). 2013 betrug das Verhältnis noch 27,64 Millionen (WLAN) zu 38,4 Millionen (DSL/VDSL), vgl. https://de.statista.com/statistik/daten/ studie/171510/umfrage/im-haushalt-genutzte-internetzugangsarten/ (Stand: Dezember 2017). Rein kabelbasierte lokale Netzwerke sind deshalb auch nicht Untersuchungsgegenstand dieses Dissertationsprojektes. 18 Dazu ausführlich im technologischen Teil in Abschnitt IV. auf Seite 118. 19 Siehe dazu bereits Abschnitt I. auf Seite 69. 20 Siehe Zweiter Teil: Informationstechnologische Analyse ab Seite 69 ff. Die Methode kann, ebensowenig wie ein Trojaner im Übrigen, einen hundertprozentigen Erfolg
II. Theorie und Realität der Überwachung moderner Kommunikation
35
b) Die Alternativmöglichkeit in der Praxis Wie so oft wurde auch hier die Annahme von der Wirklichkeit überholt. Parallel zu der Aufnahme des Dissertationsprojekts ist 2012 durch eine kleine Anfrage von Abgeordneten des Bundestages an die Bundesregierung offen gelegt worden, dass auch die Behörden dieser Methode bereits gewahr wurden und sie zumindest seit 2007 sogar schon nutzen, wenn auch in eher geringem Umfang. Im behördlichen Jargon wird diese Überwachungsmaßnahme wohl als „WLAN-Catching“ bezeichnet.21 Für die Bundesbehörden liegen nachfolgende Zahlen vor (aber auch die Landesbehörden scheinen diese Methode einzusetzen22). Beachtenswerterweise ist jedoch nicht dokumentiert, ob es sich jeweils um ein repressives oder polizeilichpräventives Vorgehen der Sicherheitsbehörden handelt. Im Zeitraum von 2007 bis 2011 sind sechzehn Einsätze durch das Bundeskriminalamt dokumentiert.23 Im Jahr 2012 sind zwei Einsätze (BKA und Zollfahndungsdienst) und im Jahr 2013 kein Einsatz (zumindest bis September 2013) verzeichnet.24 Für 2014 liegen keine Angaben vor, da die Antworten auf die entsprechende Anfrage als „VS – nicht garantieren. Von der Hoffnung auf einfache Lösungen im IT-Bereich muss man sich ohnehin verabschieden, vielmehr handelt es sich um ein immerwährendes „Katz-und-Maus-Spiel“, vgl. Abschnitt ff) auf Seite 134. Für einen Überblick über die Ergebnisse der Untersuchung und die jeweiligen Erfolgsaussichten siehe § L auf Seite 341 ff. 21 BT-Drucks. 17/8544 führt folgende Definition an: „Ein WLAN-Catcher erfasst die über ein WLAN geführte Kommunikation einschließlich der anfallenden verbindungsbegleitenden Daten.“, vgl. BT-Drucks. 17/8544, S. 16, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/17/085/1708544.pdf (Stand: Dezember 2017) Das deckt sich mit dem hier vertretenen Verständnis der Überwachung lokaler Funknetzwerke. Auch wenn es sich um einen klassischen Scheinanglizismus handelt, da der Ausdruck im Englischen nicht gebräuchlich ist (ebensowenig wie Wi-Fi-Catching notabene), soll der Begriff auch in dieser Arbeit Verwendung finden. Von der Nutzung des ganz vereinzelt gebrauchten Terms „WLAN-Scannen“ wird abgesehen, da dieser Term irreführend und im Englischen gemeinhin das bloße Zusammentragen von Informationen über das Netzwerk, wie z.B. das Ermitteln des Access Points (der SSID), meint. 22 Vgl. etwa für Nordrhein-Westfalen, LT-Drucks. 16/6051, S. 20, https://www.land tag.nrw.de/portal/WWW/dokumentenarchiv/Dokument?Id=MMD16/6051|1|0 (Dezember 2017). 23 BT-Drucks. 17/8544, S. 16, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/17/ 085/1708544.pdf (Stand: Dezember 2017) Zum Vergleich: Für den gleichen Zeitraum wurden 775 andere TKÜ-Maßnamen durch das Bundeskriminalamt angegeben, vgl. BT-Drucks. 17/14714, S. 6, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/17/ 147/1714714.pdf (Stand: Dezember 2017). 24 BT-Drucks. 17/14714, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/17/147/ 1714714.pdf (Stand: Dezember 2017).
36
A.
Einleitung
Nur für den Dienstgebrauch“ eingestuft wurden.25 2015 scheint es erneut keinen (dokumentierten) Einsatz gegeben zu haben,26 wohingegen für das erste Halbjahr 2016 zwei Einsätze (ein Verfahren des Generalbundesanwalts, eines einer Landesstaatsanwaltschaft) festgehalten sind.27 Gleiches gilt für das zweite Halbjahr 2016.28 Im ersten Halbjahr 2017 verzeichnet die Bundesregierung keinen Einsatz, gleichzeitig gibt sie die Antwort aber als unvollständig zu erkennen, indem sie Antwortteile erneut als „VS – Nur für den Dienstgebrauch“ einstuft.29 c)
Die Alternativmöglichkeit aus rechtlicher Sicht
Die Behörden stützen ihr Vorgehen im Bereich der Strafverfolgung ohne weitere Begründung wohl auf § 100a I S. 1 StPO.30 Eine sorgfältige Untersuchung der Rechtmäßigkeit dieses Vorgehens ist in der rechtswissenschaftlichen Literatur nur in Ansätzen erkennbar, ebenso fehlt es, soweit ersichtlich, an einer gerichtlichen Auseinandersetzung mit dieser Problematik.31 Somit ist ein zweites, zentrales Anliegen dieses Dissertationsprojekts (im Anschluss an den informationstechnologischen Teil in § J auf Seite 186 ff.) zu prüfen, ob das Überwachen lokaler Funknetzwerke („WLAN-Catching“) zum Zwecke der Strafverfolgung in der Bundesrepublik Deutschland überhaupt rechtlich zulässig ist und, wenn ja, auf welche Ermächtigungsgrundlage(n) die (Teil-)Maßnahmen gestützt werden könnten. III.
Methodik
Ziel dieser Arbeit ist auch ein fundierter Know-How-Transfer aus der informationstechnologischen in die rechtswissenschaftliche Sphäre. Gerade in diesem 25 BT-Drucks. 18/4130, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/18/041/ 1804130.pdf (Stand: Dezember 2017) und BT-Drucks. 18/2257, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/18/022/1802257.pdf (Stand: Dezember 2017). 26 BT-Drucks. 18/5645, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/18/056/ 1805645.pdf (Stand: Dezember 2017) und BT-Drucks. 18/7285, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/18/072/1807285.pdf (Stand: Dezember 2017). 27 BT-Drucks. 18/9366, S. 2, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/18/ 093/1809366.pdf (Stand: Dezember 2017). 28 BT-Drucks. 18/11041, S. 3, http://dipbt.bundestag.de/dip21/btd/18/110/1811041.pdf (Stand: Dezember 2017). Es wird aus der Antwort nicht ersichtlich, ob es sich bei den beiden Einsätzen jeweils in den beiden Halbjahren 2016 um dasselbe Verfahren handelt. 29 Vgl. BT-Drucks. 18/13205, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/18/ 132/1813205.pdf (Stand: Dezember 2017). 30 So die entsprechende Antwort der Bundesregierung auf eine Kleine Anfrage von Parlamentsabgeordneten, vgl. BT-Drucks. 17/8544, S. 16 iVm S. 5, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/17/085/1708544.pdf (Stand: Dezember 2017). 31 Dazu sogleich ausführlich in Abschnitt III. auf Seite 175 ff.
III. Methodik
37
Bereich fehlt es Juristen vielfach an dem notwendigen technologischen Grundlagenwissen. Daher wählt diese Arbeit auch einen etwas anderen Ansatz, als die meisten rechtswissenschaftlichen Werke. Die nachfolgende rechtliche Untersuchung sollte nicht (allein) auf theoretischem Wissen basieren. Vielmehr wird zunächst eine informationstechnologische Analyse durchgeführt, welche die vorab beschriebene Überwachungsmethoden in weiten Teilen auch tatsächlich unter Realbedingungen untersucht und testet. Es werden dafür Kommunikationsvorgänge in Versuchsanordnungen (auch verschlüsselt) gestartet und dabei verschiedenste Überwachungsmaßnahmen durchgeführt, um so Reichweite, Komplexität, Praktikabilität und Erfolgsaussichten der diversen Methoden beurteilen zu können. Es wird etwa konkret untersucht, wie existierende Lücken in der WLAN-Verschlüsselung ausgenutzt werden können, um sich Zugang zu fremden Netzwerken zu verschaffen und den Datenverkehr dort mit Hilfe von Programmen und Tools zu analysieren. Nur auf diese Weise lässt sich die (tatsächliche) Komplexität erfassen, mit der die Strafverfolgungsbehörden in der Praxis konfrontiert sind. Und nur auf diese Weise lässt sich das tatsächliche Vorgehen vernünftig kategorisieren und für eine rechtliche Bewertung zugänglich machen. 1.
Informationstechnologische Analyse
Weil lokale Funknetzwerke fast immer, ebenso wie Kommunikationsanwendungen, mit Hilfe von Verschlüsselung gegen den Zugriff von Unbefugten gesichert sind, bedeutet die (erfolgreiche) Durchführung einer Überwachungsmaßnahme schwerpunktmäßig die Ausnutzung von Sicherheitslücken und Schwachstellen, also das „Brechen“ der Verschlüsselung in den jeweiligen zur Anwendung kommenden Protokollen und Softwareanwendungen. Sicherheitslücken sind genau genommen nicht vorgesehene Fehler im Quellcode der Protokolle und Anwendungen, die sich ausnutzen lassen, um die aufgestellten Sicherheitshürden zu umgehen. Sie werden von privaten IT-Sicherheitsforschern, Hackern, aber auch staatlichen Stellen gezielt gesucht und in schneller Abfolge entdeckt. Werden sie publik, entwickeln in der Regel die Verantwortlichen, meist ein Hersteller, mehr oder weniger schnell Updates für die betroffenen Anwendungen oder auch Protokolle, die von den Nutzern mehr oder weniger schnell und mehr oder weniger konsequent eingespielt werden. Die Updates verhindern das Ausnutzen der konkreten Sicherheitslücke. Bald darauf werden jedoch neue Sicherheitslücken entdeckt, die den Kreislauf erneut in Gang setzen. Ein permanentes Katz-und-Maus-Spiel ist im Gange. Der daraus resultierende Umfang sowie die Schnelllebigkeit und Fluidität des Themengebietes stellen, vor allem im Rahmen einer fundierten wissenschaftlichen Auseinandersetzung, eine grundsätzliche Schwierigkeit dar. So werden etwa einige der hier beschriebenen Einfallstore bei Erscheinen dieser Arbeit bereits wieder geschlossen sein. Dieser Beitrag hat aber auch weder den Anspruch, eine vollständige Liste, noch eine aktuelle Liste aller möglichen Einfallstore aufzustellen.
38
A.
Einleitung
Das ist auch gar nicht notwendig, da das Prinzip des Vorgehens ab einem gewissen Punkt immer gleich bleibt. Vielmehr soll die informationstechnologische Analyse als (auch für die Zukunft gültige) exemplarische Darstellung verstanden werden, die lediglich das Ableiten abstrahierter rechtlicher Handlungskategorien ermöglicht. Diese abgeleiteten Handlungskategorien sind entsprechend allgemein gehalten und unabhängig von dem jeweils aktuellen informationstechnologischen Stand der Dinge. Des Weiteren wurden, ebenfalls exemplarisch, vor allem solche Methoden untersucht, bei denen das Exploitieren der Sicherheitslücken als Teil der Analyse vom Autor aktiv nachvollzogen und daher auch nachgewiesen werden konnte. Im Fokus dieser Analyse stehen also solche Schwachstellen, für die bereits Tools oder Exploits frei in Umlauf sind und die Ergebnisse deshalb verlässlich verifiziert werden können. Gezeigt wird daher nur die „Spitze des Eisbergs“ des Möglichen. Mit eigenständig programmierten und maßgeschneiderten Tools ließen sich noch viel weitergehende Szenarien realisieren. Der Nachweis erfolgt in weiten Teilen, insbesondere wenn nicht auf sichere Quellen verwiesen werden konnte, durch Dokumentation in Form von Screenshots bei der Durchführung. 2.
Rechtliche Analyse
Die derart gewonnenen Kenntnisse müssen anschließend ausgewertet und rechtlich eingeordnet werden. Dabei wird auf herkömmliche Art und Weise untersucht, inwiefern die herausdestillierten Handlungskategorien mit den bestehenden Rechtsnormen in Einklang gebracht werden können, nachdem diese systematisch und begrifflich durchdrungen worden sind. Auch ein exegetisches Arbeiten am Gesetzestext ist dabei geboten. IV.
Gang der Darstellung
An diese Einleitung schließt sich eine Darstellung der Begrifflichkeiten und Grundlagen der Kommunikation über das Internet-Netzwerk an (§ B auf Seite 40 ff.), gefolgt von den kryptologischen Grundlagen (§ C auf Seite 55 ff.). Diese einführenden Darstellungen sollen es ermöglichen, auch ohne entsprechendes Vorwissen die Ausführungen in der nachfolgenden informationstechnologischen Analyse im Zweiten Teil ab Seite 69 ff. nachvollziehen zu können. Die informationstechnologische Analyse ist entsprechend dem tatsächlichen Vorgehen in zwei zentrale Abschnitte aufgeteilt. Nach einer Einleitung (§ D auf Seite 69 ff.) wird zunächst untersucht, wie sich der aus informationstechnologischer Sicht für die Überwachung lokaler Funknetzwerke (in den meisten Anwendungsfällen) zunächst notwendige Zugriff auf das betreffende lokale Netzwerk verschaffen lässt (§ E auf Seite 72 ff.). Anschließend wird die Auswertung des Netzwerkverkehrs in Hinblick auf inhaltliche Daten betrachtet (§ F auf Seite 113 ff.). Abschließend
IV. Gang der Darstellung
39
werden die Ergebnisse der Analyse abstrahiert und Folgerungen für die nachfolgende rechtliche Analyse gezogen, um den Untersuchungsgegenstand für ebendiese rechtliche Analyse festzulegen (§ G auf Seite 142 ff.). Die eigentliche rechtliche Analyse folgt sodann im Dritten Teil ab Seite 149 ff. An einführende Erläuterungen (§ H auf Seite 149 ff.) schließen sich grundlegende Ausführungen zur Betrachtung der Überwachung lokaler Funknetzwerke aus rechtlicher Perspektive, eine (erste) rechtliche Einordnung sowie, soweit überhaupt vorhanden, ein Überblick über die bisherigen Einschätzungen von Literatur und Rechtsprechung (§ I auf Seite 152 ff.) an. Das Zentrum der rechtlichen Analyse bildet die Untersuchung der im informationstechnologischen Teil gebildeten einzelnen Kategorien von Ermittlungsmaßnahmen aus verfassungsrechtlicher und strafprozessualer Perspektive (§ J auf Seite 186 ff.). Den Abschluss bildet der Vierte Teil mit den Ergebnissen und einer thesenartigen Zusammenfassung der Befunde auf Seite 339 ff. Da sich diese Arbeit an eine (vornehmlich) juristisch geschulte Leserschaft richtet, wurde viel Wert darauf gelegt, die technologischen Ausführungen möglichst einfach und verständlich zu halten. Zudem beschränkt sich die Untersuchung größtenteils auf eine deskriptive Darstellung. Die Ergebnisse der tatsächlichen Tests und Durchführungen der Maßnahmen finden sich weit überwiegend im Anhang A auf Seite 355 ff. Um die dortigen, tiefergehenden technischen Ausführungen auch als Laie nachvollziehen zu können, finden sich Detailinformationen zur Arbeitsweise des Internet-Netzwerks in Anhang B (auf Seite 378 ff.), sowie weiterführende Informationen zum kryptologischen Hintergrund in Anhang C (auf Seite 400 ff.) und zu den mathematischen Grundlagen in Anhang D (auf Seite 491 ff.).
B.
Begrifflichkeiten und Grundlagen der Kommunikation über das Internet-Netzwerk
Das Internet-Netzwerk dient moderner Kommunikation als Übertragungsmedium und Transportweg. Lokale Funknetzwerke agieren dabei je nach Betrachtungsweise als Zugang zum (weiteren) Internet-Netzwerk oder sind Bestandteil desselben. Im Vergleich zum leitungsgebundenen öffentlichen Telefonnetz ist das Internet-Netzwerk ein komplexes Gebilde. Vorab soll elementares Verständnis der informationstechnischen Grundlagen und Abläufe vermittelt werden, um allgemein die Bedingungen der „Überwachung des Internets“ zu verstehen und die damit einhergehenden Probleme in der nachfolgenden informationstechnologischen Analyse nachvollziehen zu können. Gleichzeitig soll der Leser mit den wichtigsten Begrifflichkeiten vertraut gemacht werden. I.
Das Internet-Netzwerk
Gewöhnlich wird das „Internet“ als die Gesamtheit aller miteinander (physikalisch) verbundenen öffentlichen Netzwerke definiert, die ihre Datenübertragung über bestimmte Netzwerkprotokolle, nämlich das Internet Protocol (IP) und das Transmission Control Protocol (TCP) bzw. User Datagram Protocol (UDP), organisieren.32 Konkret bedeutet das: Wollen zwei Parteien mit Hilfe moderner Informationstechnologie miteinander kommunizieren,33 muss zunächst eine physikalische Verbindung (Funk, Satellitenverbindung, Kupferkabel, Transatlantikkabel etc.) zwischen ihnen bestehen. Diese reicht etwa vom eigenen Endgerät über das lokale Netzwerk34 über viele Zwischenstationen (wie Router, Switches) im Bedarfsfall über die ganze Welt bis zur Zielpartei. Diese physikalische Verbindung kann durch Verbindung verschiedener (Computer-)Netzwerke realisiert werden. Im Gegensatz zum Telefonsystem und seinen exklusiven Eins-zu-Eins-Verbindungen arbeiten moderne Netzwerke paketorientiert. Die Informationen werden für 32 Alexander, Netzwerke und Netzwerksicherheit, S. 1; Schwenk, Sicherheit und Kryptographie im Internet, S. 1. 33 Dazu gehört z.B. auch das bloße Aufrufen von Internetseiten. 34 Local Area Network (LAN)/Wireless Local Area Network (WLAN).
I. Das Internet-Netzwerk
41
die Strecke von Endgerät (Host)35 zu Endgerät (Host) gestückelt und über einen variablen, wechselnden Weg ausgetauscht (Wegunabhängigkeit). Die Datenpakete finden ihren Weg durch die vorhandene Infrastruktur (Modems, Leitungen, Router, Switches) selbständig. Die Netzwerkprotokolle beschreiben die Regeln, nach denen dabei vorgegangen wird.36 Die Gründe für die Paketorientierung liegen im Ursprung des Internets. Das ARPANet37 als Vorläufer des Internets wurde ursprünglich auch vom US-amerikanischen Militär gefördert. Es sollte dabei wohl auch das Ziel verfolgt werden, die für die Kommunikation notwendige Infrastruktur im Falle eines Krieges weniger verwundbar zu machen. Das Telefonsystem ist aufgrund seiner Architektur von hierarchisch aufgebauten Vermittlungsstellen abhängig. Fallen diese aus, ist das gesamte System unbrauchbar. Im ARPANet hingegen existierten unzählige gleichberechtigte, dezentrale Vermittlungsstellen. Fällt eine aus, sucht sich das Datenpaket einen alternativen Weg zum Ziel (vgl. Abbildung B.1).38
Abbildung B.1: Die unterschiedliche Architektur der Netzwerke
Verwirklicht wurde das ARPANet dann eingangs zwischen den drei Universitäten University of California/Los Angeles, UC Santa Barbara und der University of Utah sowie dem Stanford Research Institute. Einige Zeit später wurde mit dem NSFNet durch die National Science Foundation ein weiteres großes Netzwerk entwickelt. Nachdem am 01.01.1983 die Kombination aus Transmission Control Protocol/User 35 Im Folgenden werden die Begriffe Endgerät oder Endsystem (teilweise auch nur ihrer Funktion entsprechend als Sender/Empfänger bezeichnet) und Host (engl. Gastgeber) synonym verwendet, zu dieser Praxis: Kurose/Ross, Computernetzwerke, S. 23. 36 Dazu: Zisler, Computer-Netzwerke: Grundlagen, Funktionsweise, Anwendung, S. 18. 37 Advanced Research Projects Agency Network. 38 Zum Ganzen (inkl. Abbildung) siehe: Tanenbaum/Wetherall, Computernetzwerke, S. 80 ff.
42
B.
Begrifflichkeiten und Grundlagen der Kommunikation
Datagram Protocol sowie Internet Protocol das offizielle Protokollfundament wurde und ARPANet und NSFNet miteinander verbunden waren, schlossen sich viele weitere Netzwerke an. Das Internet-Netzwerk entstand.39 II.
Die Netzwerkprotokolle des Internet-Netzwerkes
Die Organisation der komplexen Übertragung der riesigen Datenmengen über die vielen Netzwerke des Internets wird mit der Hilfe von Netzwerkprotokollen realisiert. Sie lassen sich am einfachsten als einheitlich festgelegte Regelsammlungen für den Ablauf der vielen Übertragungsvorgänge begreifen.40 Die verschiedenen Protokolle sehen etwa Regeln für die Kommunikation der Anwendungsprogramme, für die Kommunikation der Endgeräte, für die Weiterleitung über Zwischenstationen, für das Senden und Empfangen elektrischer Signale und vieles mehr vor. Sie bestimmen, wann, wie und wo welche Daten übertragen werden, und stecken damit den Rahmen eines potentiellen Überwachungsvorgangs ab. Schwachstellen in den Protokollen bzw. die Art und Weise der Umsetzung der Protokolle (Implementierung) in die programmiertechnische Praxis bilden die Einfallstore, die unter Umständen ein Abhören überhaupt erst ermöglichen. Zugleich prägen und verändern die eingesetzten Protokolle dabei die Struktur der versendeten Dateneinheiten. Die Dateneinheiten wiederum bilden als Transportmittel der eigentlichen Inhalte das Untersuchungsobjekt der Überwachung/Analyse des (lokalen) Netzwerkverkehrs. Ein kurzer einführender Überblick über die Arbeitsweise der Protokolle und darauf aufbauend über die Struktur der einzelnen Dateneinheiten41 soll die Grundlage für die anschließende informationstechnologische Analyse bilden. 1.
Referenzmodelle
Um die für diese Untersuchung wichtigen Protokolle einzuführen, das Zusammenspiel der verschiedenen Netzwerkprotokolle zu beschreiben und die Struktur sowie die Funktionen der diversen Protokolle zu veranschaulichen, ist ein Referenzmodell geeignet. Von Relevanz sind zwei Modelle42, das ISO/OSI-Referenzmodell und das TCP/IP-Referenzmodell. Ersteres hat vor allem theoretische Bedeutung und wurde allgemein für die verschiedensten Netzwerke entwickelt.43 Zweiteres liegt speziell dem Internet-Netzwerk zu Grunde.44 Deswegen soll hier nur auf das TCP/IP-Modell näher eingegangen werden, auch wenn dafür keine offizielle Definition existiert.45 Die Referenzmodelle sind schichtenweise aufgebaut. Jede 39 40 41 42 43 44 45
Dazu: Tanenbaum/Wetherall, Computernetzwerke, S. 85 ff. Janowicz, Sicherheit im Internet, S. 19. Abschnitt III. auf Seite 52. Tanenbaum/Wetherall, Computernetzwerke, S. 66. Ebd. Vgl. Fußnote 42. Ciccarelli et al., Networking Basics, S. 55. Hunt, TCP/IP - Netzwerk-Administration, S. 10.
II. Die Netzwerkprotokolle des Internet-Netzwerkes
43
der Schichten definiert einzelne für die Datenübertragung relevante Aufgaben und die dazugehörigen Protokolle.46 Innerhalb dieser Schicht können unterschiedliche Protokolle die einzelnen Aufgaben erfüllen.47 Graphisch im Modell dargestellt werden die verschiedenen Schichten aufeinander gesetzt. Man spricht daher von einem Protokollstapel.48 Die Referenzmodelle selbst definieren also keine Protokolle, sondern nur den übergeordneten Aufbau. 2. a)
TCP/IP-Referenzmodell
Aufbau des TCP/IP-Referenzmodells
Das TCP/IP-Referenzmodell wird in der Regel als aus vier Schichten, teilweise auch als aus fünf Schichten bestehend beschrieben (siehe Tabelle B.1). An die Anwendungsschicht reiht sich die Transportschicht, gefolgt von der Internetschicht und abschließend die Verbindungs- bzw. Netzzugangsschicht.49 In den Darstellungen mit fünf Schichten wird die letzte Schicht zusätzlich in Sicherungs- und Bitübertragungsschicht ausdifferenziert.50 Tabelle B.1 Das TCP/IP-Referenzmodell Schichten
Zugehörige Protkokolle (u.a.)
Anwendungsschicht
4
HTTP, SMTP, POP3, IMAP, RTP
Transportschicht
3
TCP, UDP, SSL/TLS
Internetschicht
2
IP, ICMP
Netzzugangsschicht
1
Ethernet, 802.11, ARP, PPP
Alle Schichten sind an der Übertragung beteiligt und die Protokolle der jeweiligen Schichten voneinander abhängig. Die Roh- oder Ausgangsdaten müssen alle 46 Sehr anschaulich als Analogie zum Luftverkehrssystem beschrieben in Kurose/Ross, Computernetzwerke, S. 70 ff. 47 Hunt, TCP/IP - Netzwerk-Administration, S. 8. 48 Hunt, TCP/IP - Netzwerk-Administration, S. 7. 49 Zisler, Computer-Netzwerke: Grundlagen, Funktionsweise, Anwendung, S.23 f.; Hunt, TCP/IP - Netzwerk-Administration, S.10 f.; Alexander, Netzwerke und Netzwerksicherheit, S. 10 f. 50 Zum Beispiel bei: Kurose/Ross, Computernetzwerke, S. 73; Tanenbaum/Wetherall, Computernetzwerke, S. 74.
44
B.
Begrifflichkeiten und Grundlagen der Kommunikation
Schichten von oben nach unten am Quellort und umgekehrt von unten nach oben am Zielort durchlaufen, um von der Ausgangs-Anwendung zur Anwendung der Gegenseite zu gelangen (vgl. Tabelle B.2).51 Dabei werden die Rohdaten, wenn sie weitergereicht werden, in jeder Schicht mit neuen zusätzlichen Informationen ausgestattet, sie werden “verkapselt“.52 Tabelle B.2 Weg der Daten durch den Protokollstapel Sender-Anwendung
Empfänger-Anwendung
Anwendungsschicht ⇓
4
⇑
Anwendungsschicht
Transportschicht
⇓
3
⇑
Transportschicht
Internetschicht
⇓
2
⇑
Internetschicht
Netzzugangsschicht ⇓ V
b)
1 ⇑ physik. Medium V
Netzzugangsschicht
Die einzelnen Schichten des TCP/IP-Referenzmodells
Im Folgenden werden die Funktionen der Schichten knapp erläutert und die maßgeblichen Protokolle vorgestellt. Die Ausführungen werden nur dann vertieft, wenn sie für die nachfolgende informationstechnologische Analyse von besonderer Relevanz sind. aa)
Anwendungsschicht
Diejenigen Protokolle, die von den Anwendungen mit Netzwerkfunktion (wie Browser oder E-Mail-Programm)53 genutzt werden, um miteinander zu kommunizieren, werden in der Anwendungsschicht zusammengefasst.54 Sie verbinden die Anwendungsprogramme selbst miteinander und stellen die an und für sich vom Benutzer gewünschten Funktionen bereit, ohne sich um den eigentlichen Transport der Daten zu kümmern.55 Das wohl bekannteste Protokoll dieser Schicht 51 Abbildung nach Rech, Wireless LANs, S. 37. 52 Alexander, Netzwerke und Netzwerksicherheit, S. 11. Dazu ausführlich in Abschnitt III. auf Seite 52. 53 Im Kontext dieser Arbeit die eigentlichen internet-basierenden Kommunikationsprogramme. 54 Kurose/Ross, Computernetzwerke, S. 73. 55 Tanenbaum/Wetherall, Computernetzwerke, S. 694.
II. Die Netzwerkprotokolle des Internet-Netzwerkes
45
ist das Hypertext Transfer Protocol (HTTP). Es wird von Web-Browsern (z.B. Mozilla Firefox oder Windows Internet Explorer) auf dem Client und WebserverProgrammen auf einem Server zur Übertragung von Web-Seiten aus dem World Wide Web verwendet.56 Weitere bekannte Beispiele sind das Simple Mail Transfer Protocol (SMTP), das Post Office Protocol (POP3) und das Internet Message Access Protocol (IMAP), die alle der Übertragung von E-Mails dienen.57 bb)
Transportschicht
Die Transportprotokolle des Internet-Netzwerkes, das Transmission Control Protocol58 oder das User Datagramm Protocol, sind in den Endgeräten (Hosts) implementiert und ermöglichen die direkte Verbindung der auf den Hosts laufenden Prozesse, also eine Ende-zu-Ende-Verknüpfung ohne Berücksichtigung des physikalischen Weges.59 Aus Sicht der Anwendungen erscheint es so, als wären die beiden Endgeräte direkt miteinander verbunden.60 Die Protokolle der Transportschicht übernehmen die Daten von der Anwendungsschicht, teilen sie auf, geben sie an die Internetschicht (also an das Computer-Netzwerk an sich) weiter.61 Auf Empfängerseite extrahieren sie die Daten aus dem Netzwerk, überprüfen, ob die Daten am anderen Ende richtig angekommen sind, und stellen sie der Anwendung des Empfängers zur Verfügung.62 cc)
Internetschicht
Während die Protokolle der Transportschicht eine Verbindung von Prozess zu Prozess ermöglichen, kümmern sich die in der Internetschicht63 angesiedelten Protokolle um die Übertragung von Host zu Host.64 Sie bekommen die Dateneinheiten von der Transportschicht übergeben65 und haben die Aufgabe, die Übermittlung der Daten über die verschiedenen (Teil-)Stationen66 vom Sender-Host zum EmpfängerHost zu organisieren.67 Sie sind deshalb von besonderer Bedeutung, weil sie in der Lage sind, unabhängig vom übertragenden Medium und dessen Protokoll zu agieren, so dass eine Verbindung über die verschiedenen Netzwerkgrenzen hinweg 56 Hunt, TCP/IP - Netzwerk-Administration, S. 24 f. 57 Zur Funktionsweise von SMTP als Beispiel für ein Protokoll der Anwendungsschicht siehe Anhang A, Abschnitt a) auf Seite 378. 58 Einzelheiten zur Arbeitsweise des Transmission Control Protocols sind in Anhang A, Abschnitt a) auf Seite 380 ausgeführt. 59 Hunt, TCP/IP - Netzwerk-Administration, S. 19 f. 60 Kurose/Ross, Computernetzwerke, S. 227. 61 Ciccarelli et al., Networking Basics, S. 46 f. 62 Tanenbaum/Wetherall, Computernetzwerke, S. 70. 63 Also auf der Netzwerk-Ebene. 64 Kurose/Ross, Computernetzwerke, S. 344. 65 Kurose/Ross, Computernetzwerke, S. 74. 66 Zum Beispiel Router. 67 Riggert, Rechnernetze: Grundlagen, Ethernet, Internet, S. 114.
46
B.
Begrifflichkeiten und Grundlagen der Kommunikation
erst ermöglicht wird.68 Auch Fragen der Überlastungsvermeidung spielen auf dieser Ebene eine Rolle.69 In dieser Schicht dominiert70 das Internet Protocol.71 Es arbeitet mit Methoden wie Adressierung, Weiterleitung (Forwarding) und Routing.72 Adressierung etwa bedeutet, dass jede versendete Dateneinheit mit zwei weltweit eindeutigen IP-Adressen (Quell- und Zieladresse) versehen ist.73
dd)
Netzzugangsschicht (Sicherungs- und Bitübertragungsschicht)
Weil in der vorliegenden Untersuchung das lokale (Funk-)Netzwerk (Small Office/Home Office-Netzwerkumgebung) als Angriffspunkt für potentielle Überwachungsmaßnahmen dient, spielen Schwachstellen in den etablierten Protokollen dieser Schicht eine besondere Rolle. Einige Aspekte des in diesem Zusammenhang wichtigsten Protokolls der Sicherungsschicht sollen deswegen näher beleuchtet werden. Im Gegensatz zu den Protokollen der höheren Schichten kommunizieren die Protokolle der tieferen Schichten nur mit ihrem unmittelbaren Nachbar.74 Während sich die Protokolle der Internetschicht um den Transport der Daten über die Gesamtstrecke vom Sender-Host zum Empfänger-Host über die verschiedenen Zwischenstationen kümmern,75 fällt den Protokollen der Sicherungsschicht die Aufgabe zu, den Transport von einer Zwischenstation (Router/Host/Hop) zur nächsten zu übernehmen. Auf dem Weg der Daten von der Quelle zum Ziel können nacheinander viele verschiedene Sicherungsschicht-Protokolle zum Einsatz kommen.76 Dabei setzen sich die Protokolle z.B. auch mit Fragen der Behandlung von Übertragungsfehlern oder der Regelung des Datenflusses auseinander.77 Auf der Sicherungsschicht wird mit Sicherungsschicht-Adressen (Hardware-Adressen)78 gearbeitet. Daher ist auf dieser Ebene auch die Übersetzung von Netzwerkschicht-Adressen (hier: InternetProtocol-Adressen) in Sicherungsschicht-Adressen angesiedelt.79 Das Protokoll 68 Tanenbaum/Wetherall, Computernetzwerke, S. 412. 69 Dazu ausführlich in Tanenbaum/Wetherall, Computernetzwerke, S. 452 ff. 70 Das Internet Control Message Protocol (ICMP) wird z.B. ebenfalls der Ebene der Internetschicht als zugehörig betrachtet, aber es verwendet selbst das Internet Protocol als Basis. Es ist primär nur für Fehler- und Analysenachrichten zuständig, vgl. Kurose/Ross, Computernetzwerke, S. 393 ff. 71 Weitere Angaben finden sich in Anhang A, Abschnitt a) auf Seite 382. 72 Ciccarelli et al., Networking Basics, S. 49. 73 Für Details zur IP-Adressierung siehe: Anhang A, Abschnitt bb) auf Seite 382. 74 Tanenbaum/Wetherall, Computernetzwerke, S. 70. 75 Wie in Abschnitt a) auf Seite 382 erläutert. 76 Dazu: Kurose/Ross, Computernetzwerke, S. 476. 77 Tanenbaum/Wetherall, Computernetzwerke, S. 235. 78 Sogleich in: Abschnitt (e) auf Seite 50. 79 Kurose/Ross, Computernetzwerke, S. 502.
II. Die Netzwerkprotokolle des Internet-Netzwerkes
47
mit der zentralen Relevanz für diese Analyse ist der IEEE 802.11-Standard.80 Die Bitübertragungsschicht hingegen bildet die Grundlage des Datentransportes und damit aller anderen Schichten, indem sie die physikalische Verbindung bereitstellt.81 Es werden einzelne Bits über die verschiedenen physikalischen Medien wie Kupferkabel, Glasfaserkabel oder Funk-/Satellitenstrahlen etc.82 übertragen, z.B. als elektrische Signale, optische Signale oder elektromagnetische Wellen.83 Jede neue Hardware-Technologie bedarf ihres eigenen, neuen Protokolls, entsprechend viele Protokolle sind verfügbar.84 (1)
IEEE 802.11 (WLAN) als Beispielprotokoll der Netzzugangsschicht
Die wichtigste Protokollfamilie im Bereich drahtloser, funkbasierter Datenübertragung im lokalen Bereich ist der IEEE 802.11-Standard.85 In Wireless LANs werden die Informationen mit Hilfe von Funkzellen durch elektromagnetische Wellen übertragen.86 Die Technologie hat in den letzten Jahren einen großen Boom erlebt und sich stark verbreitet.87 Im Hinblick auf die Untersuchung des lokalen Netzwerkverkehrs muss WLAN daher die zentrale Rolle spielen. (a)
Betriebsmodus
Der IEEE 802.11-Standard erlaubt zwei grundsätzliche Betriebsmodi, den hauptsächlich genutzten Infrastruktur- und den Ad-hoc-Modus. Im Ad-hoc-Modus wird das Netzwerk spontan von den verschiedenen (im einfachsten Fall zwei) Wireless Adaptern der beteiligten Hosts in Reichweite gebildet. Das Netzwerk dient nur dem Austausch von Daten untereinander, aber ohne Verbindung „nach außen“.88 Im hier ausschließlich interessanten Infrastruktur-Modus bedarf es einer zusätzlichen Funkzelle als Zugangspunkt (Access Point), dem jeder teilnehmende 80 Sogleich in: Abschnitt (1). Zu den Grundlagen der Ethernet-Protokollfamilie, welche für ein besseres Verständnis sehr nützlich sind, siehe in Anhang A, Abschnitt aa) auf Seite 387. 81 Riggert, Rechnernetze: Grundlagen, Ethernet, Internet, S. 29. 82 Tanenbaum/Wetherall, Computernetzwerke, S. 127. 83 Zisler, Computer-Netzwerke: Grundlagen, Funktionsweise, Anwendung, S. 23. 84 Hunt, TCP/IP - Netzwerk-Administration, S. 13. 85 Vgl. http://ieeexplore.ieee.org/document/7786995/ (Stand: Dezember 2017). Weitere Einzelheiten in Anhang A, Abschnitt (1). 86 Rech, Wireless LANs, S. 43. 87 Für das Jahr 2016 etwa übersteigt den Angaben von Statista zufolge die Anzahl der WLAN-Nutzungen nach Haushalten (39,02 Millionen) sogar die Anzahl der DSL/VDSL-Anschlüsse (38,82 Millionen), vgl. https://de.statista.com/statistik/daten/ studie/171510/umfrage/im-haushalt-genutzte-internetzugangsarten/ (Stand: Dezember 2017). 88 Kurose/Ross, Computernetzwerke, S. 573. Ad-Hoc-Netzwerke müssen aufgrund der fehlenden Infrastruktur selbst Dienste wie Adresszuordnung oder Routing bereitstellen, vgl. Kurose/Ross, Computernetzwerke, S. 561.
48
B.
Begrifflichkeiten und Grundlagen der Kommunikation
Host zugeordnet ist. Dieser Access Point (AP) ermöglicht, quasi als Brücke89, den Zugang zum (kabelgebundenen) LAN und damit weiter den Zugriff auf das (weitere) Internet-Netzwerk (Distribution System).90 Der gesamte Datenverkehr läuft in diesem Modus immer über den Access Point und nicht direkt zwischen den Endgeräten.91 Der Access Point regelt den Zugriff auf das Netzwerk, er muss wissen, welche Hosts zu seiner Zelle gehören. Die Hosts wiederum müssen wissen, welcher Access Point für sie zuständig ist. Dieses Verfahren der Zuordnung von Host und Access Point erfolgt im Infrastruktur-Modus durch Assoziierung und Authentifizierung.92 (b)
Assoziierung
Der Verzicht auf einen physikalischen Träger und die ersatzweise Nutzung elektromagnetischer Wellen als Übertragungsmedium führt zu diversen Besonderheiten. So existieren keine fest definierten Grenzen zwischen den Empfangsbereichen. Die verschiedenen Signale können sich überlappen und jeder in Reichweite einer Funkzelle kann sie empfangen. Deshalb muss eine Zuordnung der einzelnen Teilnehmer erfolgen.93 IEEE 802.11 erlaubt im Gegensatz zu Ethernet daher wegen des unsicheren Übertragungsmediums den endgültigen Datenaustausch94 erst, wenn der Host bei einem Access Point erfolgreich „eingebucht“ ist.95 Eine Assoziierung wäre nicht immer ohne Weiteres möglich, denn oft besteht die Situation, dass ein Host sich im Empfangsbereich mehrerer Access Points befindet. Daher erfolgt die Zuordnung zum gewünschten Access Point über den richtigen96 Service Set Identifier (SSID).97 (c)
Begleiterscheinungen der Funkübertragung
Die Nutzung elektromagnetischer Wellen als Übertragungsmedium bringt noch eine weitere Eigenheit mit sich. Möchte man den Datenverkehr als an der Kommunikation Unbeteiligter mitschneiden, setzt etwa das kabelgebundene Ethernet logischerweise als Grundvoraussetzung eine physikalische Verbindung zum Netzwerk voraus. Diese räumliche Einschränkung fehlt bei WLAN. Eine Kontrolle 89 Daher als Bridging bezeichnet. 90 Riggert, Rechnernetze: Grundlagen, Ethernet, Internet, S. 254. 91 Ebd. Vgl. Fußnote 90. Im vertrauten privaten Heimnetzwerk etwa ist der Access Point in der Regel zusammen mit dem Router in einem einzigen Gerät kombiniert. 92 Dazu Rech, Wireless LANs, S. 216. 93 Rech, Wireless LANs, S. 215. 94 Präziser den Austausch von Frames der Klasse 3. Für Details zu den unterschiedlichen Frame-Klassen siehe Rech, Wireless LANs, S. 214 f. 95 Riggert, Rechnernetze: Grundlagen, Ethernet, Internet, S. 260. 96 In der Host-Station kann zum Beispiel ein bestimmter Service Set Identifier konfiguiert sein, der dem Host nur erlaubt, sich mit dem entsprechenden Access Point zu verbinden. Oder aber der Host wählt den gewünschten AP nach Gutdünken aus. 97 Rech, Wireless LANs, S. 228.
II. Die Netzwerkprotokolle des Internet-Netzwerkes
49
der Verbreitung der eigenen ausgesendeten elektromagnetischen Wellen ist nur schwer möglich und ihre Reichweite geht in der Regel über den eigenen Herrschaftsbereich hinaus. Entsprechend kann der Datenverkehr von jedermann (in der näheren Umgebung und mit dem entsprechenden Know-How) empfangen und ausgewertet werden.98 Ebenso ist der Access Point grundsätzlich von jedem Host in räumlicher Reichweite ansprechbar. Deswegen haben inzwischen bestimmte Sicherheitsmechanismen im Bereich des WLAN (als einem der wenigen Bereiche der Internet-Netzwerk-Infrastruktur) standardmäßig Verbreitung gefunden. (d) (aa)
Authentifizierung/Verschlüsselung Sicherheitsmechanismen
Um das unautorisierte Mitbenutzen des Netzwerkes zu verhindern, verlangen heute viele WLANs vor der Assoziierung eine Authentifizierung des Hosts.99 Damit soll nur ausgewählten Hosts die Assoziierung und damit der Datenaustausch mit dem Access Point möglich sein.100 Der Grund für die Trennung von Authentifizierung und Assoziierung liegt darin, dass in einem größeren Netzwerk mit mehreren Access Points bei Fortbewegung des Hosts ein schneller Wechsel zwischen den einzelnen Access Points möglich ist, ohne eine erneute Authentifizierung durchführen zu müssen.101 Um das (passive) Mitlesen des Netzwerkverkehrs zu unterbinden, wird zusätzlich der zwischen Host und Access Point ausgetauschte Datenverkehr verschlüsselt. Die wichtigsten derartigen Sicherheitsmechanismen heißen Wired Equivalent Privacy102 (WEP), Wi-Fi Protected Access103 (WPA) und Wi-Fi Protected Access 2 (WPA2). (bb)
WPA2-Personal und WPA2-Enterprise
Der derzeit aktuelle Sicherheitsstandard WPA2 lehnt sich an die Erweiterung IEEE 802.11i an und sieht zwei grundlegend unterschiedliche Modi vor, WPA2-Personal 98 Rech, Wireless LANs, S. 223. 99 Früher war die im 802.11-Standard vorgesehene Open System Authentication weit verbreitet. Sie erlaubte die Authentifizierung jedem ohne Einschränkung, vgl. Rech, Wireless LANs, S. 229. 100 Tanenbaum/Wetherall, Computernetzwerke, S. 362. 101 Sauter, Grundkurs Mobile Kommunikationssysteme, S. 307. 102 Der ursprüngliche und immer noch vielfach verwendete IEEE 802.11Sicherheitsstandard, vgl. Rech, Wireless LANs, S. 473. 103 Wi-Fi Protected Access ist eine Zertifizierung für die Erfüllung bestimmter Sicherheitskriterien, die von der Herstellervereinigung „Wi-Fi Alliance“ vergeben wird. WPA2 basiert auf dem IEEE 802.11i-Sicherheitsstandard. Vgl. https://www.wi-fi.org/newsevents/newsroom/wi-fi-alliance-introduces-nextgeneration-of-wi-fi-security (Stand: Dezember 2017). WPA hingegen war nur eine Zwischenlösung, die 802.11i nur teilweise umsetzte, vgl. Tanenbaum/Wetherall, Computernetzwerke, S. 362.
50
B.
Begrifflichkeiten und Grundlagen der Kommunikation
und WPA2-Enterprise.104 Der für die Untersuchung relevante Unterschied liegt darin, dass die Verwendung von WPA2-Enterprise dafür sorgt, dass jeder Host einen eigenen Schlüssel105 erhält. Dieser Schlüssel ist den anderen NetzwerkBenutzern nicht bekannt und lässt sich von diesen auch nicht rekonstruieren. Im Modus WPA2-Personal hingegen teilen alle Benutzer das gleiche Zugangskennwort und damit das gleiche Geheimnis (den Pre-Shared-Key). Damit können sie auf den temporären Schlüssel der anderen Teilnehmer schlussfolgern. Im Ergebnis können also im Personal-Modus die einen Benutzer des WLAN den Datenverkehr der anderen Benutzer mitlesen, als wäre der Datenverkehr gar nicht verschlüsselt, für den Enterprise-Modus hingegen gilt das nicht.106 Untersuchungsgegenstand dieser Arbeit ist nur der WPA2-Personal-Modus, denn WPA2-Enterprise spielt im Small Office/Home Office-Bereich keine Rolle. (e)
Adressierung
Von besonderem Interesse für diese Arbeit ist die Adressierung der einzelnen 802.11-Dateneinheiten. Sie erfolgt über Hardware-Adressen.107 Die HardwareAdresse nennt sich physikalische Medium-Access-Control-Adresse.108 Sie ermöglicht die weltweit eindeutige Identifizierung eines Gerätes.109 Wenn die IP-Adresse also mit dem amtlichen KFZ-Kennzeichen vergleichbar ist,110 dann entspricht die MAC-Adresse der Fahrgestellnummer.111 Im Wireless LAN besteht die Besonderheit, dass vom Host neben dem Access Point zusätzlich auch der dahinter liegende Router mit adressiert wird.112 (2)
Address Resolution Protocol
Das Address Resolution Protocol (ARP)113 spielt, wie später zu sehen sein wird, bei den Angriffen auf WEP und HTTPs eine wichtige Rolle. Auf Intra-Netzwerk-Niveau erfolgt die Adressierung über die Medium-AccessControl-Adressen (MAC), auf Inter-Netzwerk-Niveau hingegen über IP-Adressen, so dass es auf den einzelnen Teilstrecken einer (dynamischen) Übersetzung der 104 105 106 107 108 109 110 111 112 113
Rech, Wireless LANs, S. 490. Ausführlich in Anhang B, Abschnitt cc) auf Seite 389. Präziser: Einen eigenen Master Key, aus dem der PMK berechnet wird. Zum Ganzen: Tanenbaum/Wetherall, Computernetzwerke, S. 931. Für weitere Details siehe Anhang B, Abschnitt bb) auf Seite 387. Die Adresse zur Steuerung des Zugriffs auf das Medium. Zumindest soweit die MAC-Adresse nicht gefälscht wurde. Vgl. Kurose/Ross, Computernetzwerke, S. 502. Siehe Abschnitt bb) auf Seite 382. Zisler, Computer-Netzwerke: Grundlagen, Funktionsweise, Anwendung, S. 82. Kurose/Ross, Computernetzwerke, S. 582. Vgl. RFC 826, abrufbar unter: http://tools.ietf.org/html/rfc826 (Stand: Dezember 2017).
II. Die Netzwerkprotokolle des Internet-Netzwerkes
51
(Endziel-)IP-Adressen in die Medium-Access-Control-Adressen der jeweiligen Zwischenstationen bedarf. Diese Aufgabe übernimmt im Kontext von IPv4/Ethernet das Address Resolution Protocol.114 (a)
Intra-Netzwerk-Niveau
Grundsätzlich stellt das Address Resolution Protocol jedem Netzwerkknoten eine Zuordnungstabelle (ARP-Cache) zur Verfügung. Diese temporäre115 Tabelle ermöglicht innerhalb eines lokalen Netzwerkes die Zuordnung einer bestimmten IP-Adresse zu einer bestimmten MAC-Adresse. Empfängt ein Knoten eine Dateneinheit, schlägt er die darin enthaltene IP-Adresse in der Tabelle nach, erhält so die dazugehörige Medium-Access-Control-Adresse und kann sie mittels dieser an den Ziel-Host zustellen. Existiert eine solche Tabelle (noch) nicht bzw. findet sich die gesuchte IP-Adresse nicht in der Tabelle, sendet das Address Resolution Protocol ein ARP-Paket mit einer Anfrage an alle Knoten116 des lokalen Netzwerkes. Der Host mit der passenden IP-Adresse antwortet dem sendenden Knoten und übermittelt ihm seine Medium-Access-Control-Adresse, so dass der Knoten einen entsprechenden Tabelleneintrag erstellen kann.117 (b)
Inter-Netzwerk-Niveau
Möchte der Knoten eine Dateneinheit an einen Host außerhalb seines lokalen Netzwerkes senden, so muss er sie an den Knoten senden, von dem er weiß, dass er für die Kommunikation außerhalb des lokalen Netzwerkes zuständig ist – den Router. Dessen Medium-Access-Control-Adresse kann er auf dem üblichen Weg mit Hilfe von Address Resolution Protocol herausfinden. Der Router selbst übergibt, unter Einbeziehung der Internetschicht, die Daten von der Schnittstelle der Eingangsleitung an die Schnittstelle der Ausgangsleitung für den gesuchten IP-Adressraum (Forwarding118), um dann wiederum anhand seiner ARP-Tabelle den nächsten Knoten zuzuordnen.119 Zusammenfassend lässt sich konstatieren, dass sich die Medium-Access-ControlAdresse einer Dateneinheit auf jeder Teilstrecke ändert, während die IP-Adresse immer gleich bleibt.120 114 Rech, Ethernet: Technologien und Protokolle für die Computervernetzung, S. 417 f. 115 Über einen herunterzählenden Time to Live-Wert. 116 Dazu verwendet es die sogenannte Broadcast-Adresse: FF-FF-FF-FF-FF-FF =ˆ 11111111 11111111 11111111 11111111 11111111 11111111, vgl. Zisler, ComputerNetzwerke: Grundlagen, Funktionsweise, Anwendung, S. 76. 117 Zum Ganzen: Kurose/Ross, Computernetzwerke, S. 506 f. 118 Siehe dazu bereits: Abschnitt cc) auf Seite 385. 119 Dazu: Tanenbaum/Wetherall, Computernetzwerke, S. 535. 120 Tanenbaum/Wetherall, Computernetzwerke, S. 535.
52
B.
Begrifflichkeiten und Grundlagen der Kommunikation
3.
Art der Übermittlung
Festzuhalten bleibt, dass grundsätzlich alle für den Transport der Daten zwischen den Anwendungsprogrammen über das Internet-Netzwerk zuständigen und weitläufig eingesetzten Standard-Protokolle, bis auf unter Umständen einen kleinen Teilabschnitt bei Verwendung eines WLAN,121 grundsätzlich keinerlei Verschlüsselung der transportierten Daten vorsehen. Die Informationen, die von der jeweiligen Anwendung an das Transportprotokoll, von diesem an das Netzwerkprotokoll usw. übergeben werden und die als Dateneinheiten die physikalische Infrastruktur auf dem Weg zur Zielanwendung durchlaufen, sind dieselben.122 Das bedeutet, dass alle Daten (einschließlich Passwörter, Kommunikationsinhalten etc.) innerhalb des Internet-Netzwerkes im Allgemeinen als Klartext übertragen werden. Somit ist es möglich, mit entsprechenden Programmen die Pakete und alle darin enthaltenen Informationen auszulesen oder sogar zu verändern. Das gilt grundsätzlich für die gesamte Strecke (vom lokalen Netzwerk des Senders, über die Infrastruktur der gesamten Route, einschließlich des lokalen Netzwerkes des Empfängers) zwischen den Endgeräten.123 Der Transport eines IP-Paketes lässt sich mit dem Versand einer Postkarte durch ein Post- bzw. Logistikunternehmen vergleichen. Auf dem gesamten Weg, den die Postkarte zurücklegt, kann jeder am Transport Beteiligte sowie jeder mit berechtigtem oder unberechtigtem Zugriff auf die Fracht ihren Inhalt lesen. Dem Empfänger ist es nicht möglich festzustellen, ob die Postkarte unterwegs durchgesehen wurde oder nicht.124 III.
Protokolldateneinheiten: Überblick und Termini
Die vielfältigen Regeln der Protokolle führen dazu, dass das Ausmaß der bereits in einem einzelnen Netzwerk übertragenen Daten immens ist. Der Aufbau der letztlich übertragenen Dateneinheiten bestimmt, wo, in welcher Form und unter welchem Aufwand sich die untersuchungsrelevanten Informationen im Datenstrom finden lassen. Während der Übertragung durchlaufen die von den einzelnen Anwendungsprogrammen produzierten Rohdaten125 die verschiedenen Schichten des Protokollstapels nach unten. Ein Protokoll übergibt sie an das nachfolgende Protokoll. In jeder Schicht werden sie mit neuen Informationen des jeweiligen 121 Die kurze Teilstrecke zwischen Host und Access Point bei Funkübertragung unter Verwendung eines inzwischen weit verbreiteten Sicherheitsmechanismus wie WEP, WPA oder WPA2 im Rahmen des IEEE 802.11-Protokolls auf Ebene der Netzzugangsschicht, vergleiche Abschnitt (d) auf Seite 49. 122 Dazu: Poguntke, Basiswissen IT-Sicherheit, S. 22; Kurose/Ross, Computernetzwerke, S. 121. 123 Schwenk, Sicherheit und Kryptographie im Internet, S. 4. 124 Zu diesem Vergleich: Schwenk, Sicherheit und Kryptographie im Internet, S. 2. 125 Aufgeteilt in Einheiten.
III. Protokolldateneinheiten: Überblick und Termini
53
Protokolls ausgestattet.126 Dieser Vorgang wird als „Verkapselung“ bezeichnet, weil die Daten im Inneren an sich nicht verändert, sondern lediglich zusätzliche Informationen am Anfang (und u.U. am Ende) angehängt werden.127 Entsprechend kann man beim umgekehrten Prozess, dem Durchlaufen der Schichten von unten nach oben, von „Entkapselung“ sprechen. Um zwischen den Dateneinheiten der verschiedenen Schichten sauber differenzieren zu können, ist die Festlegung bestimmter Termini angebracht. Eine Dateneinheit, vervollständigt mit den spezifischen Informationen des einschlägigen Protokolls einer Schicht, wird allgemein als Protokolldateneinheit (PDU128) bezeichnet.129 Präziser heißt die Protokolldateneinheit der Anwendungsschicht Nachricht, die PDU der Transportschicht Segment, der Internetschicht Datagramm und der Sicherungsschicht Frame (Rahmen) (vgl. Tabelle B.3).130 Tabelle B.3 Die Bezeichnung der Protokolldateneinheiten Schichten
Bezeichnung der PDUs
Anwendungsschicht
5
Nachricht
Transportschicht
4
Segment
Internetschicht
3
Datagramm
Sicherungssicht
2
Frame
Bitübertragungsschicht
1
Bit
Das Protokoll der Anwendungsschicht verpackt also die Rohdaten in einer Nachricht (der Anwendungsschicht) und übergibt sie an das Transportprotokoll, welches die Nachricht innerhalb eines Segmentes der Transportschicht einkapselt und an das Protokoll der Internetschicht übergibt. Dieses verkapselt das Segment zu einem Datagramm und übergibt das Datagramm an die Sicherungsschicht, die es wiederum in einem Frame verpackt usw. Für die nächsttiefere Schicht stellt die 126 127 128 129 130
Dazu bereits in Abschnitt a) auf Seite 43. Ciccarelli et al., Networking Basics, S. 42. Protocol Data Unit. Riggert, Rechnernetze: Grundlagen, Ethernet, Internet, S. 27. Kurose/Ross, Computernetzwerke, S. 73 ff.; Hunt, TCP/IP - Netzwerk-Administration, S. 12; Alexander, Netzwerke und Netzwerksicherheit, S. 12.
54
B.
Begrifflichkeiten und Grundlagen der Kommunikation
Protokolldateneinheit der vorherigen Schicht nur die zu transportierenden Rohdaten (Nutzlast)131 dar.132 Weil bestimmte Protokolle nur bestimmte Maximalgrößen für eine Protokolldateneinheit erlauben, müssen die Daten unter Umständen zusätzlich in Einheiten der zulässigen Größe neu aufgeteilt und später wieder zusammengesetzt werden (Fragmentierung).133 Aber auch dabei werden die Daten an sich nicht verändert.
131 Aus dem Engl. Dort oft als Payload bezeichnet, vgl. Kurose/Ross, Computernetzwerke, S. 77 132 Auf Einzelheiten zum Aufbau mit Beispielen zu den jeweiligen Protokolldateneinheiten wird in Anhang A, Abschnitt II. auf Seite 390 ff. eingegangen. 133 Dazu im Anhang A, Abschnitt dd) auf Seite 386.
C.
Kryptologische Grundlagen
Einige Teilstrecken des Internet-Netzwerks, insbesondere lokale Funknetzwerke,134 und einige Kommunikationsanwendungen setzen „Verschlüsselung“ gezielt ein, um den Datenverkehr geheim zu halten und vor Unbefugten abzuschirmen. Kommt sie zum Einsatz, sind die Rahmenbedingungen für ein „Überwachen“ fundamental verändert. Verschlüsselung spielt daher eine wichtige Rolle in der folgenden informationstechnologischen Analyse. Zum besseren Verständnis soll dieses Kapitel wenigstens grundlegend zeigen, mit welchen Mitteln „Verschlüsselung“ realisiert werden kann, welche Ziele sie verfolgt und auf welchen Prinzipien sie beruht. I. Kryptologie: Termini und Aufgaben 1.
Termini
Kryptologie bezeichnet „die Wissenschaft der Geheimhaltung von Informationen durch Transformation von Daten“.135 Kryptologie wird dabei in der Regel als Oberbegriff136 oder als Zweig der Mathematik137 begriffen, der die Kryptographie und die Kryptanalyse zusammenfasst. Kryptographie ist der Teilbereich, der sich mit der Absicherung der Nachrichten befasst,138 also damit die entsprechenden Kryptosysteme zur Verschlüsselung des Klartextes zu entwickeln,139 die Kryptanalyse hingegen befasst sich als Gegenstück damit, diese Kryptosysteme zu beurteilen und zu brechen140, den Geheimtext wieder lesbar zu machen.141 2.
Aufgaben der Kryptologie
Die Hauptaufgabe der Kryptologie ist die Gewährleistung von: 134 135 136 137 138 139 140 141
Siehe Abschnitt (c) auf Seite 48. Bronstein, Taschenbuch der Mathematik, S. 346. Bronstein, Taschenbuch der Mathematik, S. 346. Schneier, Angewandte Kryptographie, S. 1. Schneier, Angewandte Kryptographie, S. 1. Bronstein, Taschenbuch der Mathematik, S. 346. Bronstein, Taschenbuch der Mathematik, S. 346. Schneier, Angewandte Kryptographie, S. 1.
56
C.
Kryptologische Grundlagen
1. Vertraulichkeit Die Daten sind so zu verändern, dass nur noch der Besitzer des entsprechenden kryptographischen Schlüssels die Nachricht lesen kann.142 Allerdings hat die Kryptologie auch weitere Aufgaben zu erfüllen:143 2. Authentizität Es muss möglich sein festzustellen, wer der Absender der Nachricht ist, niemand soll sich als Absender ausgeben (den Absender fälschen) können.144 3. Integrität Der Empfänger muss auch sicher sein können, dass die Nachricht auf ihrem Weg vom Sender nicht von Dritten verändert worden ist, die Nachricht also nicht verfälscht wurde.145 4. Nichtabstreitbarkeit/Verbindlichkeit Der Urheber einer Nachricht soll eindeutig sein und seine Urheberschaft nicht abstreiten können. Diese Aufgabe schließt die Authentizität und Integrität mit ein und macht sie gegenüber Dritten beweisbar.146 II.
Elementares Instrumentarium der Kryptographie 1.
Kryptographischer Algorithmus
Als kryptographischer Algorithmus wird die mathematische Funktion bezeichnet die zur Verschlüsselung (Chiffrierung) bzw. zur Entschlüsselung (Dechiffrierung) eingesetzt wird.147 Der Klartext K (die unverschlüsselte Nachricht) wird dabei mit Hilfe der Verschlüsselungsfunktion E 148 in den Geheim- bzw. Chiffretext C umgewandelt: E (K) = C Durch Anwendung der Entschlüsselungsfunktion D 149 auf den Geheimtext C erhält man wieder den Klartext K: D (C) = K 142 Schwenk, Sicherheit und Kryptographie im Internet, S. 6. 143 Wie im weiteren Verlauf zu sehen sein wird, können diese anderen Aufgaben mit den gleichen Methoden, mit denen Vertraulichkeit erreicht wird, verwirklicht werden. 144 Schwenk, Sicherheit und Kryptographie im Internet, S. 6. 145 Schneier, Angewandte Kryptographie, S. 2. 146 Swoboda/Spitz/Pramateftakis, Kryptographie und IT-Sicherheit, S. 165 und S. 14ff. 147 Ertel, Angewandte Kryptographie, S. 19. 148 E für encryption. 149 D für decryption.
II. Elementares Instrumentarium der Kryptographie
2.
57
Schlüssel
Früher verwendete man sogenannte eingeschränkte Algorithmen ohne speziellen Schlüssel, bei denen das zu bewahrende Geheimnis in der Arbeitsweise des Algorithmus lag.150 Der entscheidende Nachteil besteht darin, dass bei einem Teilnehmerwechsel automatisch der gesamte Algorithmus gewechselt werden musste.151 In moderneren Verfahren ist der Algorithmus hingegen bekannt (und damit auch überprüf- und beurteilbar), nur der Schlüssel ist noch geheim.152 Als einfaches Beispiel mag eine der ältesten bekannten Verschlüsselungsmethoden, der Cäsar-Code, dienen. Dabei wird jeder einzelne Buchstabe des Klartextes durch den im Alphabet drei Stellen weiter hinten stehenden Buchstaben ersetzt.153 Der Schlüssel lautet in diesem Fall 3, der Algorithmus hingegen legt fest, jeden einzelnen Buchstaben des Klartextes durch denjenigen im Alphabet folgenden Buchstaben zu ersetzen, den der Schlüssel angibt. 3.
Kryptosystem, Verschlüsselungsverfahren, Algorithmus
Ein Kryptosystem (kryptographisches System, Verschlüsselungsverfahren) regelt, wie ein Klartext in einen Geheimtext umgewandelt wird und umgekehrt. Es umfasst sowohl die Verschlüsselungs- und Entschlüsselungsfunktion (Algorithmus) als auch die Verschlüsselungs- und Entschlüsselungsschlüssel sowie die Klar- und Geheimtexte.154 4.
Symmetrische Algorithmen – Secret-Key-Verfahren a) Prinzip des symmetrischen Algorithmus
Das Feld der symmetrischen Kryptographie155 entspricht der klassischen Vorstellung von Verschlüsselung. Die Übermittlung beliebig vieler geheimer Nachrichten von unterschiedlicher Länge soll auf der einmaligen geheimen Mitteilung eines Schlüssels basieren.156 Alle Teilnehmer, die derart miteinander kommunizieren wollen, müssen im Besitz des identischen Schlüssels sein157 (oder zumindest ist der Chiffrierschlüssel aus dem Dechiffrierschlüssel zu berechnen und umgekehrt).158 Veranschaulichen (siehe Abbildung C.1 auf der nächsten Seite) lässt sich das Prinzip mit dem Bild einer in einem Tresor eingeschlossenen Nachricht, die von 150 Ertel, Angewandte Kryptographie, S. 20. 151 Ferner musste der gesamte Algorithmus geheim gehalten werden. Vgl. Ferguson/Schneier, Practical Cryptography, S. 23. 152 Schmeh, Kryptografie, S. 42. 153 Zum Cäsar-Code: Wobst, Abenteuer Kryptologie, S. 2 f. 154 Dazu Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 275 f. 155 Für Einzelheiten siehe Anhang C, Abschnitt 1. auf Seite 400 ff. 156 Beutelspacher/Schwenk/Wolfenstetter, Moderne Verfahren der Kryptographie, S. 10. 157 Schwenk, Sicherheit und Kryptographie im Internet, S. S.7. 158 Schneier, Angewandte Kryptographie, S. 4.
58
C.
Kryptologische Grundlagen
Teilnehmer zu Teilnehmer weitergereicht wird. Zum Öffnen des Tresors wird dann jeweils ein identischer Zweit-, Dritt- usw. Schlüssel benötigt.159 Symmetrische Algorithmen werden in Blockchiffren160 und Stromchiffren161 unterteilt.162 Wichtige Blockchiffren sind der Data Encryption Standard163 (DES) und der Advanced Encryption Standard164 (AES).165 Die am stärksten verbreitete Stromchiffre ist RC4.166
Abbildung C.1: Veranschaulichung des Prinzips der symmetrischen Verschlüsselung
b)
Problem des Schlüsselaustausches
Das Problem der symmetrischen Algorithmen besteht offensichtlich im erstmaligen Austausch des geheimen Schlüssels.167 Sender und Empfänger müssen sich beim ersten Kontakt auf einen geheimen Schlüssel einigen. Diese Vereinbarung müssten sie entweder über einen anderen, sicheren (geheimen) Kanal (z.B. bei einem persönlichen Treffen oder per Post – was nicht praktikabel ist) treffen oder sie nehmen die Gefahr in Kauf, den Austausch im ungesicherten, weil noch unverschlüsselten Modus zu vollziehen, so dass ein etwaiger Angreifer in der Lage wäre, den Schlüssel mitzuschneiden und folglich die gesamte verschlüsselte Kommunikation mitzuhören, was wiederum das ganze Prinzip der Verschlüsselung unterhöhlen würde.168 Zu dieser Verbildlichung: Schwenk, Sicherheit und Kryptographie im Internet, S. 7. Anhang C, Abschnitt b) auf Seite 403 ff. Anhang C, Abschnitt d) auf Seite 429 ff. Zur Unterscheidung siehe Anhang C, Abschnitt bb) auf Seite 401. Zur Funktionsweise des Algorithmus: Anhang C, Abschnitt bb) auf Seite 405 ff. Anhang C, Abschnitt cc) auf Seite 415 ff. Ein weiterer relevanter Algorithmus ist der International Data Encryption Algorithm (IDEA), Anhang C, Abschnitt dd) auf Seite 425. 166 Für Details zu RC4 siehe Anhang C, Abschnitt bb) auf Seite 430 ff. 167 Beutelspacher, Kryptologie, S. 93. 168 Wobst, Abenteuer Kryptologie, S. 152.
159 160 161 162 163 164 165
II. Elementares Instrumentarium der Kryptographie
59
In der Praxis wird versucht, das Problem durch Aufspalten des Schlüssels und Versenden der Bestandteile über verschiedene Kanäle169 oder Einbeziehung einer vertrauenswürdigen dritten Instanz zu lösen.170 Für Letzteres werden zwei Arten von Schlüsseln unterschieden, ein Schlüssel zum Chiffrieren anderer Schlüssel (Key-encryption-Schlüssel) und der Daten- oder Sitzungsschlüssel zum Chiffrieren der eigentlichen Kommunikationsinhalte.171 Kommunikationspartner A fragt nach einem Sitzungsschlüssel bei der dritten Instanz an. Diese verschlüsselt den Sitzungsschlüssel mit dem Key-encryption-Schlüssel von A und versendet ihn an A, gleichzeitig erhält A auch noch den Sitzungsschlüssel verschlüsselt mit dem Key-encryption-Schlüssel von B. A schickt nun, nachdem er seinen Sitzungsschlüssel dechiffriert hat, den für B chiffrierten Sitzungsschlüssel und die mit dem Sitzungsschlüssel chiffrierte Nachricht an B. Dieser kann den Sitzungsschlüssel mit seinem Key-encryption-Schlüssel dechiffrieren, und mit jenem die Nachricht.172 Das Problem, wie die Teilnehmer erstmalig jeweils ihren Key-encryption-Schlüssel mit der dritten Instanz austauschen, löst es nicht. Zu dieser dritten Instanz müssen die Kommunikationsteilnehmer also einen absolut sicheren Kanal haben; ist die dritte Instanz kompromittiert, ist wiederum das ganze System betroffen.173 Hat das Kommunikationssystem nicht nur zwei, sondern viele Teilnehmer, muss der Schlüssel auch an alle Teilnehmer verteilt werden, und bei jedem einzelnen Teilnehmer besteht die Gefahr, dass bei Verlust des Schüssels das ganze System korrumpiert wird. Versucht man das Problem zu umgehen und vereinbaren in einem System jeweils zwei Teilnehmer einen eigenen Schlüssel, steigt die Anzahl der zu verwaltenden Schlüssel stark an, denn es werden bei n Teilnehmern n·(n−1) Schlüssel gebraucht. Das bedeut bei 10 Teilnehmern sind 45 verschiedene 2 Schlüssel, bei 100 Teilnehmern 4950 und bei 1000 bereits 499500 Schlüssel notwendig.174 Geht man von Systemen der Größe des Internets aus, wird eine derartige Schlüsselverwaltung schnell unmöglich.175
5.
Asymmetrische Algorithmen – Public-Key-Verfahren
Bestimmte Algorithmen ermöglichen es, dass im Gegensatz zu symmetrischen Algorithmen für den Verschlüsselungsvorgang ein gänzlich anderer Schlüssel
169 170 171 172 173 174 175
Schneier, Angewandte Kryptographie, S. 208. Schneier, Angewandte Kryptographie, S. 57. Schneier, Angewandte Kryptographie, S. 208. Dazu: Schneier, Angewandte Kryptographie, S. 57. Ebd. vgl. Schneier, Angewandte Kryptographie, S. 57. Schneier, Angewandte Kryptographie, Dazu S. 34. Beutelspacher/Schwenk/Wolfenstetter, Moderne Verfahren der Kryptographie, S. 96.
60
C.
Kryptologische Grundlagen
verwendet werden kann als für den Entschlüsselungsvorgang.176 Sie werden daher asymmetrische Algorithmen genannt.177 Bahnbrechend für diese bis dato völlig neue Idee war der 1976 erschienene Artikel „New Directions in Cryptography“ von Whitfield Diffie und Martin Hellman.178 Sie stellen darin nicht nur das neue Prinzip vor, sondern beschreiben auch den ersten asymmetrischen Algorithmus.179 Jeder Teilnehmer eines solchen Kryptosystems besitzt einen öffentlichen Schlüssel, der öffentlich bekannt zu machen ist und für jeden Teilnehmer zur Verfügung steht, gleichzeitig verfügt jeder Teilnehmer noch über einen zweiten geheimen Schlüssel, der nur ihm bekannt ist.180 Daher auch die Bezeichnung asymmetrisch, weil die Schlüssel nicht symmetrisch auf alle Teilnehmer verteilt sind, sondern asymmetrisch, ein (öffentlicher) Schlüssel für viele und ein (geheimer) Schlüssel für nur einen Teilnehmer; bzw. Public-Key-Verfahren nach dem öffentlichen, bekannt zu machenden Schlüssel.181 Bahnbrechend ist dabei, dass in jedem asymmetrischen Kryptosystem der Sender eine Nachricht verschicken kann, ohne eine geheime Information zu besitzen (dazu verschlüsselt er die Nachricht mit dem öffentlichen Schlüssel des Empfängers), aber nur der Empfänger allein ist in der Lage, mit Hilfe seiner geheimen Information den Verschlüsselungsvorgang rückgängig zu machen und so die Ausgangsnachricht des Senders zu lesen.182 Veranschaulichen lässt sich das Prinzip am Beispiel eines Briefkastens. Der Empfänger stellt öffentlich einen Briefkasten183 auf, der jedem zugänglich ist und in den jeder durch den Briefkastenschlitz eine Nachricht einwerfen kann (entspricht dem öffentlichen Schlüssel). Solange sich die Nachricht im Briefkasten befindet, ist sie für niemanden lesbar (entspricht der Verschlüsselung). Öffnen lässt sich der Briefkasten aber nur mit einem einzigen Schlüssel (dem geheimen Schlüssel), der sich allein im Besitz des Empfängers befindet (siehe Abbildung C.2 auf der nächsten Seite).184 Die asymmetrischen Algorithmen lösen damit das Hauptproblem der symmetrischen Algorithmen auf elegante Art und Weise (das war schließlich auch das 176 Der Dechiffrierschlüssel lässt sich dann auch gerade nicht aus dem Chiffrierschlüssel berechnen, vgl. Schneier, Angewandte Kryptographie, S. 5. 177 Einzelheiten finden sich in Anhang C, Abschnitt 2. auf Seite 437 ff. 178 New Directions in Cryptography, IEEE Transactions on Information Theory, Band 22, Ausgabe 6, S. 644-654, abrufbar unter: http://www-ee.stanford.edu/~hellman/ publications/24.pdf (Stand: Dezember 2017). 179 Zum Diffie-Hellman-Schlüsselaustausch siehe Abschnitt c) auf Seite 459. 180 Ertel, Angewandte Kryptographie, S. 22. 181 Schwenk, Sicherheit und Kryptographie im Internet, S. 13. 182 Beutelspacher/Schwenk/Wolfenstetter, Moderne Verfahren der Kryptographie, S. 10. 183 Oder besser einen Tresor mit Einwurfschlitz. 184 Zu dieser Verbildlichung: Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 6.
II. Elementares Instrumentarium der Kryptographie
61
Abbildung C.2: Visualisierung des Prinzips der asymmetrischen Verschlüsselung
Hauptmotiv ihrer Entwicklung).185 Es ist damit möglich geworden, geheime Schlüssel über nicht-geheime (unsichere) Kanäle zu übertragen.186 Volle Gültigkeit besitzt diese Aussage allerdings nur in dem Szenario mit einem passiven Angreifer.187 Zudem sind wesentlich weniger Schlüssel notwendig. Da jeder Teilnehmer nur zwei Schlüssel braucht, benötigt man nur doppelt so viele Schlüssel wie Teilnehmer, bei 1000 Teilnehmern also nur 2000 Schlüssel. Die wichtigsten asymmetrischen Algorithmen sind der Rivest-Shamir-Adleman-Algorithmus188 (RSA) und die Diffie-Hellman-Schlüsselvereinbarung189 (DH).190 6.
Hybride Algorithmen
Asymmetrische Verschlüsselungsverfahren haben gegenüber symmetrischen Verfahren einen entscheidenden Nachteil. Sie sind ca. 1000-mal langsamer als die symmetrischen Verfahren und eignen sich daher kaum für größere Datenmen185 Wilke/Küsters, Moderne Kryptographie, S. 258. 186 Beutelspacher/Schwenk/Wolfenstetter, Moderne Verfahren der Kryptographie, S. 28. 187 Stinson, Cryptography: Theory and Practice, S. 272. In einem Szenario mit einem aktiven Angreifer besteht die Möglichkeit, dass der Angreifer dem Sender vorspielt, dass sein eigener öffentlicher Schlüssel der Schlüssel des Empfängers wäre. Vgl. dazu ausführlich Abschnitt II. auf Seite 474. 188 Für Einzelheiten zur Arbeitsweise von RSA siehe, Anhang C, Abschnitt b) auf Seite 439 ff. 189 Details in Anhang C, Abschnitt c) auf Seite 459 ff. 190 Ein weiteres relevantes asymmetrisches Verfahren ist der Elgamal-Algorithmus, siehe Anhang C, Abschnitt d) auf Seite 467 ff.
62
C.
Kryptologische Grundlagen
gen.191 In der Praxis verwendet man deshalb Verfahren, die symmetrische und asymmetrische Algorithmen kombinieren (daher hybride Algorithmen). Sie gehen dabei wie folgt vor: Nachdem sich Sender und Empfänger auf einen symmetrischen und einen asymmetrischen Algorithmus geeinigt haben, werden die Daten vom Sender mit einem zufällig ausgewählten symmetrischen Schlüssel chiffriert und an den Empfänger versendet. Der (geheime) symmetrische Schlüssel wird vom Sender mit Hilfe eines asymmetrischen Verfahrens mit dem öffentlichen Schlüssel des Empfängers chiffriert. Der Empfänger kann also den (symmetrischen) Datenschlüssel mit seinem privaten Schlüssel und dem asymmetrischen Algorithmus dechiffrieren und mit diesem dann die Daten.192 Auf diese Weise werden die Vorteile beider Verschlüsselungsarten vereint. III.
Kryptanalyse
Die Kryptanalyse als Widerpart der Kryptographie beschäftigt sich mit der Sicherheit von Kryptosystemen. Ohne Kenntnis des geheimen Schlüssels werden die verschiedenen Algorithmen untersucht und der Datenverkehr zwischen den Teilnehmern analysiert, mit dem Ziel, an möglichst viele Informationen über den Klartext oder den geheimen Schlüssel zu gelangen (man spricht von einem Angriff auf das Kryptosystem).193 Eine unerkannte Überwachungsmaßnahme bzw. das „Knacken“ oder „Brechen“ von Verschlüsselung ist tatsächlich eine erfolgreiche Kryptanalyse. 1.
Angriffsarten
Die Angriffe werden hauptsächlich nach den Rahmenbindungen, unter denen sie stattfinden, unterschieden.194 Arten des Angriffs nach Rahmenbindungen:195 1. Ciphertext-Only-Angriff196 Der Angreifer verfügt nur über eine bestimmte Menge Geheimtext. 2. Known-Plaintext-Angriff197 Swoboda/Spitz/Pramateftakis, Kryptographie und IT-Sicherheit, S. 28. Zum Ganzen siehe Schmeh, Kryptografie, S. 181. Wobst, Abenteuer Kryptologie, S. 65 f. Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 24. Für die Unterscheidung nach Art und Menge der erlangten Information siehe: Schneier, Angewandte Kryptographie, S. 9. 195 Vgl. für die Einteilung: Ertel, Angewandte Kryptographie, S. 24 f. 196 Angriff mit bekanntem Geheimtext. 197 Angriff mit bekanntem Klartext.
191 192 193 194
III. Kryptanalyse
63
Der Angreifer verfügt zusätzlich zu einer bestimmten Menge Geheimtext auch noch zumindest über Teile des dazugehörigen Klartextes. 3. Chosen-Plaintext-Angriff198 Der Angreifer kann einen Klartext seiner Wahl vorgeben und erhält den dazugehörigen Geheimtext. Beim Chosen-Plaintext-Angriff handelt es sich um den Standardangriff auf asymmetrische Verschlüsselungsverfahren, da bei ihnen der öffentliche Schüssel zum Chiffrieren gerade bekannt ist. 4. Chosen-Ciphertext-Angriff199 Der Angreifer kann einen Geheimtext wählen und erhält den dazugehörigen Klartext. 5. Brute-Force-Angriff200 Der Angreifer probiert einfach alle möglichen Schlüssel durch, bis der Klartext einen Sinn ergibt. 6. Angriff mit „Gewalt“ Der Angreifer geht mit Mitteln der körperlichen Gewalt, Bedrohung oder Bestechung gegen den Schlüsselinhaber vor. 2.
Man-in-the-Middle-Angriff
Als eines der wichtigsten Angriffszenarios soll in diesem Zusammenhang bereits der Man-in-the-Middle-Angriff (MITM) vorgestellt werden. In der Praxis besteht die Möglichkeit, dass der Angreifer aktiv in das Geschehen eingreift. Er kann sich in den Datenverkehr zwischen Sender und Empfänger einschalten und die zwischen ihnen ausgetauschten Daten manipulieren, löschen oder neu generieren (zur Veranschaulichung siehe Abbildung C.3 auf der nächsten Seite). Dabei kann er sich beim Sender als Empfänger ausgeben und beim Empfänger als Sender.201 Den asymmetrischen Verschlüsselungsalgorithmen droht damit folgende Gefahr: Der Sender muss sich zu Beginn im asymmetrischen Verfahren zur Chiffrierung den öffentlichen (Teil-)Schlüssel des Empfängers eEmpfänger besorgen. Der dazwischengeschaltete Angreifer suggeriert nun dem Sender, er selbst wäre der Empfänger, und schickt ihm seinen eigenen öffentlichen Schlüssel eAngreifer . Der Sender verschlüsselt die Nachricht fälschlicherweise mit eAngreifer . Der Angreifer dechiffriert die Nachricht mit seinem eigenen privaten Schlüssel, liest sie, verschlüsselt sie danach mit eEmpfänger und schickt sie an den Empfänger weiter. Der 198 199 200 201
Angriff mit gewähltem Klartext. Angriff mit gewähltem Geheimtext. Angriff mit brachialer Gewalt. Schneier, Angewandte Kryptographie, S. 58.
64
C.
Kryptologische Grundlagen
bemerkt nicht, dass die Nachricht nicht direkt vom Sender stammt, sondern vom Angreifer inzwischen gelesen wurde. Er kann die Nachricht problemlos mit seinem privaten Schlüssel dechiffrieren. Bei einer Antwort geht der Angreifer analog vor.202
Abbildung C.3: Der Man-in-the-Middle-Angriff auf ein asymmetrisches Kryptosystem
IV.
Public-Key-Infrastrukturen
Weil die asymmetrischen Verschlüsselungsalgorithmen das Problem des Schlüsselaustausches203 nur für den Fall eines rein passiven Man-in-the-Middle-Angreifers lösen,204 aber nicht vor Fälschung und Missbrauch der öffentlichen Schlüssel schützen, bedarf es für die Verteilung, Speicherung und Sperrung der öffentlichen Schlüssel daher eines speziellen organisatorischen Unterbaus, der Public-KeyInfrastructure (PKI).205 Es gibt (noch) keine globale Public-Key-Infrastruktur, vielmehr werden solche Infrastrukturen von verschiedenen staatlichen und privaten Stellen206 mit unterschiedlichen Sicherheitsanforderungen und Vorgehensweisen realisiert.207 Sie sollen sicherstellen, dass der Angreifer den öffentlichen Schlüssel Zum Ganzen: Wobst, Abenteuer Kryptologie, S. 155. Siehe Abschnitt b) auf Seite 58. Siehe Abschnitt 5. auf Seite 59. Eine ausführliche Darstellung des Aufbaus einer PKI findet sich in Anhang C, Abschnitt II. auf Seite 474 ff. 206 Für eine Liste der in Deutschland nach dem Signaturgesetz tätigen Zertifizierungsdienstanbieter bei der Bundesnetzagentur siehe: https://www.nrca-ds.de/ZDAliste.htm (Stand: Dezember 2017). 207 Für Beispiele der Umsetzung verschiedener Infrastrukturen siehe: Schmeh, Kryptografie, S. 580 ff.
202 203 204 205
IV. Public-Key-Infrastrukturen
65
des Empfängers nicht korrumpieren kann und der Sender seine Nachricht auch wirklich mit dem gewünschten öffentlichen Schlüssel chiffriert. 1. Authentizität des öffentlichen Schlüssels Weil der Sender eben nicht sicher sein kann, dass er wirklich den öffentlichen Schlüssel des Empfängers benutzt, handelt es sich im Kern um ein Problem der Authentizität des jeweiligen öffentlichen Schlüssels. Authentizität, also die Feststellbarkeit des Inhabers des öffentlichen Schlüssels,208 wird durch digitale Signaturen209 erreicht. Unter einer digitalen Signatur (in einer Public-Key Infrastruktur spricht man von einem digitalen Zertifikat210) kann man sich vereinfacht als das elektronische Pendant zur handschriftlichen Unterschrift vorstellen. Umgesetzt kann es durch die Verwendung bestimmter asymmetrischer Algorithmen211 werden, nur ist dabei der Ablauf der Algorithmen umzukehren. Eine Signatur wird aus der zu signierenden Information mit Hilfe eines geheimen Schlüssels berechnet und kann mit einem öffentlichen Schlüssel überprüft werden. Nur der Inhaber des geheimen Schlüssels kann die Signatur erstellen, jedermann kann sie überprüfen.212 2.
Grundschema einer PKI
Ein bereitgestellter öffentlicher Schlüssel wird eindeutig einer bestimmten Person oder einem bestimmten System (Teilnehmer) zugeordnet, indem der Schlüssel von einer übergeordneten unabhängigen Instanz – Certification Authority (CA) genannt – zertifiziert wird. Das bedeutet, der Schlüssel wird mit zusätzlichen Informationen personalisiert und digital signiert. Diese Signatur wiederum kann mit dem öffentlichen Schlüssel der Certification Authority kontrolliert werden. Sie bürgt so für die Unverfälschtheit und Gültigkeit des öffentlichen Schlüssels. Die CA muss damit absolut vertrauenswürdig sein, da sie jederzeit in der Lage wäre, einen gefälschten Schlüssel zu signieren. Die Authentizität des öffentlichen Schlüssels der Certification Authority (Erst-CA) hingegen ist durch eine weitere digitale Signatur von einer anderen CA (Zweit-CA) zertifiziert und kann mit dem öffentlichen Schlüssel dieser Zweit-CA kontrolliert werden (CA-Zertifikat). Deren öffentlicher Schlüssel wieder von einer weiteren Certification Authority geprüft usw. Auf diese Weise entsteht eine Kette von Certification Authorities, der sogenannte Zertifizierungspfad. Dem letzten Glied dieser Kette (der letzten, der 208 Zur Authentizität siehe oben Abschnitt 2. auf Seite 55. 209 Dazu ausführlich unter Abschnitt V. auf der nächsten Seite. 210 Im Engl.: Certificate. Als Standard für digitale Zertifikate hat sich das X.509-Protokoll etabliert, vgl. Abschnitt a) auf Seite 474. 211 Vgl. Abschnitt 2. auf Seite 437. 212 Zum Prinzip: Schmeh, Kryptografie, S. 184.
66
C.
Kryptologische Grundlagen
sogenannten Root-CA) muss allerdings vertraut werden.213 Das Vertrauen in diese letzte Instanz wird damit von CA zu CA weitergegeben (Chain of Trust).214 Veranschaulichen lässt sich dieses Prinzip, wenn man als Bild für den öffentlichen Schlüssel abermals den vom Empfänger öffentlich aufgestellten Briefkasten heranzieht.215 Ein Man-in-the-Middle-Angreifer würde den Briefkasten des Empfängers durch seinen eigenen Briefkasten mit seinem Schloss ersetzen. Der Sender könnte den Unterschied nicht bemerken und würfe seinen Brief ein. Nachdem der Angreifer den Inhalt des Briefes gelesen hätte, klebte er den Brief wieder zu und steckte ihn in den wieder am gleichen Ort platzierten Briefkasten des Empfängers. Die Signatur der Certification Authority wäre in diesem Bild ein Namensschild, durch einen Stempel untrennbar und unfälschbar mit dem Briefkasten verbunden. Einen Brief würde man nur einwerfen, wenn man sich vergewissert hätte, dass der gewünschte Name vorhanden und der Stempel unversehrt ist. Allerdings muss auch die Echtheit des Stempels wiederum kontrollierbar, also von einer anderen CA bescheinigt sein usw. Einem (letzten) Stempel muss dann aber vertraut werden.216
V.
Digitale Signaturen
Um die Vertraulichkeit des Nachrichtenaustausches auch im Falle eines aktiven Angreifers zu gewährleisten, kommt man, wie im vorherigen Abschnitt beschrieben, selbst beim Einsatz von asymmetrischen Verschlüsselungsalgorithmen nicht um den Aufbau einer Public-Key-Infrastruktur herum.217 Integraler Bestandteil dieser Infrastruktur ist der Einsatz von digitalen Signaturen.218 Nur mit ihrer Hilfe lässt sich der Absender einer Nachricht (Authentizität) und damit eben auch der Inhaber des öffentlichen Schlüssels garantieren. Zur Verwirklichung des Ziels der Vertraulichkeit spielen digitale Signaturen daher als Hilfswerkzeug eine wichtige Rolle. Darüber hinaus erfüllen digitale Signaturen noch andere, weniger klassische Aufgaben innerhalb der Kryptologie. So kann zum Beispiel auch die Authentizität und Integrität von Nachrichten und nicht die Geheimhaltung 213 Dazu: Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 213 ff.; Buchmann, Einführung in die Kryptographie, S. 245 f.; Wilke/Küsters, Moderne Kryptographie, S. 265 f. 214 Paar/Pelzl, Understanding Cryptography, S. 347. 215 Siehe bereits: Abschnitt 5. auf Seite 59. 216 Zu dieser Veranschaulichung mit leichten Abwandlungen siehe: Beutelspacher, Kryptologie, S. 123. 217 Vergleiche Abschnitt IV. auf Seite 64. 218 Weitere Informationen zur Funktionsweise von digitalen Signaturen sind in Anhang C, Abschnitt III. auf Seite 480 zu finden.
VI. Hashfunktionen
67
Primärziel des Anwenders sein.219 Etwa wenn die Eigenschaften von Unterschriften im elektronischen Geschäftsverkehr gewünscht werden.220 Das Ziel der eindeutigen Zurechenbarkeit einer Nachricht (oder eines öffentlichen Schlüssels etc.) zu einer bestimmten Person kann nicht einfach analog zum nicht-elektronischen Alltag durch eine eingescannte und angefügte handschriftliche Unterschrift erreicht werden, weil eine derartige Digitalisierung der Unterschrift leicht zu kopieren wäre. Im elektronischen Bereich muss ein anderer Weg gewählt werden.221 Das grundsätzliche Prinzip bleibt aber das gleiche wie bei der handschriftlichen Unterschrift. Der Sender (der Signierende) versieht die Nachricht mit einem eindeutigen Erkennungszeichen. Dieses Erkennungszeichen kann nur vom Signierenden erzeugt, aber von jedermann kontrolliert und dem Signierenden zugeordnet werden. Elektronisch umsetzen lässt sich dieses Prinzip mit Hilfe der bereits erwähnten asymmetrischen Algorithmen222 wie folgt: Der Signierende wählt ein geheimes Passwort zum Signieren und ein öffentliches Passwort für Jedermann zum Verifizieren aus. Auf seine Nachricht wendet er eine Signatur-Funktion unter Einbeziehung des geheimen Passwortes an. Da nur ihm das (geheime) Passwort bekannt ist, kann auch nur er die spezifische Signatur erzeugen. Jeder Empfänger muss nun mit Hilfe einer Verifizier-Funktion und des öffentlichen Schüssels die Richtigkeit der Signatur überprüfen können.223 Veranschaulichen lässt sich die Funktionsweise durch den Vergleich mit einem gläsernen Tresor. Nur der Eigentümer des Tresors ist im Besitz des Schlüssels. Nur er ist daher in der Lage, Dokumente im Tresor zu platzieren (signieren). So können alle im Tresor befindlichen Dokumente ihm zugeordnet werden. Hineinschauen und damit die Zuordnung des Dokuments verifizieren kann aber jedermann.224 VI.
Hashfunktionen
Abschließend soll noch kurz auf kryptologische Hashfunktionen225 als weiteren wichtigen Grundbaustein einer Verschlüsselungsinfrastruktur hingewiesen werden. Sie erzeugen aus einer Nachricht eine Art digitalen unveränderlichen Fingerab219 Siehe bereits Abschnitt 2. auf Seite 55. 220 Dazu zählen insbesondere die Echtheits-, Identitäts-, Abschluss- und Verifikationseigenschaft, vgl. Beutelspacher/Schwenk/Wolfenstetter, Moderne Verfahren der Kryptographie, S. 16 f. 221 Dazu Buchmann, Einführung in die Kryptographie, S. 203. 222 Insbesondere mit RSA als Signaturverfahren, vgl. Anhang C, Abschnitt 1. auf Seite 480 ff. und dem Digital Signature Algorithm (DSA), vgl. Anhang C, Abschnitt 3. auf Seite 484 ff. 223 Hierfür Beutelspacher/Schwenk/Wolfenstetter, Moderne Verfahren der Kryptographie, S. 17. 224 Vergleich aus Schwenk, Sicherheit und Kryptographie im Internet, S. 14. 225 Details in Anhang C, Abschnitt IV. auf Seite 486 ff.
68
C.
Kryptologische Grundlagen
druck, den Hash-Wert226 dieser Nachricht.227 Kryptologische Hashfunktionen dienen unter anderem dem Ziel, die Integrität228 von Nachrichten oder Daten im unsicheren Bereich überprüfen zu können.229 Oft werden sie auch in Verbindung mit digitalen Signaturen eingesetzt, denn die dort zum Einsatz kommenden Algorithmen arbeiten sehr zeitintensiv mit Signaturlängen in Abhängigkeit von der Eingabe-Nachrichtenlänge.230 Daher wird in der Praxis, zuvorderst aus Praktikabilitätsgründen, erst mittels einer Hashfunktion ein sogenannter Hash-Wert erzeugt und nur von diesem dann eine digitale Signatur.231 Die Vorschaltung der Hashfunktion dient aber gleichzeitig auch der Sicherheit, etwa der Vermeidung von No-Message-Attacks.232 Gleichzeitig wird mit Hilfe von Hash-Werten auch die Speicherung und Kontrolle von Passwörtern im Klartext vermieden.233 Wichtige Hashfunktionen sind etwa Message Digest 5234 und die Secure-Hash-AlgorithmFamilie.235
226 Im Engl. oft anschaulich als Message Digest (Nachricht-Extrakt) bezeichnet. 227 Beutelspacher/Schwenk/Wolfenstetter, Moderne Verfahren der Kryptographie, S. 13. 228 Die Kontrolle, ob die Nachricht nachträglich verändert worden ist. Siehe dazu bereits Abschnitt 2. auf Seite 55. 229 Wilke/Küsters, Moderne Kryptographie, S. 193. 230 Dazu ausführlich Abschnitt V. auf Seite 66. 231 Ertel, Angewandte Kryptographie, S. 100. 232 Siehe Abschnitt b) auf Seite 483. 233 Fumy/Rieß, Kryptographie, S. 280 f. 234 Anhang C, Abschnitt a) auf Seite 488. 235 Anhang C, Abschnitt b) auf Seite 488.
Zweiter Teil Informationstechnologische Analyse D.
I. 1.
Einleitung
Erläuterung und Eingrenzung des Untersuchungsgegenstandes Eigenständigkeit und lokaler Ansatzpunkt der Überwachungsmaßnahme
Untersuchungsgegenstand dieser informationstechnologischen Analyse sollen ausschließlich solche Überwachungsmaßnahmen sein, die sich eigenständig durchführen lassen, ohne die Notwendigkeit des Mitwirkens von Kommunikationsdienstleistungsanbietern oder staatlicher Behörden anderer Nationalstaaten. Eine solche eigenständige Überwachungsmaßnahme könnte im Inland theoretisch auf der gesamten, von den Daten zurückgelegten Route zwischen Sender und Empfänger ansetzen. Je nachdem, an welchem Punkt der Route angesetzt wird, ergeben sich völlig andere technische Voraussetzungen und sind andere Maßnahmen zur Überwachung erforderlich. Um den Sachverhalt en détail beleuchten zu können und ein Ausufern der Analyse zu vermeiden, wird der Untersuchungsgegenstand eingegrenzt. Diese Arbeit nimmt nur den Nahbereich des Aufenthaltsortes der Zielperson ins Visier. So wird auch sichergestellt, dass sich der Überwachungsvorgang im eigenen staatlichen Souveränitätsbereich vollziehen kann. Die Arbeit konzentriert sich gänzlich auf lokale Funknetzwerke, sogenannte Wireless Local Area Networks (Wireless LAN/WLAN), wie sie inzwischen als Standard in nahezu allen Haushalten und kleineren Büros zu finden sind.236 Denn alle Wireless Local Area Networks gleichen sich in Übertragungstechnologie und Arbeitsweise, unabhängig von der im eigentlichen Anschluss verwendeten Breitbandtechnologie. Ob im weiteren Verlauf der Datenübertragung („nach dem Router“) die Daten über das Telefonnetz oder das Kabelfernsehnetz übertragen werden, hat keinen Einfluss auf das lokale Netzwerk. 236 Zur weiteren Eingrenzung in Bezug auf die Modi von WPA2 siehe in Abschnitt (bb) auf Seite 49.
70
D.
2.
Einleitung
Vorgehen ohne Eindringen in das informationstechnische Endgerät
Als Ort des Mitlesens bzw. Mitschneidens der Inhaltsdaten wird ein Punkt innerhalb des lokalen Netzwerkes gewählt, somit bevor die Datenpakete das (weitere) InternetNetzwerk erreicht haben. Die Überwachung in einem solchen Szenario geschieht aus Sicht der Netzwerktopologie „von innen“ heraus. Sie erfolgt aber im Gegensatz zu einem „Staatstrojaner“ ohne vollständige Infiltration des Endgerätes eines Benutzers, aus Sicht des (Computer-, Tablet-, Smartphone- etc.)Anwenders daher immer noch „von außen“. Ansatzpunkt einer solchen Überwachungsmaßnahme ist hier also allein die Strecke zwischen Benutzer-Endgerät und lokalem Router. Eine Besonderheit dieses Ansatzpunktes liegt darin, dass sich an dieser Stelle, aus Sicht der Strafverfolgungsbehörden leicht ein Man-in-the-Middle-Szenario etablieren lässt welches wiederum (unter bestimmten Umständen) das Überwinden von Verschlüsselung erlaubt. Betroffen sind dabei vornehmlich solche Daten, die mit Zustimmung des Nutzers dessen die Endgeräte verlassen. Ein Ausspähen der auf dem Endgerät gespeicherten Daten soll bei dieser Methode gerade nicht möglich sein. Trojaner und Exploit- oder Crimeware-Kits, die Schadcode auf das informationstechnische System der Ziel-Person schreiben,237 sind daher gerade nicht Gegenstand dieser informationstechnologischen Untersuchung. 3.
Überprüfbarkeit des Vorgehens als methodische Voraussetzung
Eine weitere Eingrenzung des zu untersuchenden Sujets soll in Bezug auf die potentiellen Mittel einer Überwachungsmaßnahme erfolgen. Weil lokale Funknetzwerke, ebenso wie manche Kommunikationsanwendungen, oft in besonderer Weise mit Hilfe von Verschlüsselung gegen den Zugriff von Unbefugten gesichert sind, ist ein „Abhören“ teilweise mit der Ausnutzung von Sicherheitslücken und Schwachstellen in den jeweiligen Protokollen und Anwendungen verbunden. An solchen Sicherheitslücken und Schwachstellen besteht (leider) kein Mangel. Es wird geschätzt, dass selbst bei großen Softwarefirmen im Schnitt 0,5 solcher Fehler pro 1000 Zeilen Programmiercode auftreten; zum Vergleich, der Browser Google Chrome besteht aus geschätzten 7 Millionen Zeilen Quellcode, was insgesamt ca. 3500 Fehlern allein für diese Anwendung entsprechen würde.238 Dennoch ist in diesem Bereich die Quellenlage dürftig und wenig gesichert. Analysiert werden sollen daher exemplarisch vor allem solche Methoden, bei denen das Exploitieren der Sicherheitslücken als Teil der Analyse vom Autor aktiv nachvollzogen und daher nachgewiesen werden kann. Während sich die direkt anschließenden Ausführungen vornehmlich auf eine deskriptive Darstellung beschränken, finden sich 237 Wie z.B. Exploit-Kits wie „Sweet Orange“ oder das RIG-Exploit-Kit, vgl. c’t Magazin für Computer und Technik, Heft 18, 08.08.2015, S. 83, oder auch bei der Methode des Einschleusens eines „Staatstrojaners“. 238 Vgl. „Why everything is hackable“, The Economist, 08.04.2017, S. 70.
II. Gang der Analyse
71
die Ergebnisse der tatsächlichen Durchführung weit überwiegend im Anhang ab Seite 355 ff. und sind in weiten Teilen in Form von Screenshots dokumentiert. Im Fokus dieser Analyse stehen also solche Schwachstellen, für die bereits Tools oder Exploits frei in Umlauf sind und die Ergebnisse deshalb verlässlich verifiziert werden können. Gezeigt wird daher nur die „Spitze des Eisbergs“ des Möglichen. Mit eigenständig programmierten und maßgeschneiderten Tools ließen sich noch viel weitergehende Szenarien realisieren. 4.
Aktualität der Untersuchung
Ein weiteres grundsätzliches Problem dieses Themengebietes, vor allem im Rahmen einer fundierten, wissenschaftlichen Auseinandersetzung, stellt seine Schnelllebigkeit dar. Es werden in kurzer Abfolge neue Sicherheitslücken entdeckt und wieder geschlossen.239 Auch wenn aktuelle Sicherheitslücken ergänzt und Verfahren aktualisiert wurden (Stand: Dezember 2017), spiegelt die Untersuchung in einigen Teilen den technologischen Stand beim Entstehen dieses Abschnitts der Arbeit wieder (2015). Daher werden bei Erscheinen dieses Werkes die hier beschriebenen Einfallstore bereits wieder geschlossen sein. Auch wenn alte Sicherheitslücken geschlossen werden, werden jederzeit wieder neue entdeckt.240 Das Prinzip des Vorgehens bleibt daher gleich. Die nachfolgende Analyse kann somit auch für die Zukunft als exemplarische Darstellung verstanden werden.241 Die daraus abgeleiteten rechtlichen Handlungskategorien sind entsprechend abstrahiert, allgemein gehalten und unabhängig von dem jeweils aktuellen informationstechnologischen Stand der Dinge.242 II.
Gang der Analyse
Aus informationstechnologischer Sicht ist es zunächst (in den meisten Anwendungsfällen) notwendig, sich überhaupt Zugriff auf das (fremde) lokale Netzwerk von Interesse und seine Datenströme zu verschaffen (§ E auf der nächsten Seite ff.). Erst dann kann versucht werden, den gesamten Netzwerkverkehr auszuwerten und auf relevante inhaltliche Daten zu analysieren (§ F auf Seite 113 ff.). Abschließend sollen die Ergebnisse der Analyse übersichtsartig zusammengefasst und abstrahiert werden, um Folgerungen für die nachfolgende rechtliche Analyse ziehen zu können und den Untersuchungsgegenstand für ebendiese rechtliche Analyse festzulegen (§ G auf Seite 142 ff.). 239 Zu diesem permanenten Katz-und-Maus-Spiel noch ausführlich in Abschnitt ff) auf Seite 134. 240 Man denke nur an die gravierende Sicherheitslücke namens KRACK vom Oktober 2017, vgl. Abschnitt (bb) auf Seite 101. 241 Eine gesamte Darstellung aller Sicherheitslücken, Einfallstore und Methoden wäre zum einen gar nicht möglich und zum anderen auch nicht Aufgabe dieser Arbeit. 242 Siehe § G auf Seite 142.
E.
Der Zugriff auf den Datenverkehr eines lokalen Funknetzwerks
I.
Einführung
Der Zugriff auf das (fremde) lokale Funknetzwerk von Interesse und seine Datenströme lässt sich wiederum in drei (Teil-)Maßnahmen aufgliedern: In einem ersten Schritt ist zunächst das lokale Netzwerk der Ziel-Person zu identifizieren und zu lokalisieren.243 In einem zweiten, sich anschließenden Schritt müssen sich die Strafverfolgungsbehörden Zugang zu diesem (fremden) Netzwerk verschaffen.244 Der Zugang zum fremden Netzwerk begründet aber nicht automatisch die Möglichkeit, den gesamten Datenverkehr des Netzwerks auch mitlesen zu können. Unter Umständen muss der Datenstrom im Netzwerk noch in einem dritten Schritt umgeleitet oder anderweitig beeinflusst werden, um an den Datenverkehr der anderen Hosts innerhalb des Netzwerkes zu gelangen.245
II.
Der Zugriff auf lokale Funknetzwerke (Wireless LAN)
Wie in den Grundlagen bereits ausgeführt, hat der Verzicht auf einen physikalischen Träger (Kabel) und die ersatzweise Nutzung elektromagnetischer Wellen (Funk) als Übertragungsmedium grundsätzliche Nachteile in puncto Sicherheit.246 Bei Nutzung im Innenbereich kann davon ausgegangen werden, dass trotz der dämpfenden Wirkung von Wänden und Mauern der Empfangsbereich mindestens 50 Meter beträgt, oft auch durchaus mehr.247 Das setzt also (nur) voraus, dass sich das zur Überwachung genutzte Gerät (prinzipiell genügt ein handelsüblicher Laptop) zumindest zeitweise in gewisser räumlicher Nähe zum Zielgerät befindet. 243 244 245 246 247
Abschnitt 1. auf der nächsten Seite. Abschnitt 2. auf Seite 78. Abschnitt 3. auf Seite 105. Siehe Abschnitt (c) auf Seite 48. Rech, Wireless LANs, S. 414.
II. Der Zugriff auf lokale Funknetzwerke (Wireless LAN)
73
Der bereits erwähnte 802.11-Standard248 ist im Bereich des lokalen Heimnetzwerkes nicht nur der wichtigste Standard,249 sondern nimmt heute eine absolut dominierende Rolle ein.250 Deshalb wird hier der Fokus ausschließlich auf IEEE 802.11 gelegt. Andere angedachte Lösungen wie HiperLAN oder HomeRF spielen keine Rolle mehr. Bluetooth hingegen ist nur für den engsten Nahbereich konzipiert und damit ein Wireless Personal Area Network (WPAN)251 und als solches in diesem Kontext kein sinnvoller Untersuchungsgegenstand.
1.
Lokalisieren und Zuordnen des Access Points
Zunächst müssen vor Ort252 die verfügbaren drahtlosen Zugangspunkte (Access Points) analysiert werden. Die Access Points (AP) sind heute in der Regel als Baueinheit in dem „DSL-Router“ für den Internetzugang integriert (die „Antenne am Router“), so dass nach außen kein Unterschied zwischen Access Point und „Router“ besteht, weil es es sich um ein Gerät handelt. Ausfindig gemacht werden die Access Points durch Auswertung der Funksignale.253 Dann kann aus den verfügbaren Netzwerken das gesuchte Ziel-Netzwerk ausgewählt bzw. der Zielperson zugeordnet werden.254
a)
Grundlagen
Wie bereits erläutert,255 setzt der Infrastruktur-Modus eine zentrale Funkzelle als Access Point voraus; diese bildet den Übergang in die sich anschließenden kabelgebundenen Netzwerke wie das Internet-Netzwerk. Der Access Point regelt den Zugriff der Nutzer auf das Funknetzwerk, er ist also für die Authentifizierung und Assoziierung zuständig. Diese Funktion setzt voraus, dass ein neu teilnehmender Host herausfinden können muss, welcher Access Point überhaupt in Reichweite liegt und mit welchem er wie in Verbindung treten kann.256 248 Abschnitt (1) auf Seite 47 ff. Für mehr Informationen siehe Anhang B, Abschnitt b) auf Seite 388 ff. 249 Als Beispiel für viele andere: Kurose/Ross, Computernetzwerke, S. 571; Tanenbaum/Wetherall, Computernetzwerke, S. 349. 250 Rech, Wireless LANs, S. 3. 251 Rech, Wireless LANs, S. 3. 252 In räumlicher Nähe zur Adresse/Aufenthaltsort der Zielperson. 253 Abschnitt b) auf Seite 75. 254 Abschnitt d) auf Seite 77. Einzelheiten in Anhang A, Abschnitt 1. auf Seite 355 ff. 255 Siehe Abschnitt (a) auf Seite 47. 256 Rech, Wireless LANs, S. 216.
74
aa)
E.
Der Zugriff auf den Datenverkehr eines lokalen Funknetzwerks
Aktives und passives Scannen
Ein jeder Host sucht daher standardmäßig auf den verschiedenen Frequenzen nach verfügbaren Access Points.257 Dieser Vorgang wird als Scanning bezeichnet.258 (1)
Service Set Identifier (SSID)
Um einen Access Point eindeutig zuordnen zu können, wird auf den Service Set Identifier (SSID)259 bzw. den Basic Service Set Identifier (BSSID) zurückgegriffen. Letzterer besteht in der Regel aus der MAC-Adresse260 des WLAN-Interfaces des Access Points und dient der Adressierung der Frames an die richtige Funkzelle. Der Service Set Identifier hingegen identifiziert das Wireless LAN in Gänze.261 Er wird umgangssprachlich als „Netzwerkname“ bezeichnet, besteht aus bis zu 32 alphanumerischen Zahlen und kann frei gewählt werden. Über ihn werden also mehrere WLANs im Empfangsbereich eines Hosts logisch getrennt.262 Es gibt zwei Möglichkeiten die verfügbaren Access Points (und SSIDs) zu ermitteln: (2)
Aktives Scannen
Beim aktiven Scannen versendet der Host spezielle Dateneinheiten (sogenannte Probe-Request-Frames) per Broadcast.263 Er erhält als Antwort von allen Access Points in Reichweite sogenannte Probe-Response-Frames mit Informationen zum jeweiligen Netzwerk.264 (3)
Passives Scannen
Beim passiven Scannen wartet der Host auf den Empfang sogenannter Beacon265Frames. Der IEEE 802.11-Standard sieht vor, dass jeder Access Point von Zeit zu Zeit diese Dateneinheiten versendet und derart seine Existenz kundtut (Beacon Broadcast).266 In der Regel sendet jeder Access Point etwa alle 100 Millisekunden ein Beacon-Frame.267 257 258 259 260 261 262 263 264 265 266 267
Sauter, Grundkurs Mobile Kommunikationssysteme, S. 306. Rech, Wireless LANs, S. 216. Siehe bereits Abschnitt (b) auf Seite 48. Siehe Abschnitt (e) auf Seite 50. Im Falle des Einsatzes von mehreren Access Points innerhalb eines WLANs bekommen also alle APs die gleiche SSID. Zum Ganzen: Rech, Wireless LANs, S. 51 f. Ein Paket, das an alle Teilnehmer eines Netzwerks gerichtet ist und von allen verarbeitet wird, vgl. Tanenbaum/Wetherall, Computernetzwerke, S. 40. Dazu: Rech, Wireless LANs, S. 211. Engl. für Leuchtfeuer. Dazu: Rech, Wireless LANs, S. 211 f. Sauter, Grundkurs Mobile Kommunikationssysteme, S. 305.
II. Der Zugriff auf lokale Funknetzwerke (Wireless LAN)
bb)
75
Beacon-Frame und Probe-Response-Frame
Mit den Beacon-Frames teilt der Access Point dem potentiellen (neuen) Host gleichzeitig die für die Verbindungsaufnahme wichtigen Informationen mit. BeaconFrames enthalten unter anderem Informationen wie den Service Set Identifier des Heimnetzwerkes, die BSSID oder Informationen zur Verschlüsselung.268 Probe-Response-Frames enthalten nahezu die gleichen Informationen wie die Beacon-Frames.269 b)
Lokalisieren funkbasierter Netzwerke
Die soeben beschriebenen Protokoll-Festlegungen und Informationsweitergaben gelten natürlich für jegliche potentiellen Hosts und damit für alle Empfangsgeräte in Reichweite gleichermaßen. Daher kann das Scanning wiederum vor Ort dafür genutzt werden, funkbasierte Heimnetzwerke in der Umgebung zu identifizieren, um so das gewünschte Ziel-Netzwerk zu lokalisieren. Umgesetzt werden kann diese Aufgabe von Network Detector Software, wie z.B. der freien Software Kismet, die die Informationen auch aufbereitet. Kismet ist ein rein passiver Scanner im Gegensatz zu aktiven Scannern wie Netstumbler oder inSSIDer.270 Passive Scanner bleiben unbemerkt. Die Probe-Request-Frames des aktiven Scanners hingegen könnten im Access Point protokolliert werden.271 Kismet kann die Netzwerkinformationen mit GPS-Daten272 verknüpfen.273 Graphische Benutzeroberflächen für Kismet können die Daten aufbereiten und in Karten einbetten (vgl. Abbildung E.1 auf der nächsten Seite).274 Kismet ist weiterhin in der Lage, eine Auflistung der jeweils mit dem Access Points verbundenen Endgeräte zu erstellen und derart bereits Informationen über die Struktur des (Heim-)Netzwerks zu liefern (vgl. Abbildung E.2 auf der nächsten Seite). c)
Hidden Network
Viele Access Points erlauben als zusätzliche „Sicherheitsmaßnahme“ in ihren Einstellungen das Unterdrücken des Service Set Identifiers im Beacon-Broadcast275 bzw. das Abschalten des gesamten Beacon-Broadcasts, so dass der Service Set Rech, Wireless LANs, S. 572. Für den Aufbau der Frames siehe Anhang A, Abschnitt a) auf Seite 355 f. https://kismetwireless.net/documentation.shtml (Stand: Dezember 2017). Osterhage, sicher & mobil: Sicherheit in der drahtlosen Kommunikation, S. 118. Global Positioning System. https://kismetwireless.net/documentation.shtml (Stand: Dezember 2017). Hier Kismon als GUI für Kismet. Screenshots von: http://www.salecker.org/software/ kismon (Stand: Dezember 2017). 275 Präziser: Das entsprechende Feld im Frame wird auf 0 gesetzt.
268 269 270 271 272 273 274
76
E.
Der Zugriff auf den Datenverkehr eines lokalen Funknetzwerks
Abbildung E.1: Mit Kismon aufbereitete Informationen über gescannte Netzwerke
Abbildung E.2: Auflistung der mit einem Netzwerk assoziierten Hosts
II. Der Zugriff auf lokale Funknetzwerke (Wireless LAN)
77
Identifier auf den ersten Blick „versteckt“ erscheint. Sucht man mit einem „normalen“ Netzwerkmanager die verfügbaren Netzwerke ab, erscheint das Netzwerk mit einem Mal nicht mehr. Für eine Verbindungsaufnahme kann es nicht mehr einfach ausgewählt werden, sondern muss manuell konfiguriert werden. Da der Service Set Identifier für die manuelle Konfiguration bekannt sein muss, soll derart die Verbindungsaufnahme erschwert werden. In einem solchen Fall lässt er sich dennoch sehr einfach ausfindig machen. Ein passiver Scanner kann ihn beim Datenaustausch zwischen Access Point und Host auslesen. Denn in den Probe-Response-Frames wird der Service Set Identifier auch weiterhin unverschlüsselt übermittelt.276 d)
Zuordnung zum Ziel der Infiltration
Befinden sich mehrere, überlappende Access Points im Empfangsbereich, muss zwischen den verfügbaren Netzwerken das Netzwerk ausgewählt werden, das der Ziel-Person bzw. Ziel-Adresse zugeordnet werden kann. Im einfachsten Fall wäre vorstellbar, dass ein freigewählter Service Set Identifier bereits einen Hinweis auf den Betreiber gibt. Sollte das nicht der Fall sein, weil etwa der vom Hersteller voreingestellte Netzwerkname nicht verändert wurde, muss auf das Funksignal als Anhaltspunkt zurückgegriffen werden. Die Richtwerte für die erzielbaren Reichweiten in Abhängigkeit von der maximalen Datenrate können als Ausgangspunkt dienen.277 Der Access Point verändert die Datenrate in Abhängigkeit von der Qualität der Frequenzen (Link Rate Adaptation).278 So kann zum Beispiel nach IEEE 802.11g die maximale Datenrate von 54 MB/s auf 48, 36, 24, 18, 12, 1, 9 oder 6 MB/s gesenkt werden.279 Auch sind die Dämpfungseigenschaften verschiedenster Materialen bekannt und erlauben Rückschlüsse auf die tatsächliche Entfernung zum Access Point.280 Bewegt sich der Scanner, kann die sich verändernde Signalstärke zur Lokalisierung des Access Points herangezogen werden. Es existieren verschiedene „Localization Algorithms,“281 die aus einem Set protokollierter Signalstärken an verschiedenen Orten auf den genauen Standort des Access Points schließen lassen.282 Vgl. Anhang A, Abschnitt a) auf Seite 355 ff. Siehe Tabelle 9-1 in Rech, Wireless LANs, S. 414. Holt/Huang, 802.11 Wireless Networks: Security and Analysis, S.167. Die Absenkung ist abhängig von der Signalstärke und dem Rauschen. Die Umsetzung im Konkreten dann aber herstellerspezifisch, vgl. Holt/Huang, 802.11 Wireless Networks: Security and Analysis, S. 167. 280 Siehe Tabelle 9-2 in Rech, Wireless LANs, S. 415 und Tabelle 9-5 in Rech, Wireless LANs, S. 419. 281 Die wichtigsten Algorithmen sind: „Centroid“, „Weighted Centroid“ und „Trilateration“, vgl. Han et al., Access Point Localization Using Local Signal Strength Gradient, S. 92. 282 Für die Funktionsweise des „Gradient Algorithm“ siehe Han et al., Access Point Localization Using Local Signal Strength Gradient, S. 93 ff. 276 277 278 279
78
E.
Der Zugriff auf den Datenverkehr eines lokalen Funknetzwerks
Im dichtbesiedelten urbanen Raum können semi-empirische Wellenausbreitungsmodelle wie etwa das COST-Walfisch-Ikegami-Modell283 weitere Hinweise liefern. Es hilft, Aussagen über die Wellenausbreitung in Abhängigkeit von Faktoren wie Breite der Straßen, Abstand der Gebäude oder Gebäudehöhe zu treffen.284 e)
Zusammenfassung: Lokalisieren und Zuordnen des Access Points
Ist die Adresse der Zielperson und damit der Standort des „Routers“ (präziser: des Access Points) bekannt, gibt es verschiedene Methoden, aus der Menge der verfügbaren Funk-Netzwerke das Ziel-Netzwerk herauszukristallisieren. Je nach Dichte der Besiedlung und Menge der vor Ort aufgespannten Wireless LANs ist der Aufwand dafür unterschiedlich hoch, sollte aber grundsätzlich kein Problem darstellen. Am einfachsten dürfte die Zuordnung über die Signalstärke (der Beaconbzw. Probe-Response-Frames) sein. Dafür muss der Überwachende seinen Standort in der Nähe des Ziel-Access-Points verändern und dabei die sich im Scanner-Tool verändernde Signalstärke protokollieren und auswerten. Die „Schutzmaßnahme“ der Hidden Network SSID hat keine Wirkung und kann leicht (etwa mit einem aktiven Scanner) umgangen werden. 2. Der Zugang zum (fremden) Wireless LAN Wurde das Ziel-WLAN erfolgreich identifiziert, kann daran gegangen werden, sich Zugang zu diesem Netzwerk zu verschaffen.285 Es werden im Folgenden drei denkbare Szenarien betrachtet. Das Ziel-Netzwerk wird ohne bestimmte Sicherheitsmechanismen und Zugangsbeschränkungen betrieben. Dann ist es auch unverschlüsselt.286 Oder es erfordert eine Authentifizierung und wird zum Schutz verschlüsselt. Dann müssen die verwendeten Sicherheitskonzepte Wired Equivalent Privacy (WEP)287 und Wi-Fi Protected Access (WPA) bzw. Wi-Fi Protected Access Version 2 (WPA2)288 betrachtet werden. In den einzelnen Szenarien ist für das bloße Mitschneiden der Kommunikationsdaten nicht immer der Zugang zum Netzwerk notwendig. Unter Umständen genügt auch das bloße passive „Mitlauschen“ von außen (etwa, wenn das Netzwerk von keinem Sicherheitsmechanismus geschützt wird). Der volle Zugriff auf das Netzwerk ist aber immer dann notwendig, wenn auf Man-in-the-Middle-Angriffe 283 https://altairhyperworks.com/product/FEKO/WinProp---Urban-and-Suburban (Stand: Dezember 2017). 284 Institut für Mobil- und Satellitenfunktechnik GmbH, Elektromagnetische Felder in NRW – Untersuchung der Immissionen durch Mobilfunk Basisstationen, S. 62. 285 Weitergehende Details zum Vorgehen finden sich in Anhang A, Abschnitt 2. auf Seite 356 ff. 286 Siehe nachfolgend Abschnitt a) auf der nächsten Seite. 287 Abschnitt b) auf Seite 80. 288 Abschnitt c) auf Seite 87.
II. Der Zugriff auf lokale Funknetzwerke (Wireless LAN)
79
zurückgegriffen werden muss, etwa weil Verschlüsselung oberhalb der Netzzugangsschicht zum Einsatz kommt.289 Daher wird bereits in den einzelnen Szenarien auch immer die Umsetzung des vollen Zugangs zum Netzwerk erläutert, so dass im weiteren Verlauf darauf zurückgegriffen werden kann. a) WLAN ohne Sicherheitsvorkehrungen Auch in einem unverschlüsselten Netzwerk ohne weitere Sicherheitsmechanismen besteht die Verbindung zum Netzwerk grundsätzlich aus den zwei Schritten Authentifizierung und Assoziierung. aa)
Authentifizierung und Assoziierung
Es kommt die Open System Authentication zum Einsatz.290 Es handelt sich dabei nicht um eine klassische Authentifizierung, denn der Zugang ist schließlich frei und jedem möglich. Ein Teilnehmer sendet lediglich ein spezielles Frame (Authentication-Request-Frame). Darin wählt er als Authentifizierungsalgorithmus die Open System Authentication aus. Ist der Access Point entsprechend (offen) konfiguriert, sendet er ein Authentication-Response-Frame als Bestätigung. Die Authentifizierung ist damit abgeschlossen.291 Nach erfolgreicher Authentifizierung läuft der Assoziierungsprozess dann über einen normalen Three-WayHandshake292 ab, unter Übergabe einer Association-ID, die eine Identifizierung des Hosts ermöglicht.293 bb)
Access Control List
Viele Access Points erlauben das Anlegen einer Access Control List.294 Es handelt sich um eine Liste zur Zugriffsbegrenzung (Ausschließlichkeitskriterium). Darin aufgeführt sind die MAC-Adressen derjenigen Endgeräte, denen der Zugriff auf das Netzwerk erlaubt sein soll. Bei Anmeldung prüft der Access Point, ob der potentielle Host in der Liste aufgeführt ist. Sollte das nicht der Fall sein, wird die Authentifizierungsanfrage abgewiesen.295 Weil die MAC-Adresse aber ähnlich wie bereits der Service Set Identifier296 in den Probe-Request-/Probe-Response-Frames unverschlüsselt übertragen wird, kann sie jederzeit mitgeschnitten werden. Sodann kann die MAC-Adresse des 289 Dazu dann in Abschnitt IV. auf Seite 118 ff. ausführlich. 290 Genau genommen ist die OSA auch ein Teil des WEP-Sicherheitskonzepts. Dazu mehr sogleich. 291 Dazu Sauter, Grundkurs Mobile Kommunikationssysteme, S. 307. 292 Association-Request, Association-Response mit Association-ID und ACK-Frame. 293 Rech, Wireless LANs, S. 231 f. 294 Teilweise auch MAC-Filter genannt. 295 Dazu Rech, Wireless LANs, S. 228 f. 296 Siehe Abschnitt c) auf Seite 75.
80
E.
Der Zugriff auf den Datenverkehr eines lokalen Funknetzwerks
überwachenden Wireless Adapters manuell in die MAC-Adresse eines im Netzwerk erlaubten Wireless Adapters gewechselt werden. Ein Konflikt entsteht nicht, beide Hosts mit der gleichen MAC-Adresse erhalten den gesamten Datenverkehr, der für diese MAC-Adresse bestimmt ist.
cc)
Zusammenfassung: WLAN ohne Sicherheitsvorkehrungen
Der Zugang zu einem Wireless LAN ohne Sicherheitsvorkehrungen und dessen Benutzung ist jedem jederzeit möglich. Die Sicherheitsmaßnahme der Access Control List ist sehr einfach zu umgehen und stellt keinen Mehrgewinn an Sicherheit dar. b)
WEP-verschlüsseltes WLAN
Kabelgebundene Netze setzen den physikalischen Zugang zum Netzwerk voraus. Sie bieten deshalb ein bestimmtes Grundmaß an Sicherheit. Der ursprüngliche IEEE 802.11-Standard verfolgte mit einem Sicherheitsalgorithmus das Ziel, das „Shared Medium“ Wireless LAN gleichwertig sicher zu machen, daher der Name dieses Sicherheitsalgorithmus: Wired Equivalent Privacy (WEP).297 Wired Equivalent Privacy arbeitet mit einem symmetrischen Verschlüsselungsverfahren.298 Beiden Parteien muss ein gemeinsames Geheimnis bekannt sein. Wired Equivalent Privacy überlässt den Schlüsselaustausch und die Schlüsselverwaltung dem Anwender und setzt voraus, dass der gemeinsame Schlüssel (Shared Key) über ein anderes, sicheres Medium übertragen wird.299 Das bedeutet in der Praxis, dass der Nutzer den Shared Key sowohl am Access Point als auch am Wireless Adapter des Hosts manuell einzutragen hat, sofern sie nicht bereits vorkonfiguriert sind.
aa)
Verschlüsselung bei WEP
Wired Equivalent Privacy erzeugt mit Hilfe des Shared Key der Nutzer einen pseudozufälligen Schlüsselstrom, den es bitweise mit dem Klartext verknüpft und so das Chiffrat erzeugt.300 297 Kurose/Ross, Computernetzwerke, S. 780. Weitere Einzelheiten in Anhang A, Abschnitt a) auf Seite 356 ff. 298 Abschnitt 4. auf Seite 57. 299 Osterhage, sicher & mobil: Sicherheit in der drahtlosen Kommunikation, S. 40. 300 Für die folgenden Ausführungen zur Verschlüsselung bei WEP siehe: Kurose/Ross, Computernetzwerke, S. 781 ff.; Rech, Wireless LANs, S. 223 ff.
II. Der Zugriff auf lokale Funknetzwerke (Wireless LAN)
(1)
81
Shared Key
Der Shared Key hat eine Länge von 40 oder 104 Bit.301 Einige wenige Hersteller bieten auch eine Schlüssellänge von 232 Bit an.302 40 Bit entspricht einer Länge von 5 alphanumerischen bzw. 10 hexadezimalen Zeichen, 104 Bit entspricht 13 alphanumerischen bzw. 26 hexadezimalen Zeichen. WEP kann mit bis zu vier verschiedenen Schlüsseln gleichzeitig arbeiten, auch wenn davon in der Praxis wenig Gebrauch gemacht wird. (2)
WEP-Seed/Gesamtschlüssel (=RC4-Schlüssel)
Der Shared Key und ein 24-Bit-langer (zufälliger) Initialisierungsvektor (IV) werden zum eigentlichen 64-Bit- bzw. 128-Bit-langen Gesamtschlüssel (WEPSeed genannt) verbunden. Für jede Dateneinheit wird zumindest theoretisch der Initialisierungsvektor gewechselt, jedes Datenpaket also mit Hilfe eines anderen Gesamtschlüssels chiffriert. Der variable Initialisierungsvektor ist notwendig, damit nie ein gleicher Klartext mit einem gleichem Schlüssel verknüpft wird. (3)
Verschlüsselungsvorgang
Wired Equivalent Privacy verwendet die Stromchiffre RC4303 zur Generierung des Schlüsselstroms.304 Aus dem Gesamtschlüssel (=RC4-Schlüssel) erzeugt der RC4-Algorithmus den pseudozufälligen Schlüsselstrom. Mit diesem werden Payload und angehängte Integrity Check Value305 eines jeden Datenpakets bitweise XOR-verknpüft.306 Das Resultat ist der verschlüsselte Datenstrom. (4)
Versendeter Datenteil bei WEP
Im endgültig versendeten Datenteil wird dem WEP-verschlüsselten Datenteil noch ein 32-Bit-langer Initialisierungsvektor-Teil vorangestellt. Er besteht aus dem erwähnten 24-Bit-Initialisierungsvektor zur Randomisierung, 6 Füll-Bits307 und 2 Bits für die Key-ID, die dem Empfänger mitteilt, welcher der vier Shared 301 Im IEEE 802.11-Grundstandard war ursprünglich nur ein 40-Bit-Schlüssel vorgesehen. 302 Tews, Attacks on the WEP protocol, S. 25. 303 Ausführlich zur Arbeitsweise des RC4-Algorithmus in Anhang C, Abschnitt bb) auf Seite 430. 304 Für Details zur Funktionsweise von Stromchiffren siehe Anhang C, Abschnitt bb) auf Seite 401 und Abschnitt d) auf Seite 429. 305 Zunächst wird aus der Payload (Datenteil des Frames) mit Hilfe des CRC-Algorithmus (Cyclic Redundancy Check, für Details siehe Tanenbaum/Wetherall, Computernetzwerke, S. 255 ff) eine Prüfsumme errechnet – im WEP-Kontext Integrity Check Value (ICV) genannt. Sie soll dem Empfänger dazu dienen, die Datenintegrität prüfen zu können. Der Integrity Check Value wird an jede Payload angehängt. 306 Für den Vorgang der XOR-Verknüpfung siehe Anhang D, Abschnitt 8. auf Seite 507. 307 Zum Prinzip des Paddings siehe Fußnote 1826 auf Seite 401.
82
E.
Der Zugriff auf den Datenverkehr eines lokalen Funknetzwerks
Keys verwendet wurde. Der IV-Teil wird nicht verschlüsselt, damit der Empfänger überhaupt in Erfahrung bringen kann, welchen Initialisierungsvektor und welchen der Shared Keys er zur Entschlüsselung benutzen muss. Das bedeutet aber auch, dass der Überwachende diese Informationen mitlesen kann.308 bb)
Authentifizierung und Assoziierung bei WEP
(1)
Verfahren
Für die Authentifizierung tauschen Host und Access Point vier Datenpakete aus (Challenge-Response-Verfahren). Der Host teilt dem Access Point zunächst mit, dass er sich über das WEP-Shared-Key-Verfahren authentifizieren möchte. Der Access Point antwortet mit einer 128-Bit-langen Zufallszahl (Nonce309), die er mit RC4-PRGA310 erzeugt (Challenge). Die Nonce chiffriert der Host mit Hilfe der soeben beschriebenen WEP-Verschlüsselung (Response). Der Access Point entschlüsselt diese Response-Nachricht und vergleicht das Resultat mit der zuvor erzeugten Nonce. Kam bei dem Entschlüsselungsvorgang die ursprüngliche Nonce heraus, geht der Access Point davon aus, dass der Host über den gleichen Shared Key verfügt, und teilt ihm dies über ein viertes Frame mit.311 Es folgt der bekannte Three-Way-Handshake zur Assoziierung. (2)
Fake Authentication
Diese Authentifizierungsroutine birgt ein großes Problem in sich. Denn der Überwachende kann dabei sowohl den Klartext (Nonce) im zweiten Frame als auch den Geheimtext (im dritten Frame) mitschneiden. Da der eigentliche Verschlüsselungsvorgang nur aus einer XOR-Verknüpfung von Klartext und Schlüsselstrom zum Geheimtext besteht, können umgekehrt auch Geheim- und Klartext zum Schlüsselstrom verknüpft werden. Ein Außenstehender ist also imstande, aus Frame 2 und Frame 3 des Authentifizierungs-Handshake einen gültigen Schlüsselstrom zu extrahieren. Möchte er sich nun selbst authentifizieren, kann er nach Erhalt seines zweiten Frames mit Hilfe des extrahierten Schlüsselstroms einen gültigen dritten Response-Frame konstruieren.312 Auf diese Weise ist er in der Lage, sich erfolgreich an einem Access Point zu authentifiziern und zu assoziieren, ohne überhaupt den Shared Key zu kennen.313 Diese Möglichkeit beschleunigt Angriffe auf WEP deutlich.314 308 309 310 311 312 313 314
Vgl. Anhang A, Abschnitt aa) auf Seite 356. Nonce = Number used once, vgl. Tanenbaum/Wetherall, Computernetzwerke, S. 931. Zur Funktionsweise siehe Anhang C, Abschnitt (3) auf Seite 433. Zum Ganzen: Rech, Wireless LANs, S. 228 ff. Zum Ganzen: Tews, Attacks on the WEP protocol, S. 31. Zu den Folgen sogleich in Abschnitt (4) auf Seite 86. Dazu sogleich in Abschnitt (4) auf Seite 86.
II. Der Zugriff auf lokale Funknetzwerke (Wireless LAN)
cc)
83
Attacks on WEP
Es wurden verschiedene Angriffe auf das WEP-Sicherheitskonzept beschrieben und umgesetzt. Auf die praxisrelevantesten wird im Folgenden eingegangen und gezeigt, wie ein Außenstehender sie einsetzen kann, um sich Zugang zu dem (fremden) Funknetzwerk zu verschaffen. Als Ansatzpunkt des Angriffs dienen die zwischen einem Host und dem Access Point ausgetauschten Frames, bestehend aus unverschlüsseltem Initialisierungsvektor-Teil und verschlüsselter Payload, die jeder Außenstehende mitschneiden kann.
(1)
FMS/KoreK-Method
(a)
FMS
Eine erste theoretische Beschreibung der generellen Schwächen des RC4-Algorithmus erfolgte durch Fluhrer/Mantin/Shamir (FMS). Als besonders schwach erweist sich danach eine spezielle Art der Implementierung von RC4, bei der ein Teil des RC4-Schlüssels bekannt ist, wie es bei WEP durch den unverschlüsselt übertragenen 24-Bit-Initialisierungsvektor der Fall ist.315 Fluhrer/Mantin/Shamir haben erkannt, dass bestimmte schwache WEP-Gesamtschlüssel (=RC4-Schlüssel) existieren. Nur wenige Bits dieser schwachen Schlüssel bestimmen große Teile des erzeugten RC4-Schlüsselstroms (Invariance Weakness).316 Weil der RC4Schlüssel aus dem Initialisierungsvektor und dem Shared Key gebildet wird, führt ein schwacher Initialisierungsvektor zu einem schwachen RC4-Schlüssel. Außerdem lässt sich unter bestimmten Umständen der geheime Teil des Schlüssels rekonstruieren, wenn ein Teil des Schlüssels bereits publik ist.317 Das ist besonders interessant, wenn zusätzlich Teile des verschlüsselten Klartextes erraten werden können (Known-Plaintext-Angriff), was bei protokollbasierten, strukturierten Frames der Fall sein kann.318 Dann sind zusätzlich bereits die ersten Bytes des (geheimen) Schlüsselstroms bekannt.319 Da nicht allzu viele WEP-Pakete mit den für diesen Angriff benötigten schwachen Initialisierungsvektoren versehen sind, werden circa 4 bis 6 Millionen Pakete benötigt, um mit einer Wahrscheinlichkeit von 50% auf den richtigen Schlüssel zu schließen.320 315 Fluhrer/Mantin/Shamir, Weaknesses in the Key Scheduling Algorithm of RC4, S. 1. 316 Fluhrer/Mantin/Shamir, Weaknesses in the Key Scheduling Algorithm of RC4, S. 1. 317 Fluhrer/Mantin/Shamir, Weaknesses in the Key Scheduling Algorithm of RC4, S. 9. Für Details zur Schwachstelle siehe Anhang A, Abschnitt (1) auf Seite 356. 318 Konkret: Der Subnetwork Access Protocol (SNAP/LLC) – Header und der ARPHeader sind fix und daher bekannt. Dazu im Detail sogleich unter Abschnitt (4) auf Seite 86. 319 Beck/Tews, Practical attacks against WEP and WPA, S. 80. 320 Zum Ganzen: Beck/Tews, Practical attacks against WEP and WPA, S. 80 f.
84
E.
(b)
KoreK
Der Zugriff auf den Datenverkehr eines lokalen Funknetzwerks
Eine Person unter dem Pseudonym „KoreK“ postete in einem Internet-Forum einen Entwurf für ein Programm zum Berechnen des geheimen Teils des RC4-Schlüssels. Neben der von Fluhrer/Mantin/Shamir beschriebenen Korrelation implementierte es 16 weitere Korrelationen zwischen den ersten (bekannten) Bytes des RC4Schlüssels, dem ersten bzw. den ersten beiden Bytes des erzeugten Schlüsselstroms und dem folgenden Byte des RC4-Schlüssels (den ersten, unbekannten Teil des RC4Schlüssels). Einige wenige dieser Korrelationen waren vorab schon beschrieben worden, andere gänzlich neu.321 Die KoreK-Angriffe benötigen nur noch 700,000 WEP-Pakete, um mit einer Wahrscheinlichkeit von 50% auf den richtigen Schlüssel zu schließen.322 (2)
PTW-Method
2007 veröffentlichten Pyshkin/Tews/Weinmann (PTW) einen noch effektiveren Angriff. (a)
Klein- bzw. Jenkins-Korrelation
Dieser Angriff arbeitet nicht mehr mit einer der 17 KoreK/FMS-Korrelationen, sondern einer weiteren, 2005 von Klein beschriebenen Korrelation, die auch als Jenkins-Korrelation bekannt ist. Diese Korrelation tritt zwar mit einer wesentlich geringeren Wahrscheinlichkeit auf als die anderen Korrelationen, hat aber einen anderen entscheidenden Vorteil. Sie ist nicht mehr nur bei einigen wenigen WEP-Paketen, die bestimmte Bedingungen323 erfüllen oder schwache Initialisierungsvektoren benutzen, sondern bei allen Paketen festzustellen. So können alle WEP-Pakete in die Auswertung einfließen.324 (b)
Extension to Multiple Key Bytes
Ein weiterer wichtiger Unterschied besteht darin, dass Pyshkin/Tews/Weinmann nicht mehr versuchen, nacheinander auf die einzelnen Bytes des unbekannten Teils des RC4-Schlüssels zu schließen.325 Sie berechnen die Bytes unabhängig 321 Dazu Beck/Tews, Practical attacks against WEP and WPA, S. 81. Weitere Informationen zu den Korrelationen finden sich in Anhang A, Abschnitt (2) auf Seite 359. 322 Beck/Tews, Practical attacks against WEP and WPA, S. 81. 323 Vgl. Fußnote 1628 auf Seite 359. 324 Beck/Tews, Practical attacks against WEP and WPA, S. 81. Weitere Voraussetzung ist natürlich, dass sich der Anfang des RC4-Schlüsselstroms der Pakete erraten lässt, vgl. Abschnitt (3) auf der nächsten Seite. 325 Das Problem dabei war, dass die Schlussfolgerung bzgl. der einzelnen Bytes von der vorhergehenden Schlussfolgerung abhängig ist. Im Fall einer falschen Schlussfolgerung werden so viele Neuberechnungen notwendig, vgl. Pyshkin/Tews/Weinmann, Breaking 104 Bit WEP in Less Than 60 Seconds, S. 192.
II. Der Zugriff auf lokale Funknetzwerke (Wireless LAN)
85
voneinander. Mit Hilfe einer weiteren Korrelation (von ihnen Multibyte Korrelation genannt)326 versuchen sie, auf Summen von Bytes des unbekannten Teils des Schlüssels zu schließen.327 Aus diesen Summen rechnen sie schließlich auf den Shared Key zurück.328 Mit der PTW-Methode müssen nur noch 35,000 bis 40,000 WEP-Paket mitgeschnitten werden, um eine fünfzigprozentige Erfolgswahrscheinlichkeit zu erreichen.329 Im Folgenden wurden auch einige der KoreK-Korrelationen für die Schlussfolgerung auf Summen angepasst und in den Angriff integriert.330
(3)
Schätzung der ersten 16 Bytes des RC4-Schlüsselstroms
Die beschriebenen Angriffe setzen voraus, dass die an sich geheimen ersten Bytes des RC4-Schlüsselstroms in Erfahrung gebracht werden. Dafür müssen aus den abgefangenen, verschlüsselten WEP-Paketen zumindest einige Bytes an Klartext erraten werden. Nahezu alle Netzwerke, die hier von Interesse sind, arbeiten auf Ebene der Internetschicht331 mit dem Internet Protocol332 (IPv4). Innerhalb des lokalen Netzwerkes muss daher die IP-Adresse in die lokale MAC-Adresse333 der Netzzugangsschicht übersetzt werden. Dafür ist das Address Resolution Protocol334 (ARP) zuständig. Der erstmalige Eintrag in die Address-Resolution-Protocol-Tabelle erfolgt durch eine Broadcast-Anfrage (ARP-Request) und der Antwort mit der eigenen MACAdresse (ARP-Response). ARP-Request und ARP-Response sind von fester Größe und Struktur. Der Header (8 Byte) des 802.11-Frames335 für ein Datenpaket des Address Resolution Protocols ist immer gleich. Ebenso die ersten 8 Bytes des ARP-Pakets selbst. Über die unverschlüsselt übertragene Gesamtgröße der Frames lassen sich die Datenpakete des Address Resolution Protocols aus dem verschlüsselten Datenstrom herausfiltern. Durch simple XOR-Verknüpfung dieser festen 16 Bytes mit den ersten 16 Bytes der verschlüsselten WEP-Pakete erhält man jeweils genau die für die Angriffe benötigten ersten 16 Byte des RC4-Schlüsselstroms.336 326 327 328 329 330 331 332 333 334 335 336
Beck/Tews, Practical attacks against WEP and WPA, S. 81. Tews, Attacks on the WEP protocol, S. 81 ff. Pyshkin/Tews/Weinmann, Breaking 104 Bit WEP in Less Than 60 Seconds, S. 195. Beck/Tews, Practical attacks against WEP and WPA, S. 82. Beck/Tews, Practical attacks against WEP and WPA, S. 82. Zu den einzelnen Schichten des TCP/IP-Referenzmodells und ihren Aufgaben siehe: Abschnitt 2. auf Seite 43. Vgl. Anhang B, Abschnitt a) auf Seite 382. Siehe Abschnitt (e) auf Seite 50. Mit Details zum Address Resolution Protocol: Abschnitt (2) auf Seite 50. Siehe Anhang B, Abschnitt 6. auf Seite 398. Zum Ganzen: Pyshkin/Tews/Weinmann, Breaking 104 Bit WEP in Less Than 60 Seconds, S. 193 f.
86
(4)
E.
Der Zugriff auf den Datenverkehr eines lokalen Funknetzwerks
Umsetzung einer WEP-Attack
Realisieren337 lassen sich die beschriebenen Angriffe zum Beispiel durch die freie Programmsuite Aircrack-NG.338 Sie arbeitet bevorzugt mit der PTW-Methode, welche aber nur WEP mit 40- bzw. 104-Bit-Schlüsseln unterstützt, nicht von einzelnen Herstellern implementierte längere Schlüssel.339 Im seltenen Fall etwa eines 232 Bit Schlüssels greift Aircrack-NG alternativ auf die FMS-KoreK-Methode zurück.340 Die nachfolgend beschriebene aktive (schnelle) Methode setzt voraus, dass ein ARP-Request abgefangen werden kann. Das bedeutet, dass ein Zeitpunkt für den Angriff gewählt werden muss, an dem zumindest ein Host im avisierten Netzwerk aktiv ist. Weil ARP-Responses keine lange Gültigkeitsdauer aufweisen, dauert es in der Regel höchstens ein paar Minuten, bis ein ARP-Paket mitgeschnitten werden kann.341 Sollte kein aktiver Host im Netzwerk sein, kann das ARP-Paket alternativ selbst kreiert werden.342 Um den unbekannten Teil des RC4-Schlüssels (Shared-Key) zu determinieren, werden in der Regel um die 100,000 WEP-Pakete benötigt, aus denen Aircrack-NG den Initialisierungsvektor (die ersten drei Bytes des RC4-Schlüssels) und die ersten 16 Bytes des Schlüsselstroms extrahieren kann. Die dafür notwendige Menge an Datenpaketen des Address Resolution Protocols343 passiv mitzuschneiden ist möglich, aber zeitaufwendig. Alternativ kann das abgefangene (verschlüsselte) ARP-Request in das Netzwerk „re-injiziert“, also an den Access Point oder einen Host (aktiv) wieder und wieder gesendet werden (Replay-Attack). Dieser antwortet protokollgemäß jedes Mal mit einem ARP-Response, und jeder ARP-Response ist mit einem neuen Initialisierungsvektor verschlüsselt, der für den Pyshkin/Tews/Weinmann-Angriff genutzt werden kann. Bevor Pakete injiziert werden können, muss der Angreifer mit dem Access Point assoziiert sein, sonst werden die von ihm re-injizierten ARP-Requests vom Access Point nicht beantwortet, sondern verworfen. Eine Authentifzierung/Assoziierung ohne Kenntnis des Shared Key ist mit der zuvor dargelegten344 Fake-Authentication337 Für eine tatsächliche Umsetzung siehe Anhang A, Abschnitt (3) auf Seite 359. 338 http://www.aircrack-ng.org/index.html (Stand: Dezember 2017). Die ursprünglichen Autoren sind Thomas d’Otreppe und Christophe Devine. Zum Team von Aircrack-NG: http://trac.aircrack-ng.org/wiki/Team (Stand: Dezember 2017). 339 Pyshkin/Tews/Weinmann, Breaking 104 Bit WEP in Less Than 60 Seconds, S. 198. 340 http://www.aircrack-ng.org/doku.php?id=aircrack-ng&DokuWiki=296dd2a542918a1 848383c63eb455a85(Description von Aircrack-NG(Dezember 2017). 341 Dazu: Pyshkin/Tews/Weinmann, Breaking 104 Bit WEP in Less Than 60 Seconds, S. 194. 342 Siehe dazu: http://aircrack-ng.org/doku.php?id=how_to_crack_wep_with_no_clients (Stand: Dezember 2017). 343 Vergleiche Abschnitt (3) auf der vorherigen Seite. 344 Siehe Abschnitt bb) auf Seite 82.
II. Der Zugriff auf lokale Funknetzwerke (Wireless LAN)
87
Methode möglich.345 Die notwendigen Informationen in den so generierten Datenmengen werden mit dem Tool Airodump-NG mitgeschnitten und gespeichert. Abschließend schließt das Tool Aircrack-NG auf die dargestellte Weise per Pyshkin/Tews/Weinmann-Method auf den unbekannten Teil des RC4-Schlüssels und gibt den vollständigen WEP-Schlüssel aus. Das Ziel-Netzwerk ist damit in der Regel nach nur ungefähr einer Minute erfolgreich infiltriert.
dd)
Zusammenfassung: WEP-verschlüsseltes WLAN
Der Zugang zu Wireless LANs, die mit WEP geschützt sind, lässt sich (immer vorausgesetzt, die räumliche Nähe zum Netzwerk ist gegeben) sehr leicht erlangen. Sie müssen daher als unsicher gelten. Insbesondere ein Angriff auf ein mit standardmäßigem 64-Bit-WEP bzw. 128-Bit-WEP gesichertes Netzwerk ist in der Regel bereits in unter einer Minute erfolgreich. Ein solcher Angriff ist daher vom Überwachten kaum zu bemerken.346 Die Komplexität der gewählten Passphrase ist nicht von Belang (die Länge der WEP-Passphrase ist ja vorgegeben), und ein Angriff ist bei jeder Passphrase erfolgreich. Lediglich bei den sehr selten vorkommenden Implementationen mit einer längeren Schlüssellänge nimmt der Angriff etwas mehr Zeit in Anspruch, aber auch in diesem Fall ist ein Erfolg sicher. c)
WPA/WPA2-verschlüsseltes WLAN (Pre-Shared-Key)
Hinter dem bekannten Begriff Wi-Fi Protected Access (WPA) versteckt sich eine Zertifizierung für die Erfüllung bestimmter Sicherheitskriterien. Sie wird von der Herstellervereinigung „Wi-Fi Alliance“ vergeben.347 Wi-Fi Protected Access war im Jahr 2003 die Antwort der Hersteller auf die bekannt gewordenen Schwächen von Wired Equivalent Privacy, bevor die IEEE ihrerseits reagierte und im Juni 2004 die 802.11i-Erweiterung verabschiedete. Bei WPA handelt es sich eigentlich um eine Teilumsetzung von 802.11i. Im September 2004 publizierte die „Wi-Fi Alliance“ im Fahrwasser der IEEE-Veröffentlichung den Nachfolger Wi-Fi Protected Access Version 2 (WPA2). Es implementierte weitgehend die Vorgaben der 802.11i-Erweiterung. WPA2 und 802.11i-2004 können daher größtenteils gleichgesetzt werden,348 insbesondere im Bezug auf die hier relevanten Fragen. So werden im Folgenden die Begriffe WPA-, WPA2- und 802.11i-Standard teils synonym gebraucht.349 345 Vergleiche http://www.aircrack-ng.org/doku.php?id=fake_authentication (Stand: Dezember 2017). 346 Ohne zusätzliche Schutzmaßnahmen. 347 http://www.wi-fi.org/who-we-are (Stand: Dezember 2017). 348 Zum Ganzen: Rech, Wireless LANs, S. 489 f. 349 Weitere Einzelheiten in Anhang A, Abschnitt b) auf Seite 361 ff.
88
E.
Der Zugriff auf den Datenverkehr eines lokalen Funknetzwerks
Der WPA- und WPA2-Standard beschreibt im Gegensatz zu WEP zwei grundlegend unterschiedliche Modi.350 Diese Untersuchung beschränkt sich darauf, WPA/WPA2-Personal (WPA/WPA2 mit Pre-Shared-Key) zu betrachten, denn der Gegenstand dieser Untersuchung ist auf Heimnetzwerke eingegrenzt, wie sie im privaten und Small-Office/Home-Office-Bereich (SOHO) aufzufinden sind.351. Der zweite Modus, WPA/WPA2-Enterprise, setzt die Verwendung eines separaten Authentifizierungsservers voraus. Die Realisierung ist deutlich komplizierter und teurer als im anderen Modus und kommt daher in kleineren Netzwerkumgebungen so gut wie nicht vor. Wie bei WEP handelt es sich bei WPA/WPA2-Personal um ein symmetrisches Verfahren. Der Pre-Shared-Key (PSK) muss manuell im Access Point und im Wireless Adapter des Hosts eingetragen werden.352 aa)
Verschlüsselung bei WPA/WPA2
Wi-Fi Protected Access verfolgte das Ziel, vorübergehend die Probleme von WEP mit der in den Access Points und Hosts bereits vorhandenen Hardware zu beseitigen.353 Deswegen basiert das neue Temporary Key Integrity Protocol (TKIP) in WPA auch weiterhin auf RC4.354 In Version 2 ist hingegen als finale Lösung ein gänzlich neues Verschlüsselungsverfahren vorgesehen. Das AES-CCMP-Protokoll löst das Temporary Key Integrity Protocol ab.355 AES-CCMP steht für AdvancedEncryption-Standard(AES)-based Counter Mode (CTR-Mode) with Cipher Block Chaining Message Authentication Code (CBC-MAC) Protocol.356 AES-CCMP setzt allerdings andere, leistungsstärkere WLAN-Chipsätze voraus, so dass nicht sämtliche in Umlauf befindliche Hardware mit dem neuen Standard kompatibel ist.357 (1)
WPA – Temporary Key Integrity Protocol
Weil der Wi-Fi-Protected-Access-Standard auf der vorhandenen WEP-Hardware funktionieren sollte, beinhaltet das Temporal Key Integrity Protocol keinen neuen Siehe Abschnitt (bb) auf Seite 49. Zur Begründung siehe § D auf Seite 69. Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 845. Zum Ganzen: Rech, Wireless LANs, S. 487 ff. Als neuer zentraler Algorithmus für den Message Integrity Check (MIC) wird allerdings der Michael-Algorithmus verwendet. 355 Für Details zu AES siehe Anhang C, Abschnitt cc) auf Seite 415. 356 Für Details zum CTR-Mode siehe Anhang C, Abschnitt cc) auf Seite 427. 357 Einige wenige Hersteller ermöglichten bereits den Einsatz von AES in WPA, bevor WPA2 verabschiedet war (WPA-AES). Gleichzeitig ermöglicht der WPA2-Standard, um Abwärtskompatibilität zu gewährleisten, auch die Verwendung von TKIP (WPA2TKIP). Das sind aber Ausnahmen. Standardmäßig bedeutet die Verwendung von WPA den Einsatz des Temporary Key Integrity Protocols (WPA-TKIP), die Verwendung von WPA2 den Einsatz des CTR-Mode/CBC-MAC Protocols (WPA2–AES-CCMP).
350 351 352 353 354
II. Der Zugriff auf lokale Funknetzwerke (Wireless LAN)
89
Algorithmus, sondern beschreibt Anpassungen im Zusammenhang mit der Verwendung von RC4 und der Generierung des RC4-Schlüssels.358 Es handelt sich genau genommen um eine leicht veränderte Version von WEP.359 Die Probleme von Wired Equivalent Privacy liegen vor allem in den schwachen Initialisierungsvektoren. Zum einen sind sie mit 24 Bit zu kurz gewählt,360 so dass bereits nach wenigen Stunden die Initialisierungsvektoren erneut verwendet werden müssen361 und nach zwei bis drei Sekunden normalen Datentransfers (bei einer Übertragungsgeschwindigkeit von 11 MBit/s) mit einer Wahrscheinlichkeit von 99% eine Kollision durch einen zufällig gleich gewählten Initialisierungsvektor auftritt.362 Zum anderen existieren schwache Initialisierungsvektoren, die es ermöglichen, auf den Schlüsselstrom zu schließen (Invariance Weakness).363 Das Temporary Key Integrity Protocol schreibt daher eine Länge von 48 Bit für den Initialisierungsvektor vor. Außerdem sieht es eine völlig andere Prozedur zur Generierung des Schlüssels vor, der RC4 zur Verfügung gestellt wird.364 Durch diese neue Schlüsselgenerierung hängt jedes Byte des Schlüsselstroms von jedem Byte des temporären Schlüssels und des Initialisierungsvektors ab.365 Die RC4-Korrelationen treten nicht mehr auf und die für WEP beschriebenen Angriffe werden somit verhindert.366 Gleichzeitg hat der Initialisierungsvektor in WPA zusätzlich die Funktion eines Sequenzzählers367 Dieser gestattet den Paketen, nur in einer bestimmten Reihenfolge anzukommen.368 Weichen sie davon ab, werden sie automatisch verworfen.369 Auf diese Weise wird die oben beschriebene Replay-Attack,370 bei der Pakete in das Netzwerk re-injiziert werden, ebenfalls unterbunden. (2)
WPA2 – AES-CCMP
Wenn WPA mit dem Temporary Key Integrity Protocol die Übergangslösung war, so ist AES-CCMP in WPA2/802.11i als abschließende Lösung der Wireless-LAN358 Zu folgenden Ausführungen, soweit nicht etwas Anderes in der konkreten Fußnote angegeben, siehe: Hofherr, WLAN-Sicherheit: Professionelle Absicherung von 802.11Netzen, S. 98 ff, Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 852 ff., Rech, Wireless LANs, S. 516 ff. 359 Beck/Tews, Practical attacks against WEP and WPA, S. 83. 360 Siehe Abschnitt aa) auf Seite 80. 361 Zur Problematik, warum bei Stromchiffren niemals derselbe Schlüsselstrom zwei Mal verwendet werden darf, siehe bereits Anhang C, Abschnitt aa) auf Seite 429. 362 Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 837 f. 363 Dazu siehe Abschnitt (1) auf Seite 83. 364 Für Einzelheiten der Schlüsselgenerierung siehe Anhang A, Abschnitt aa) auf Seite 361. 365 Beck/Tews, Practical attacks against WEP and WPA, S. 83. 366 Weitere Auswirkungen in Anhang A, Abschnitt (2) auf Seite 361. 367 TKIP Sequence Counter. 368 Beck/Tews, Practical attacks against WEP and WPA, S. 83. 369 Alexander, Netzwerke und Netzwerksicherheit, S. 437. 370 Siehe Abschnitt (4) auf Seite 86.
90
E.
Der Zugriff auf den Datenverkehr eines lokalen Funknetzwerks
Sicherheitsproblematik gedacht. Das AES-CCM-Protocol371 besteht aus zwei Teilen. Der Advanced Encryption Standard im Counter Mode (CTR-Mode)372 ist für die Verschlüsselung zuständig, der Advanced-Encryption-Standard-basierte Cipher Block Chaining Message Authentication Code (CBC-MAC)373 sichert hingegen die Datenintegrität und -authentizität.374 bb)
Schlüsselmanagement in WPA/WPA2
Eine weitere einschneidende Schwäche von WEP war die Verwendung eines statischen Schlüssels,375 der sowohl der Authentifizierung diente als auch direkt für die Verschlüsselung eingesetzt wurde.376 In WPA und WPA2 kommen deshalb viele verschiedene, dynamische Schlüssel zum Einsatz. Man unterscheidet grundsätzlich zwischen zwei Kategorien, den paarweisen Schlüsseln (Pairwise Keys) für die Pakete zwischen einem Host und dem Access Point und den Gruppenschlüsseln (Group Keys) für die Broadcast-Nachrichten. Die verschiedenen Schlüssel werden in einer Schlüsselhierarchie verwaltet.377 Die Spitze der Hierarchie der paarweisen Schlüssel bildet der sogenannte Pairwise Master Key (PMK).378 Er selbst wird nie direkt für die Verschlüsselung oder Authentifizierung eingesetzt. Im Modus WPA/WPA2-Personal ist der Pairwise Master Key gleich dem Pre-Shared Key (PSK) und wird aus der manuell verwalteten Passphrase gebildet. Die vom Benutzer frei zu wählende Passphrase hat eine Länge zwischen 8 und 63 ASCII-Zeichen. Aus Passphrase, Service Set Identifier (Netzwerkname) und Länge des Service Set Identifiers wird der 256 Bit lange Pairwise-Master-Key/Pre-Shared-Key berechnet.379 cc)
Authentifizierung und Assoziierung bei WPA/WPA2
Im Modus WPA/WPA2 mit Pre-Shared-Key authentifziert sich der Host durch einen 4-Way-Handshake. Im Verlauf des Handshakes bestätigen sich Host und 371 Vergleiche: https://tools.ietf.org/html/rfc3610 (Stand: Dezember 2017). 372 Für Details zum Advanced Encryption Standard siehe Anhang C, Abschnitt cc) auf Seite 415. Zum CTR-Mode siehe Anhang C, Abschnitt cc) auf Seite 427. 373 CBC-MAC ersetzt den Michael-Algorithmus. 374 Ein besonderes Merkmal von WPA2 ist, dass für beide Teile der gleiche Eingabeschlüssel verwendet wird. AES-CTR-Mode und CBC-MAC arbeiten mit dem gleichen 128-Bit-langen Temporary Key, vgl. Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 856. Für weitere Einzelheiten zur Arbeitsweise von AES-CCMP siehe Anhang A, Abschnitt bb) auf Seite 361. 375 Siehe Abschnitt aa) auf Seite 80. 376 Hofherr, WLAN-Sicherheit: Professionelle Absicherung von 802.11-Netzen, S. 54. 377 Dazu: Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 845. 378 Zum Folgenden: Rech, Wireless LANs, S. 512 f. 379 Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 845. Für Einzelheiten siehe Anhang A, Abschnitt cc) auf Seite 362.
II. Der Zugriff auf lokale Funknetzwerke (Wireless LAN)
91
Access Point den Pairwise Master Key (PMK) und berechnen die dynamischen Schlüssel. Beim Handshake werden zwei Zufallszahlen (Nonce) ausgetauscht. Die Verwendung zweier Nonces verhindert das Versenden von Nonce und verschlüsselter Nonce und unterbindet damit die Möglichkeit eines Fake-AuthenticationAngriffs380 wie bei WEP.381 dd)
Attacks on WPA/WPA2
Weil für WPA (Temporary Key Integrity Protocol) und WPA2 (AES-CCMP) die für Wired Equivalent Privacy entdeckten Sicherheitslücken gezielt geschlossen wurden, funktionieren die dort beschriebenen Angriffe nicht mehr. Aber auch WPA undWPA2 weisen Schwachstellen auf. (1)
Brute-Force-Attack
Der soeben erwähnte 4-Way-Handshake der WPA/WPA2-Authentifzierung und die Art der Ableitung der dynamischen Schlüssel machen einen Brute-Force-Angriff382 möglich.383 Bei diesem Angriff wird versucht, die dem WPA/WPA2-PersonalSicherheitskonzept zu Grunde liegende Passphrase zu erraten.384 Dafür muss ein Angreifer lediglich mindestens zwei aufeinanderfolgende Pakete ab dem zweiten Paket des Handshakes abfangen. Dann verfügt er über alle notwendigen Informationen – bis auf die Passphrase. Diese muss er durch Ausprobieren erraten (Brute-Force-Ansatz). Der Angriff funktioniert sowohl für WPA als auch für WPA2. Das Mitschneiden des Handshakes muss in Reichweite des Heimnetzwerkes erfolgen, ist aber nur von kurzer Dauer. Wird dieser Handshake gespeichert, können an einem beliebigen anderen Ort (Offline) mit entsprechenden HardwareRessourcen in Ruhe die verschiedenen Passphrasen durchprobiert werden. (a)
Offline-Dictionary-Attack (als Ausprägung der Brute-Force-Attack)
Konkret umgesetzt wird die Brute-Force-Attack durch eine Offline-DicitionaryAttack. Weil der Angriff darauf abzielt, die vom Anwender gewählte oder bereits voreingestellte Passphrase zu erraten, müssen möglichst viele potentielle Passphrasen durchprobiert werden. Dafür kommen sogenannte Dictionary Files (auch (Pass-)Wordlists genannt) zum Einsatz. Sie enthalten ein Verzeichnis mit Millionen von oft genutzten, gebräuchlichen Passphrasen. Passphrase für Passphrase aus dem 380 Siehe dazu Abschnitt bb) auf Seite 82. 381 Details zur Authentifizierung und Assoziierung bei WPA/WPA2 finden sich in Anhang A, Abschnitt dd) auf Seite 363. 382 Zu den verschiedenen Angriffsarten siehe Abschnitt 1. auf Seite 62. 383 Moskowitz, Weakness in Passphrase Choice in WPA Interface, S.1 ff. 384 Wie genau der Angriff funktioniert, ist in Anhang A, Abschnitt (a) auf Seite 364 erläutert.
92
E.
Der Zugriff auf den Datenverkehr eines lokalen Funknetzwerks
Dictionary File wird durchprobiert und die dynamischen Schlüssel385 berechnet, bis es eine Übereinstimmung gibt. Geschwindigkeit ist daher der wichtigste Faktor dieses Angriffs. Die 4096 Iterationen zur Berechnung des Pairweise Master Keys sind dabei der aufwendigste und zeitintensivste Teil der Berechnung.386 Wie viele Passphrasen letztendlich in der Sekunde ausprobiert werden können, hängt stark von der eingesetzten Hardware und einigen weiteren Faktoren ab. Neuere Tools unterstützen inzwischen das Ausbeuten der Rechenleistung von Prozessoren mit mehreren Prozessorkernen und von Grafikarten.387 So konnte die Zahl der berechenbaren Pairwise Master Keys von 40 (VIA Centaur C7 mit 1,5 GHz) über 380 (Pentium D, 2x 3.0 GHz, x86) auf 89000 (4x GeForce 295 GTX, CUDA) Schlüssel pro Sekunde gesteigert werden.388 Das Tool oclHashcat gibt an, durch die Nutzung mehrerer paralleler Graphikprozessoren sogar noch schneller zu sein.389 So könne es für WPA/WPA2 auf einem PC mit acht AMD R9 290X Graphikkarten ca. 1336000 Berechnungen pro Sekunde durchführen.390 Die Anzahl der testbaren Passphrasen pro Sekunde bestimmt, bis zu welcher Größe eines Dictionary Files ein solcher Angriff sinnvoll ist. Zudem können auf mehreren Rechnern parallel mehrere Dictionary Files abgearbeitet werden. (b)
Dictionary Files
Der Erfolg eines solchen Brute-Force-Angriffs hängt auch von der Güte des verwendeten Dictionary Files ab. Im Internet herrscht ein vielfältiges Angebot an derartigen Password-Listen. So existieren etwa Listen, deren Einträge auf der Auswertung von veröffentlichten (Zugangs-)Daten aus Hacker-Angriffen basieren.391 So hat das „Disclosure Project“ die veröffentlichen Passwörter z.B. aus den Hacks auf die Datenbanken von rootkit.com, Sony Pictures, LulzSec, LulzSec (final release), Booz Allen Hamilton, OhMedia, helistin.fi, napsu.fi, und clearusa.org ausgewertet, die häufigsten Passwörter herausgefiltert und zusammengefasst.392 Die aktuelle große Passwordliste des Projects umfasst zum Beispiel 363124316 385 Konkret: PMK, PTK und MIC. 386 So entspricht etwa das Berechnen von 10000 Pairwise Master Keys in der Sekunde dem Hashen von 9,8 GB an Daten in der Sekunde mit HMAC-SHA1, vgl. https: //code.google.com/p/pyrit/ (Stand: Dezember 2017). 387 Durch Techniken wie ATI-Stream, Nvidia CUDA, OpenCL oder VIA PadLock Security Engine, vgl. http://pyrit.wordpress.com/about/ (Stand: Dezember 2017). 388 http://pyrit.googlecode.com/svn/tags/opt/pyritperfaa3.png (Stand: März 2015). 389 http://hashcat.net/oclhashcat/ (Stand: März 2015). 390 Ebd. Vgl. Fußnote 389. Ähnliche Werte werden zum Beispiel von dem Unternehmen Elcomsoft für ihren Wireless Security Auditor angegeben, für die NVIDIA GTX 1080 gar 356000 Berechnungen, vgl. https://www.elcomsoft.de/ewsa.html (Stand: Dezember 2017). 391 https://dazzlepod.com/site_media/txt/passwords.txt (Stand: Dezember 2017). 392 https://dazzlepod.com/disclosure/ (Stand: März 2014).
II. Der Zugriff auf lokale Funknetzwerke (Wireless LAN)
93
Einträge.393 Eine Übersicht über verfügbare Dictionary Files findet sich auf https://aircrack-ng.org/doku.php?id=faq (Stand: Dezember 2017). Allerdings lassen sich mit Tools wie Crunch394 oder Phraser395 sehr einfach maßgeschneiderte Passwortlisten auch selbst erstellen.396 Als dritte Möglichkeit lässt sich der Dictionary-Angriff sogar auf einen externen Dienstleister auslagern. Nach dem Upload der Handshake-Daten übernehmen gegen ein Entgelt Dienste wie Cloudcracker oder Wpacrack die Rechenarbeit.397 (c)
Precomputed Hash Files (Rainbow Tables)
Wie bereits ausgeführt,398 sind die 4096 Iterationen zur Berechnung des Pairwise Master Keys der mit Abstand zeitintensivste Teil der Berechnung. Dieser Teil könnte eigentlich vorab für die einzelnen Passwörter der Dictionary Files durchgeführt und bereitgestellt werden (pre-computed Hashfiles, oft als Rainbow-Tables bezeichnet). Dann müsste beim Brute-Force-Angriff nur noch aus dem Wert des Rainbow Tables (Pairewise Master Key) der dynamische Schlüssel berechnet werden, was den Brute-Force-Angriff ungemein beschleunigen würde. Mit dem Ergebnis, dass wesentlich mehr Passphrasen probiert werden könnten und die Wahrscheinlichkeit des Erfolgs eines solchen Angriffs weiter stiege. Das Einbeziehen des Service Set Identifiers als sog. Salt verhindert allerdings ein effektives derartiges Vorgehen. So muss aufgrund dieses Mechanismus für jeden Service Set Identifier ein eigener Rainbow Table erstellt werden. Die „Church of Wifi“ stellt allerdings solche Rainbow Tables für ausgewählte 1000 Service Set Identifier399 und eine variable Anzahl von potentiellen Passwörtern zum Download bereit.400 Sollte das Zielnetzwerk eine der 1000 SSIDs verwenden, könnte es unter Umständen nach sehr kurzer Zeit infiltriert werden. Mit Hilfe des Tools genPMK (Teil der freien coWPAtty-Software)401 können auch eigene, maßgeschneiderte Rainbow-Tables erstellt werden, beruhend auf den persönlichen Erfahrungen oft verwendeter Netzwerknamen. 393 https://dazzlepod.com/uniqpass/ (Stand: Dezember 2017). 394 http://sourceforge.net/projects/crunch-wordlist/ (Stand: Dezember 2017). 395 Mit Phraser lassen sich insbesondere Passphrasen mit drei oder mehr Wörtern erfassen, vgl. https://heise.de/-3128535 (Stand: Dezember 2017). 396 Zum tatsächlichen Erstellen eines solchen Dictionary Files siehe Anhang A, Abschnitt (b) auf Seite 365. 397 https://www.cloudcracker.com/ (Stand: März 2015), inzwischen offline; http://www. wpacrack.net/ (Stand: Dezember 2017), bietet den Service wohl nicht mehr an. 398 Abschnitt (a) auf Seite 91. 399 Angelehnt an die Liste der 1000 meistverwendeten SSIDs von wigle.net, vgl. https: //wigle.net/gps/gps/main/ssidstats (Stand: Dezember 2017). 400 http://www.renderlab.net/projects/WPA-tables/ (Stand: Dezember 2017). 401 http://www.willhackforsushi.com/?page_id=50 (Stand: Dezember 2017).
94
(d)
E.
Der Zugriff auf den Datenverkehr eines lokalen Funknetzwerks
Erfolgsaussichten eines Dictionary-Angriffs auf WPA/WPA2
Die Erfolgsaussichten eines derartigen Brute-Force-Angriffs sind schwer einzuschätzen und hängen stark von Faktoren wie verfügbarer Hardware oder Art und Länge der zu crackenden Passphrase ab. Die grundsätzliche Wahrscheinlichkeit, dass die womöglich von einem Hersteller voreingestellte Passphrase („WPA-Key“) nachträglich vom Benutzer geändert worden ist, dürfte angesichts der immer wieder aufgetretenen Probleme und der Unsicherheiten mit diesen Passphrasen402 deutlich gestiegen sein.403 Zumal die Provider teilweise bereits das Ändern der voreingestellten Passphrase in den Handbüchern und Anleitungen empfehlen.404 Geht man von dem Fall aus, dass ca. 90000 Passphrasen in der Sekunde berechenbar sind,405 ergibt sich derzeit ungefähr folgendes Bild: Dictionary Files können so gebildet werden, dass Passphrasen bestehend aus jeder möglichen Kombination von Zahlen sich bis zu einer Länge von 11 Stellen berechnen ließen (Dauer: ca. 13 Tage; bei 10 Stellen ca. 31 Stunden). Stimmen die Performance-Angaben von oclHashcat,406 wären sogar Passphrasen mit 12 Stellen (12 Stellen: ca. 8,5 Tage; 11 Stellen: ca. 20 Stunden) möglich. Passphrasen nur aus Kleinbuchstaben bzw. nur Großbuchstaben bestehend bis zu einer Länge von (max.) 8 Stellen (Pyrit: ca. 27 Tage; oclHashcat: ca. 2 Tage) bzw. 9 Stellen (oclHashcat: ca. 47 Tage). Eventuell noch Passphrasen aus Kombinationen von Klein- (bzw. Groß)Buchstaben und Zahlen (oclHashcat: ca 24 Tage) bei einer Länge von 8 Stellen. Das bedeutet, dass jede Passphrase in den angegebenen Bereichen immer gefunden wird, unabhängig davon, welche Passphrase vom Anwender gewählt wurde. Die angegebene Performance lässt sich durch bessere Hardware und taktisches, paralleles Abarbeiten vieler Dictionary Files noch optimieren. Ist die im Ziel-Netzwerk verwendete Passphrase länger, besteht noch die Möglichkeit, dass sie sich in dem verwendeten Dictionary File wiederfindet. Nur dann wird der Angriff erfolgreich sein. Die Dauer hängt dann davon ab, an welcher Stelle im Dictionary File sich die betreffende Passphrase befindet, wie das Dictionary File aufgebaut ist und wann die Passphrase getestet wird. (e)
Erweiterung: Deauthentication attack
Der Offline-Dictionary-Angriff setzt voraus, dass der Angreifer mindestens zwei Pakete des 4-Way-Handshakes der WPA/WPA2-Authentifizierung abfängt.407 Ein solcher Handshake erfolgt aber nur im Rahmen der Authentifizierung, also jedes 402 Siehe Abschnitt (2) auf der nächsten Seite. 403 Es wird geschätzt, dass ungefähr 17-25 % der Benutzer die Standardeinstellungen verwenden, vlg. http://heise.de/-1326796 (Stand: Dezember 2017). 404 http://heise.de/-1326796 (Stand: Dezember 2017). 405 Siehe Abschnitt (a) auf Seite 91. 406 Vgl. Fußnote 389 auf Seite 92. 407 Siehe Abschnitt (1) auf Seite 91.
II. Der Zugriff auf lokale Funknetzwerke (Wireless LAN)
95
Mal, wenn der Host sich beim Access Point „anmeldet“. Ein Angreifer kann nun geduldig auf den Eintritt dieses Ereignisses warten. Er kann diesen Vorgang allerdings auch beschleunigen, indem er durch eine Deauthentication Attack408 den Host „von außen“ zwangsweise de-authentifiziert, so dass sich der Host automatisch sofort wieder beim Access Point re-authentifiziert. Dieser Vorgang zieht eine sehr kurze Unterbrechung der Internetnutzung nach sich und dürfte vom Benutzer nur in den seltensten Fällen überhaupt bemerkt werden. Möglich wird der Deauthentication-Angriff,409 weil nach dem 802.11i-Standard Management-Frames nicht verschlüsselt werden. Deshalb können DisassociationFrames410 von einem Angreifer gefälscht und an einen Host im Ziel-Netzwerk gesendet werden.411 (f)
Umsetzung der Brute-Force-Attack
In einem ersten Schritt müssen vor Ort der Service Set Identifier und die MACAdresse des Zielnetzwerkes als Parameter des Angriffs durch aktives oder passives Scannen bestimmt werden. Mit dem bereits bekannten Aireplay-NG können entweder gezielt ein Host oder alle assoziierten Hosts de-assoziert werden, so dass sie sich direkt wieder mit dem Access Point assoziieren. Der im Rahmen der WiederAssoziierung ausgetauschte Handshake wird mit Airodump-NG aufgezeichnet. Abschließend kann der eigentliche Brute-Force-Angriff in Ruhe in räumlicher Distanz mit dem gewünschten Tool und der gespeicherten Handshake durchgeführt werden.412 (2)
Schwachstelle: Vorkonfigurierter WPA/WPA2-Schlüssel (PSK)
Ein weiteres Einfallstor bildet der vorkonfigurierte WPA/WPA2-Schlüssel (PSK). Als Reaktion auf die Rechtslage bei Urheberrechtsverletzungen und das fehlende Problembewusstsein eines durchschnittlichen Small Office/Home Office-Netzwerkbetreibers bei Bereitstellung eines (ungesicherten) WLANs sind die Hersteller von Routern vor einiger Zeit dazu übergegangen, Router nur noch mit vorab aktivierter Verschlüsselung und damit auch mit vorkonfigurierter Passphrase413 auszuliefern. Auf Herstellerseite wird dieser mitgelieferte Pre-Shared-Key für jedes einzelne Gerät durch einen vordefinierten Algorithmus automatisiert berechnet. 408 Nicht zu verwechseln mit dem Fake Authentication Angriff im Rahmen von WEP, vgl. Abschnitt bb) auf Seite 82. 409 Vgl. Halvorsen/Haugen, Cryptanalysis of IEEE 802.11i TKIP, S. 62. 410 Siehe Rech, Wireless LANs, S. 212. 411 http://www.aircrack-ng.org/doku.php?id=deauthentication (Stand: Dezember 2017). 412 Wie der Angriff tatsächlich realisiert werden kann, wird in Anhang A, Abschnitt (c) auf Seite 365 gezeigt. 413 Abschnitt c) auf Seite 87.
96
E.
Der Zugriff auf den Datenverkehr eines lokalen Funknetzwerks
Dieser Algorithmus bildet ein weiteres Einfallstor414 für Angriffe auf WPA/WPA2gesicherte Netzwerke. Ist er bekannt geworden und lassen sich zusätzlich die Eingabevariablen ermitteln, kann ein Angreifer den vorkonfigurierten WPA/WPA2Schlüssel selbst berechnen oder den Schlüsselraum zumindest so stark eingrenzen, dass nur wenige Stellen des Schlüssels per Brute-Force-Angriff durchprobiert werden müssen. Hat der Betreiber des Netzwerks den Pre-Shared-Key nicht manuell geändert, sondern die Standardeinstellung beibehalten, ist darüber Zugang zu dem Netzwerk möglich. Viele Hersteller hatten einen zu einfachen und in der Zwischenzeit eruierten Algorithmus gewählt oder ihn sogar selbst über Patentanmeldungen veröffentlicht.415 Betroffen sind etwa in Deutschland die Router aller großen Telekommunikationsunternehmen: O2 (Telefónica), Vodafone GmbH und die Deutsche Telekom AG.416 Zum Beispiel basiert der vorkonfigurierte Pre-Shared-Key in älteren „EasyBox“Routern der Vodafone GmbH auf der MAC-Adresse des Access Points und der Seriennummer des Gerätes. Die Seriennummer wiederum lässt sich aus der MACAdresse ableiten.417 Die MAC-Adresse ist für jeden Angreifer einfach auslesbar418 und damit der Pre-Shared-Key berechenbar. Realisieren lässt sich ein solcher Angriff zum Beispiel über das Tool Speedpwn.419 Eine Übersicht über die Algorithmen und Eingabevariablen vieler Router weltweit sowie entsprechender Tools finden sich auf Routerpwn.420 (3)
Schwachstelle: Wi-Fi Protected Setup (WPS)
Die Herstellervereinigung „Wi-Fi Alliance“421 wollte mit der Etablierung des Standards Wi-Fi Protected Setup (WPS) unter anderem das Hinzufügen weiterer Teilnehmer in WPA/WPA2-gesicherten Small Office/Home Office-Netzwerken vereinfachen.422 Wi-Fi Protected Setup zielt darauf ab, die Eingabe langwieriger WPA/WPA2-Passphrasen bei jedem neuen Teilnehmer durch verschiedene andere Methoden zu ersetzen. Dabei offenbart insbesondere die Personal-Identification414 Eine umfangreiche Datenbank mit einem Überblick über die Sicherheitslücken von Routern findet sich auf https://blog.osvdb.org/ (Stand: Dezember 2017). 415 http://heise.de/-1473896 (Stand: Dezember 2017). 416 http://heise.de/-199525 (Stand: Dezember 2017); http://heise.de/-1326796 (Stand: Dezember 2017); http://heise.de/-2149103 (Stand: Dezember 2017). 417 http://blog.back-track.de/wp-content/uploads/2012/06/wlan_router_horrorstories_ release_2012.pdf (Stand: Oktober 2012). 418 Vergleich dazu: Abschnitt bb) auf Seite 79. 419 https://gitlab.com/yorickpeterse/speedpwn (Stand: Dezember 2017). 420 http://www.routerpwn.com/ (Stand: Dezember 2017). 421 Vgl. Fußnote 347 auf Seite 87. 422 http://www.wi-fi.org/discover-wi-fi/wi-fi-protected-setup (Stand: Dezember 2017).
II. Der Zugriff auf lokale Funknetzwerke (Wireless LAN)
97
Number-Methode (PIN) durch ihr Design und die Art der Implementierung große Schwächen und ermöglicht Angriffe von außen. Bei der Personal-Identification-Number-Methode wird die unter Umständen sehr lange Passphrase durch eine achtstellige PIN ersetzt. Diese beinhaltet eine individuelle siebenstellige Nummer, die letzte Stelle dient lediglich als Prüfsumme.423 Die PIN des Access Points424 muss bei jedem neuen Host eingegeben werden,425 um Zugang zum Netzwerk zu erhalten.426 Das Design des WPS-Standards sieht vor, dass die PIN in zwei Teilschritten verifiziert wird. Ein Angreifer, der eine beliebige (erratene) PIN ausprobiert, erhält als Antwort die Information, ob der erste Teil korrekt ist oder nicht. Da der erste Teil lediglich aus den ersten vier Stellen der PIN besteht, muss er nur maximal 10000 (104 ) verschiedene Kombinationen ausprobieren, um den richtigen ersten Teil zu finden. Für den zweiten Teil bleiben dann nur noch drei Stellen mit maximal 1000 (103 ) verschiedenen möglichen Kombinationen. Das heißt ein Angreifer benötigt insgesamt maximal 11000 Versuche,427 um die richtige PIN zu erraten. Gleichzeitig hatte auch kaum ein Hersteller einen Mechanismus implementiert, der das Ausprobieren verschiedener PINs in kurzer Zeit hintereinander verhinderte (Lock-Out).428 Damit ist es möglich, die PIN in wenigen Stunden zu erraten (Brute-Force-Angriff) und sich so Zugang zu dem Netzwerk zu verschaffen.429 Teilweise lässt sich die PIN sogar offline per Brute-Force-Angriff ermitteln und damit der Lock-out umgehen, weil bei einigen Herstellern der Zufallszahlengenerator Schwachstellen aufweist.430 Für andere Hersteller wiederum lässt sich die voreingestellte PIN, ähnlich dem
423 424 425 426
427 428 429 430
Rech, Wireless LANs, S. 530. Präziser: des Registrars. Oder umgekehrt, die PIN des Hosts muss beim Registrar eingegeben werden. Die WPS-Spezifikation gibt vor, dass sowohl der Access Point als auch der neue Host mit Hilfe der PIN und einer Zufallszahl einen Hashwert berechnen und diesen austauschen. Daraufhin schicken sie sich gegenseitig die Zufallszahlen, bilden mit der vom Anderen empfangenen Zufallszahl erneut einen Hashwert und vergleichen ihn mit dem zu Beginn empfangenen Hashwert. Stimmen die Hashwerte überein, verfügen beide Stationen über den gleichen PIN und können eine verschlüsselte Verbindung aufbauen, über die der Access Point dem Host die WPA/WPA2-Passphrase für den regulären Zugang zum Netzwerk übermitteln kann. Vgl. dazu Sauter, Grundkurs Mobile Kommunikationssysteme, S.342 f. Anstelle von maximal 107 = 10000000 Kombinationen ohne die Teilung. Eine Übersicht findet sich auf: https://docs.google.com/spreadsheet/ccc?key=0AgsJmeLMFP2dFp2dkhJZGIxTTFkdFpEUDNSSHZEN3c (Stand: Dezember 2017). Dazu detailliert: Viehböck, Brute forcing Wi-Fi Protected Setup, S. 3 ff. http://de.slideshare.net/0xcite/offline-bruteforce-attack-on-wifi-protected-setup (Stand: Dezember 2017).
98
E.
Der Zugriff auf den Datenverkehr eines lokalen Funknetzwerks
vorkonfigurierten Pre-Shared-Key431, aus der MAC-Adresse berechnen432 oder es existiert sogar eine Standard-PIN, die immer funktioniert.433 Automatisiert umgesetzt wird dieser Angriff unter anderem in den Tools WPSCrack434, Reaver435 und Fern Wi-Fi Cracker (vgl. Abbildung E.3). Die Relevanz der Sicherheitslücke geht zurück, weil bei neueren Modellen oder durch ein Update der Firmware der Lock-Out implementiert bzw. die Personal-IdentificationNumber-Methode ganz deaktiviert wurde.
Abbildung E.3: Automatisierter WPS-Angriff mit dem Tool Fern Wi-Fi Cracker
(4)
Schwachstelle: Router-Remote Management
Der Service der Fernwartung (Remote Management) gestattet das Konfigurieren des Routers über das Internet-Netzwerk. Standardmäßig lässt sich das Web-Interface des Routers nur von einem Host innerhalb des lokalen Netzwerkes (WLAN/LAN) aufrufen. Hat jedoch der Router-Administrator das Remote Management eingeschaltet oder lässt sich der Router bereits in der Werkseinstellung von außen über das Telnet-Protokoll ansteuern, ist der Fernzugriff über das Internet möglich. 431 Siehe dafür: Abschnitt (2) auf Seite 95. 432 Für die EasyBox: https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisori es_txt/20130805-0_Vodafone_EasyBox_Default_WPS_PIN_Vulnerability_v10.txt (Dezember 2017). Für D-Link: http://www.devttys0.com/2014/10/reversing-d-linkswps-pin-algorithm/ (Stand: Dezember 2017). 433 https://heise.de/-1558346 (Stand: Dezember 2017). 434 https://github.com/ml31415/wpscrack (Stand: Dezmer 2017). Entwickelt von Stefan Viehböck. 435 https://code.google.com/archive/p/reaver-wps/ (Stand: Dezember 2017). Entwickelt von Craig Heffner.
II. Der Zugriff auf lokale Funknetzwerke (Wireless LAN)
99
Über die öffentliche IP-Adresse des Routers436 kann das Web-Interface des Konfigurationsmenus des Routers angesteuert werden. Der Login ist passwortgeschützt. In der Regel werden die Router mit einem herstellerspezifischen Standardpasswort ausgeliefert. Sollte der Router-Administrator es nicht manuell geändert haben, kann ein Angreifer sich darüber einloggen. Übersichten mit Standardpasswörtern für Router finden sich etwa auf http://www.router-faq.de/index.php?id=router_ip_pw (Stand: Dezember 2017) und http://www.defaultpassword.com/ (Stand: Dezember 2017). Sollte auf ein individuelles Passwort umgestellt worden sein, kann versucht werden, dass Passwort durch einen Brute-Force-Angriff437 in Erfahrung zu bringen. Nur in wenigen Fällen, hat die Router-Firmware zum Beispiel über einen Lock-Out438 einen Schutz vor derartigen Brute-Force-Angriffen implementiert. Mit dem Router-Passwort kann unter anderem im Konfigurationsmenu eingeloggt, der eingestellte WPA/WPA2-Schlüssel ausgelesen und für das Mitschneiden des Datenverkehrs439 vor Ort verwendet werden. (5)
Sonstige Attacken auf WPA/WPA2
Es sind weitere Schwachstellen bekannt. Sie sind in diversen Fachaufsätzen erläutert worden. Einige seien hier beispielhaft kurz angeführt. (a)
WPA-TKIP
(aa) Beck/Tews Beck/Tews440 veröffentlichten einen Angriff, der den bekannten Chopchop-Angriff441 von KoreK für WPA mit Temporary Key Integrity Protocol modifiziert. Der KoreK-Chopchop-Angriff machte sich die Schwäche der Integritätsprüfung mit dem Cyclic-Redundancy-Check-Algorithmus (in WEP: Integrity Check Value) zunutze. Er zielte nicht darauf ab, den WEP-Schlüssel aufzudecken, sondern den Klartext ohne Kenntnis des WEP-Schlüssels offen zu legen.442 Ein empfangenes Frame wird Stück für Stück entschlüsselt, indem es immer wieder leicht modifiziert an den Access Point zurückgeschickt wird.443 Für WPA ist deswegen 436 Es sind verschiedene Wege denkbar, an die (aktuelle) öffentliche IP-Adresse des ZielRouters zu gelangen. Für die Strafverfolgungsbehörden bestünde unter Umständen etwa die Möglichkeit, sich die IP-Adresse vom Internet Service Provider herausgeben zu lassen. 437 Zu den verschiedenen Angriffsarten siehe Abschnitt 1. auf Seite 62. 438 Mit Lock-Out wird eine Implementierung bezeichnet, die das Ausprobieren verschiedener Passwörter in kurzer Zeit verhindert und so einen Brute-Force-Angriff ineffektiv werden lässt. 439 Dazu sogleich in Abschnitt 3. auf Seite 105. 440 Beck/Tews, Practical attacks against WEP and WPA, S. 83 ff. 441 Für Details zu diesem Angriff siehe: Tews, Attacks on the WEP protocol, S. 32 ff. 442 http://www.aircrack-ng.org/doku.php?id=korek_chopchop (Stand: Dezember 2017). 443 Beck/Tews, Practical attacks against WEP and WPA, S. 82.
100
E.
Der Zugriff auf den Datenverkehr eines lokalen Funknetzwerks
eine Modifikation notwendig, weil das Temporary Key Integrity Protocol für die Integritätsprüfung zusätzlich den Michael-Algorithmus vorschreibt, der einen Message Integrity Check berechnet. Beachtet werden muss bei der modifizierten Attacke, dass kein Re-Keying ausgelöst wird, was den Angriff verlängert. War der Angriff erfolgreich, ist das Frame im Klartext und der zur Verschlüsselung benutzte Schlüsselstrom bekannt. Das ermöglicht wiederum das Einschleusen von Paketen (Re-injection). Um den Schutzmechanismus des Sequence Counters zu umgehen, nutzen Beck und Tews die verschiedenen Kanäle des IEEE 802.11e-Quality-ofService-Dienstes aus.444 Ohigashi/Morii verwenden den Beck/Tews-TKIP-Angriff in einem Man-in-the-Middle-Szenario. Dadurch sind sie nicht auf die Verwendung des Quality-of-Service-Dienstes im Netzwerk als Voraussetzung angewiesen, um den TKIP Sequence Counter auszuhebeln. Außerdem zeigen sie eine Methode auf, den Angriff schneller durchzuführen.445 Der Angriff ermöglicht es also bisher nur, (bestimmte) Frames zu entschlüssen und (einige wenige) Frames in das Netzwerk zu re-injizieren, nicht aber auf den Schlüssel zu schließen, und ist daher für diese Untersuchung (noch) nicht fruchtbar.446 (bb) Beck und Vanhoef/Piessens Im Jahr 2010 stellte Beck einen weiteren Angriff auf das Temporal Key Integrity Protocol vor, der Schwächen des Michael-Algorithmus aufdeckt und Bittaus447 Fragmentation Attack aufgreift.448 Unter bestimmten Voraussetzungen ist es möglich, nicht nur bestimmte Frames, sondern beliebige Datenpakete in der Kommunikationsrichtung vom Access Point zum Host zu entschlüsseln. Allerdings trifft Beck dafür komplexe Grundannahmen,449 die so verbreitet nicht anzutreffen sein dürften. Daher ist der Angriff bisher von geringer praktischer Relevanz geblieben. 2013 veröffentlichen Vanhoef/Piessens eine Studie, in der sie Becks Ideen weiter entwickeln und implementieren.450 Sie zeigen, wie sich ein TCP444 Zum Ganzen mit weiteren Details: Zahoransky, WPA-TKIP: Überblick und Angriffe, S. 5 ff. 445 Ohigashi/Morii, A Practical Message Falsication Attack on WPA, S. 1 ff. 446 Der Angriff ist nicht nur auf die Daten beschränkt, die der Access Point zum Host sendet, sondern auch auf bestimmte Datenpakete (ARP-Pakete). Halvorsen/Haugen erweitern unter anderem (sie erläutern auch die Umsetzung eines ARP-Poisoningund eines Denial-of-Service-Angriffs, vgl. Halvorsen/Haugen, Cryptanalysis of IEEE 802.11i TKIP, S. 65 ff.) den Angriff auf größere Frames (DHCP-ACK-Frames), sind aber auch auf die Kommunikationsrichtung Access Point-zu-Host limitiert, vgl. Halvorsen/Haugen, Cryptanalysis of IEEE 802.11i TKIP, S. 69. 447 Bittau/Handley/Lackey, The Final Nail in WEP’s Coffin, S. 1 ff. 448 Beck, Enhanced TKIP Michael Attacks, S. 1 ff. 449 So setzt der Angriff unter anderem eine bestehende Internetverbindung, einen Host mit Linux als Teil des Netzwerkes und einen offenen TCP-Port voraus, vgl. Beck, Enhanced TKIP Michael Attacks, S. 10. 450 Vanhoef/Piessens, Practical Verification of WPA-TKIP Vulnerabilities, S. 1 ff.
II. Der Zugriff auf lokale Funknetzwerke (Wireless LAN)
101
Frame entschlüsseln und „übernehmen“ lässt, um beliebige Daten zu injizieren.451 Das Tool veröffentlichten sie allerdings nicht. Auch ein Rückschluss auf den eigentlichen Chiffrierschlüssel bleibt bei diesem Angriff weiterhin unmöglich. (cc)
Umsetzung
Das in der Aircrack-NG-Sammlung enthaltene Tool Tkiptun-ng zielt darauf ab, den Becks-Angriff zu realisieren. Es liegt allerdings bisher nur in der Version 1.0 vor und ist noch nicht voll funktionsfähig veröffentlicht. Bisher ist es nur in der Lage, ein einzelnes ARP-Paket zu entschlüsseln.452 (b) (aa)
WPA2 Hole196 Vulnerability
Eine Schwachstelle im 802.11i-Standard wurde 2010 von Ahmad entdeckt.453 Bei diesem Angriff wird der Group Temporal Key (GTK)454 missbraucht, um manipulierte Datenpakete zu verschicken. Der Group Temporal Key ist allen assoziierten Hosts bekannt und eigentlich nur für Broadcast-Nachrichten gedacht. Die Schwachstelle ermöglicht verschiedene Attacken von innen aus dem Netzwerk heraus, wie Stealth-ARP-Cache-Poisoning, Malware Injection für ausgewählte IP-Adressen oder DoS-Attacken.455 Voraussetzung für diesen Angriff ist damit aber, dass der GTK dem Host bereits bekannt, er also erfolgreich mit dem Netzwerk (authentifiziert und) assoziiert ist.456 Das macht ihn an dieser Stelle im Zusammenhang mit der Infiltration fremder Wireless LANs weniger interessant. (bb)
KRACK
Im Oktober 2017 veröffentlichte Vanhoef eine weitere schwerwiegende Sicherheitslücke, die nahezu alle Implementierungen von WPA2 betrifft. Dem Grundprinzip nach werden bei der Key Reinstallation Attack (KRACK) bestimmte Frames des Authentifzierungs-Handshake manipuliert und re-injiziert. Auf diese Weise wird eine Key Reinstallation erzwungen, die zu einer nicht vorhergesehenen erneuten Nutzung insbesondere einer für die Sicherheit der Verschlüsselung wichtigen 451 Vanhoef/Piessens, Practical Verification of WPA-TKIP Vulnerabilities, S. 6. 452 http://www.aircrack-ng.org/doku.php?id=tkiptun-ng (Stand: Dezember 2017). 453 Die Schwachstellte ist damit sowohl für WPA als auch für WPA2 ausnutzbar, siehe Ahmad, WPA Too!, S. 6. 454 Für die verschiedenen Schlüssel in WPA2 siehe Abschnitt bb) auf Seite 90. 455 Ahmad, WPA Too!, S. 2 ff. 456 Ahmad, WPA Too!, S. 2.
102
E.
Der Zugriff auf den Datenverkehr eines lokalen Funknetzwerks
Zufallszahl führt457 und auf diese Weise die Verschlüsselung aushebeln kann.458 Ganz besonders anfällig ist der WLAN-Treiber wpa-supplicant, der bei Linuxund Android-Endgeräten Verwendung findet. Wpa-supplicant setzt bei der Key Reinstallation den Schlüssel auf einen Wert ausschließlich aus Nullen und hebelt damit die Verschlüsselung direkt gänzlich aus.459 ee)
Zusammenfassung: WPA/WPA2-verschlüsseltes WLAN
Der Zugang zu WPA- und WPA2-gesicherten Netzwerken ist nicht vergleichbar einfach und gesichert wie im Fall des Einsatzes von WEP. Das WPA/WPA2Sicherheitskonzept ist grundsätzlich noch intakt, ein Rückschluss auf jeden beliebigen Schlüssel (vollständiges Key Recovery) ist bisher nicht ohne Weiteres durchführbar. Allerdings ermöglicht die Art der Authentifizierung einen BruteForce-Angriff. Die große Schwachstelle von WPA und WPA2 bildet damit die zu Grunde liegende Passphrase. Sollte die Passphrase zu kurz (grob gesagt im Bereich 8-10 Stellen) gewählt werden, ist es wahrscheinlich, dass ein Dictionary-Angriff (als Variante des Brute-Force-Angriffs) bei jeder möglichen Zeichenkombination460 und damit immer erfolgreich ist. Bei längeren Passphrasen hängt ein Erfolg allein davon ab, ob sich die im Ziel-Netzwerk verwendete Passphrase auch im eingesetzten Dictionary File(s) mit seinen zig-Millionen Einträgen befindet. Nur dann kann der Angriff funktionieren. Abhängig ist die Erfolgswahrscheinlichkeit dieses Angriffs auch von der benutzten Hardware (Wie viele leistungsstarke Grafikkarten sind verbaut? Auf wie vielen Rechnern parallel werden wie viele verschiedene Dictionary Files abgearbeitet?). Wie in Abbildung A.18 auf Seite 367 zu sehen, befinden sich auch scheinbar komplizierte und lange Passphrasen in den Dictionary Files. Ist die Passphrase aber ausreichend lang und ausreichend ungewöhnlich, ist es ziemlich unwahrscheinlich, einen Dictionary-Angriff erfolgreich durchführen zu können. Beim Dictionary-Angriff muss nur kurz der Handshake in räumlicher Nähe mitgeschnitten werden. Der Mitschnitt ist vom Überwachten grundsätzlich kaum zu bemerken. Der eigentliche Brute-Force-Angriff kann dann an einem anderen, entsprechend ausgestatteten Ort stattfinden. Eine weitere unter Umständen gravierende Schwachstelle bilden die vorkonfigurierten WPA/WPA2-Schlüssel einiger Routerhersteller. Hat der Betroffene die Standardeinstellung nicht manuell geändert, ist es möglich, direkt auf den Pre457 Einer sogenannten Nonce, vgl. Fußnote 309 auf Seite 82. Zur Bedeutung der Nonces für die Authentifizierung und Assoziierung bei WPA2 siehe in Anhang A in Abschnitt dd) auf Seite 363. 458 Vgl. https://www.heise.de/-3865019 (Stand: Dezember 2017). Für weitere Details siehe Vanhoef/Piessens, Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2, abrufbar unter: https://papers.mathyvanhoef.com/ccs2017.pdf (Stand: Dezember 2017). 459 https://www.heise.de/-3865019 (Stand: Dezember 2017). 460 Ohne Sonderzeichen.
II. Der Zugriff auf lokale Funknetzwerke (Wireless LAN)
103
Shared-Key zu schließen oder zumindest den Schlüsselraum derart einzugrenzen, dass ein Brute-Force-Angriff bereits nach wenigen Minuten zum Erfolg führt. Ebenso können der Wi-Fi-Protected-Setup-Standard oder das Router Remote Management ein Einfallstor darstellen. Auch wenn das WPA- und WPA2-Sicherheitskonzept grundsätzlich intakt ist, sind bereits einige Schwachstellen offen gelegt, teils von gravierender Natur, wie KRACK gezeigt hat. d)
Evil-Twin-Attack
Sollten alle bisher beschriebenen Varianten, das fremde Netzwerk (direkt) zu infiltrieren, fehlschlagen, stellt die Evil-Twin-Attack eine weitere (indirekte) Möglichkeit dar, den Netzwerkverkehr mitzuschneiden.461 Die Grundidee dieses Angriffs sieht vor, dass der Ziel-Host dazu gebracht wird, sich nicht mit seinem (geschützten) Netzwerk zu verbinden, sondern sich stattdessen bei einem Access Point unter der Kontrolle des Angreifers einzubuchen. Bei einem Evil-Twin-Angriff baut der Angreifer einen eigenen Access Point auf und stellt so selbst ein Funknetzwerk bereit (den „Evil Twin“). Dieses zusätzliche Netzwerk wird unter dem gleichen Service Set Identifier (Netzwerkname) betrieben wie das Ziel-Netzwerk,462 und der Access Point erhält die gleiche MAC-Adresse wie der originale Access Point. Dieses Netzwerk ist selbst aber nicht verschlüsselt, so dass keine Hürden für die Assoziierung bestehen. Voraussetzung ist, dass das Funksignal des zweiten Netzwerkes stärker ist als das Signal des ursprünglichen Ziel-Netzwerkes (unter Umständen etwa durch Einsatz einer Richtfunkantenne). Möglich ist dieser Angriff deshalb, weil der 802.11i-Standard vorsieht, dass ein einheitliches Netzwerk von vielen Access Points aufgespannt werden kann, um so in der Lage zu sein, auch größere Areale mit einem einheitlichen Wireless LAN abzudecken.463 Der Host assoziiert sich, soweit die Parameter übereinstimmen, in einem solchen WLAN immer mit dem Access Point mit dem stärksten Signal. Der Angriff kann in Kombination mit der Deauthentication-Attack464 gestartet werden, bei der der Host zwangsweise von seinem Access Point de-assoziiert wird und sich neu verbinden muss. Dann besteht die Möglichkeit, dass sich der WLAN-Adapter des Ziel-Hosts bei der Suche nach verfügbaren Netzwerk bereits automatisch mit dem Evil-TwinNetzwerk des Angreifers verbindet. Das ist aber abhängig von der Konfiguration des WLAN-Adapters und des Netzwerk-Managers. Da nicht alle Parameter exakt 461 Für die schrittweise praktische Umsetzung des Angriffs siehe Anhang A, Abschnitt (2) auf Seite 368 ff. 462 Daher auch der Name vom „bösen Zwilling“. 463 Vgl. Rech, Wireless LANs, S. 45 ff. 464 Siehe Abschnitt (e) auf Seite 94.
104
E.
Der Zugriff auf den Datenverkehr eines lokalen Funknetzwerks
übereinstimmen, dürfte sich im Regelfall der WLAN-Adapter nicht automatisch mit dem Evil-Twin verbinden, weil dieser unverschlüsselt ist und damit eben teilweise über andere Parameter verfügt. In diesem Fall könnte ein Evil-Twin mit der Konfiguration eines solchen unverschlüsselten Access Points aufgesetzt werden, der bereits im Netzwerk-Manager des Ziel-Hosts gespeichert ist. Das ist zum Beispiel der Fall, wenn der Anwender im Laufe der Zeit etwa auf Reisen ein allgemein zugängliches WLAN-Netzwerk genutzt hat. Das lässt sich herausfinden, weil viele nicht-assoziierte WLAN-Adapter Probe-Request-Frames465 auf der Suche nach alten Access Points senden, mit denen sie schon einmal verbunden waren. Ein solcher „vertrauter“ Access Point kann vom Evil-Twin simuliert werden.466 Der Vorteil ist, dass sich der WLAN-Adapter des Ziel-Hosts nun automatisch mit dem vermeintlich bekannten Netzwerk verbinden wird. Alternativ können auch die Konfigurationen von öffentlichen Hotspots großer Unternehmen oder Hotelketten, die kostenlosen WLAN-Zugang bereitstellen, ausprobiert werden. Im Regelfall wird es aber einer Mitwirkungshandlung des Betroffenen bedürfen, der den Evil Twin als vermeintlich sein eigenes Netzwerk mit dem stärksten Signal auswählt. Die Wahrscheinlichkeit dafür kann erhöht werden, wenn die Verbindung des Hosts mit seinem Original-Access Point mittels einer Deauthentication-DoSAttack467 permanent unterbunden wird. Weil deshalb der Zugriff auf das InternetNetzwerk nicht mehr funktioniert, besteht die große Chance, dass der Anwender im Rahmen der Problembehandlung einmalig manuell die Verbindung mit dem gleichnamigen Evil-Twin herstellt, weil für ihn eine Unterscheidung zwischen Original-Access Point und Evil-Twin schwer ist. Danach ist die Verbindung mit dem Evil-Twin in der Konfiguration des Netzwerk-Managers gespeichert. Angesichts des stärkeren Signals des Evil-Twins wird sich der WLAN-Adapter im Folgenden automatisch mit ihm verbinden. Realisieren ließe sich diese Variante der EvilTwin-Attack auch als Phishing-Angriff, um direkt an die WPA/WPA2-Passphrase des originalen Access Points zu gelangen. Dabei liefert der Evil-Twin dem Host zum Beispiel eine Internetseite, die vorgibt, dass die WPA/WPA2-Passphrase nach einem automatischen Firmware-Update des Routers neu eingegeben werden müsste. Tippt der Ziel-Host die Passphrase ein, wird sie vom Angreifer mitgeschnitten. Der Evil-Twin kann daraufhin vom Netz genommen werden, so dass die Internetverbindung wieder über das ursprüngliche WLAN läuft, und für den 465 Zu Probe-Request-Frames allgemein siehe Abschnitt (2) auf Seite 74. 466 Das Tool Airbase-ng zum Beispiel hat diese Möglichkeit über den „-P“-Befehl implementiert, so dass der Evil-Twin automatisch auf jedwedes Probe-Request-Frame des Ziel-WLAN-Adapters antwortet. Oder mit dem spezialisierten Karma Wireless Client Security Assessment Tools, vgl. http://www.theta44.org/karma/index.html (Stand: Dezember 2017). 467 DoS steht für Denial-of-Service. Bei diesem Angriff werden fortlaufend DisassociationFrames an das Opfer geschickt, so dass es sich dauerhaft nicht mit dem Access Point verbinden kann. Die Verbindung zum Internet-Netzwerk ist in der Zeit natürlich auch gestört.
II. Der Zugriff auf lokale Funknetzwerke (Wireless LAN)
105
Nutzer erscheint das Eingeben damit als erfolgreich. Automatisiert realisieren lässt sich diese Variante des Angriffs zum Beispiel über das Tool wifiphisher468. Der derart umgeleitete Netzwerkverkehr des Ziel-Hosts kann dann über einen anderen oder den eigentlichen Access Point weiter ins Internet-Netzwerk geleitet werden (damit ist eine klassische Man-in-the-Middle-Situation realisiert). e)
Zusammenfassung: Der Zugang zum (fremden) Wireless LAN
Es bestehen vielfältige Ansätze, sich Zugang zu einem (fremden) Heimnetzwerk zu verschaffen. Ungesicherte und WEP-gesicherte Heimnetzwerke lassen sich immer erfolgreich infiltrieren. Im Fall von WPA- und WPA2-gesicherten Netzwerken ist der Brute-Force-Angriff auf Dauer der aussichtsreichste, ein Erfolgseintritt aber nicht sicher. Er hängt von verschiedenen Faktoren wie verwendeter Passphrase und eingesetzter Hardware ab. Sollte ein Brute-Force-Angriff auf das Ziel-WPA/WPA2-Netzwerk scheitern, existieren noch weitere ausnutzbare, von der Ausgangskonfiguration des Ziels abhängige Schwachstellen. So könnte zum Beispiel unter bestimmten Voraussetzungen der Angreifer die WPS-Schwachstelle oder das Einfallstor über die vorkonfigurierten WPA/WPA2-Schlüssel ausnutzen. Sollten auch diese Angriffe nicht zum Zugriff auf das Netzwerk führen, bliebe die Möglichkeit, einen Evil-Twin aufzusetzen. Dieser Angriff hängt in gewissem Maße auch von der Erfahrung und dem Problembewusstsein der Ziel-Person ab. Bei WPA/WPA2-gesicherten funkbasierten Heimnetzwerken ist eine erfolgreiche Infiltration also keineswegs garantiert, aber angesichts der verschiedenen Möglichkeiten alles andere als unwahrscheinlich, insbesondere bei einem technisch durchschnittlichen „Internet-Nutzer“ als Zielperson. 3.
Mitschneiden des Datenverkehrs im Wireless LAN
Waren die in Abschnitt 2. auf Seite 78 ff. beschriebenen Angriffe erfolgreich, hat der Überwachende sich Zugang zum Ziel-Netzwerk verschafft. Er kann damit aber nicht in jedem Fall auch direkt den Netzwerkverkehr mitschneiden. Je nachdem, welches der Sicherheitszenarien im Ziel-Netzwerk zum Einsatz kommt, sind noch weitere Zwischenschritte vonnöten (so muss der Angreifer den Datenverkehr zum Beispiel erst entschlüsseln). Im folgenden Abschnitt wird ein Blick auf diejenigen Maßnahmen geworfen, die notwendig sind, um den Datenverkehr des Ziel-Netzwerks lesbar zu machen, nachdem die Verschlüsselung des Netzwerks erfolgreich kompromitiert worden ist. Der Prozess des Mitlauschens/Mitschneidens von Daten eines (fremden) Netzwerks wird im Fachjargon als Sniffen469 bezeichnet. Auch dieser 3. Abschnitt beschäftigt sich noch mit den Voraussetzungen für die nachfolgende Untersuchung der Datenströme. Ausführungen zur inhaltlichen 468 https://github.com/sophron/wifiphisher (Stand: Dezember 2017). 469 Nach dem engl. to sniff (schnüffeln, schnuppern).
106
E.
Der Zugriff auf den Datenverkehr eines lokalen Funknetzwerks
Auswertung des mitgeschnitten Netzwerkverkehrs erfolgen dann gesondert in § F auf Seite 113 ff. a)
Sniffen des unverschlüsselten Netzwerkverkehrs (WLAN ohne Sicherheitsvorkehrungen)
Die Einfachheit in diesem Szenario liegt darin, dass der Zugang zum Netzwerk nicht nur jedem in Reichweite gewährt wird, sondern jeglicher zwischen den Hosts und den Access Points ausgetauschte Datenverkehr nicht verschlüsselt wird.470 Das bedeutet, dass alle WLAN-Adapter in Reichweite grundsätzlich ebenso die Funksignale empfangen können, die der Access Point und sein assoziierter Host austauschen.471 Sie müssen selbst nicht mit dem Access Point assoziiert sein. Voraussetzung ist lediglich, dass der Überwachende seinen eigenen WLAN-Adapter in den „Monitor Mode“472 setzt. Standardmäßig verarbeitet ein WLAN-Adapter nur solche Frames, die sich direkt an ihn richten, also diejenigen Frames, die mit seiner MAC-Adresse versehen sind („Managed Mode“). Im „Monitor Mode“ hingegen verarbeitet der WLAN-Adapter alle empfangenen Frames und leitet sie an die entsprechende Programmierschnittstelle weiter.473 Der Überwachende muss also nicht mit dem Netzwerk verbunden sein, um den gesamten Datenverkehr sniffen zu können. Er hinterlässt daher auch keine Spuren beim Überwachten. b)
Sniffen des WEP-verschlüsselten Netzwerkverkehrs
Ein WLAN-Adapter im „Monitor Mode“ in Funkreichweite des Access Point kann natürlich ebenso verschlüsselten Datenverkehr mitschneiden. Allerdings sind diese Daten per se erst einmal nutzlos. Sie sind für den Angreifer nur eine Abfolge von Zeichen, die ohne den Dechiffrier-Schlüssel nicht sinnvoll ausgewertet werden können. Eine Schwäche von WEP war die Verwendung eines statischen Schlüssels.474 So verwenden alle assoziierten Hosts des Netzwerks den identischen Schlüssel, der zudem auch direkt zum Verschlüsseln der ausgetauschten Datenpakete eingesetzt wird. Hat ein Angreifer das Ziel-Netzwerk erfolgreich infiltriert und den Schlüssel erlangt, ist er in der Lage, den Datenverkehr des Netzwerks jederzeit zu entschlüsseln. Die Daten können, nachdem sie verschlüsselt mitgeschnitten wurden, nachträglich dechiffriert werden. Tools wie Wireshark475 erlauben aber 470 Siehe oben in Abschnitt a) auf Seite 79. 471 Dazu ebenfalls bereits Abschnitt (c) auf Seite 48. 472 Der Monitor Mode ist einer der verschiedenen IEEE 802.11-Betriebsmodi. Er existiert auch nur für Funknetzwerke, vgl. Li/Fu, Wireless Networks - 802.11 WiFi Exploration, S. 2. 473 Li/Fu, Wireless Networks - 802.11 WiFi Exploration, S. 2. 474 Siehe oben in Abschnitt bb) auf Seite 90. 475 https://wireshark.org/ (Stand: Dezember 2017).
II. Der Zugriff auf lokale Funknetzwerke (Wireless LAN)
107
auch das Live-Entschlüsseln während des Sniffens, so dass die Daten direkt entschlüsselt und auswertbar gespeichert werden. Abbildung E.4476 zeigt einen Teil eines Mitschnitts WEP-verschlüsselten Netzwerkverkehrs. Das markierte Frame mit der Nummer 138 enthält keine sinnvollen Informationen (vgl. den in der Abbildung hervorgehobenen Abschnitt „Data“). Nach Eingabe des WEP-Schlüssels in Wireshark wird der Mitschnitt nachträglich entschlüsselt. Die Veränderung lässt sich in Abbildung E.5 auf der nächsten Seite477 anschaulich nachvollziehen. Das hervorgehobene Frame Nummer 138 stellt sich als HTTP-Nachricht heraus. Der Inhalt der HTTP-Nachricht (die Anforderung einer Homepage durch den Client) und weitere Informationen wie Absender- und Ziel-IP-Adresse (im Datagramm) werden les- und auswertbar. Der Angreifer muss dabei nicht mit dem Ziel-Netzwerk assoziiert sein, er hinterlässt also keine Spuren während des Sniffens. Das Überwachen selbst kann rein passiv erfolgen, wenn der WEP-Schlüssel erst einmal in Erfahrung gebracht wurde.
Abbildung E.4: Mitschnitt von WEP-verschlüsselten Frames
c)
Sniffen des WPA/WPA2-verschlüsselten Netzwerkverkehrs
WPA und WPA2 bauen durch ihr Schlüsselmanagement478 einen zusätzlichen Sicherheitsmechanismus im Vergleich zu WEP ein. Jeder assoziierte Host verschlüsselt seinen Datenverkehr mit dem Access Point mit einem eigenen temporären Schlüssel, den er erst im Rahmen der Authentifizierung479 mit dem Access Point ausgehandelt hat. Das bedeutet zum einen, dass sich der (temporäre) Schlüssel 476 477 478 479
Captured mit Wireshark. Captured mit Wireshark. Siehe Abschnitt bb) auf Seite 90. Siehe Abschnitt cc) auf Seite 90.
108
E.
Der Zugriff auf den Datenverkehr eines lokalen Funknetzwerks
Abbildung E.5: Mitschnitt der gleichen Frames, nur entschlüsselt
nach jedem Authentifizierungsvorgang ändert, zum anderen, dass jeder assoziierte Host im Netzwerk seinen Datenverkehr mit einem anderen (temporären) Schlüssel chiffriert. War die Brute-Force-Attack auf WPA/WPA2 erfolgreich, verfügt der Angreifer über die Passphrase (Pre-Shared-Key). Wie zuvor dargestellt,480 leitet sich der temporäre Schlüssel allerdings im Endeffekt von der Passphrase unter Einbeziehung einiger weiterer Komponenten (ANonce, SNonce, SSID etc.) ab. Die Informationen über die weiteren Komponenten werden im Authentifzierungs-Handshake ausgetauscht. Der temporäre Schlüssel kann also vom Angreifer berechnet werden, wenn er den Handshake mitschneidet. Das bedeutet, dass für jede Session, die gesnifft und entschlüsselt werden soll, zunächst der Handshake abgefangen werden muss. Wird der Moment der Authentifizierung verpasst, kann der Angreifer den Datenverkehr nicht dechiffrieren, trotz Kenntnis der Passphrase. Er verfügt allerdings über die jederzeit einsetzbare Deauthentication-Attack.481 Mit ihr kann der Ziel-Host immer dazu gebracht werden, sich beim Access Point neu zu assoziieren und die Handshake-Pakete auszutauschen. Ab diesem Zeitpunkt kann der Angreifer den Datenverkehr dechiffrieren. Wird das Mitschneiden des Netzwerkverkehrs (das Überwachen) über einen längeren Zeitraum aufrechterhalten, wird ohnehin jeder Handshake mitgesnifft. Abbildung E.6 auf der nächsten Seite482 zeigt wieder den Mitschnitt der noch WPA2-verschlüsselten Frames (Frame Nummer 2140 ist 480 Siehe Abschnitt (1) auf Seite 91. 481 Siehe Abschnitt (e) auf Seite 94. 482 Captured mit Wireshark.
II. Der Zugriff auf lokale Funknetzwerke (Wireless LAN)
109
hervorgehoben). Im rechten Bereich der Abbildung (ab Frame Nummer 2147) kann man die Auswirkungen der vom Angreifer gestarteten DeauthenticationAttack sehen. Der Access Point sendet an alle Hosts Deauthentication Frames (im Broadcast). Ein paar Sekunden später assoziiert sich der Host direkt wieder beim Access Point. Der Austausch der Handshake-Pakete (die Frames mit den Nummer 2648, 2650, 2652 und 2654) kann in Abbildung E.7 auf der nächsten Seite483 nachvollzogen werden. Ab (und nur ab) diesem Zeitpunkt liegen die Frames im Mitschnitt wieder unverschlüsselt vor. So ist nun erkennbar, dass das markierte Frame Nummer 2656 eine HTTP-GET-Nachricht enthält. Weitere Informationen wie IP-Adressen werden im Mitschnitt ab Frame Nummer 2656 wieder sichtbar. Die eigentliche Überwachung erfolgt hier ebenfalls rein passiv.
Abbildung E.6: Mitschnitt des Assoziierungs-Handshake
d)
Sniffen am Evil Twin
Wird ein Evil-Twin-Angriff erfolgreich durchgeführt, laufen die Daten ohnehin über den Rechner des Angreifers (Man-in-the-Middle-Situation) und können dort mitgeschnitten werden. Alternativ ist die Verbindung zum Evil-Twin-Access-Point gerade nicht verschlüsselt, kann also, wie in Abschnitt a) auf Seite 106 beschrieben, gesnifft werden. e)
Zusammenfassung: Mitschneiden des Datenverkehrs im Wireless LAN
Der Datenverkehr in Wireless LANs ohne Sicherheitsvorkehrungen kann jederzeit, ohne zusätzlichen Aufwand, gesnifft werden. In Netzwerken mit Sicherheitsvorkehrungen kann der Datenverkehr nur dann entschlüsselt und mitgeschnitten werden, wenn das Ziel-Netzwerk zuvor erfolgreich infiltriert und der Pre-Shared-Key 483 Captured mit Wireshark.
110
E.
Der Zugriff auf den Datenverkehr eines lokalen Funknetzwerks
Abbildung E.7: Mitschnitt der Deauthentication-Attack
(Passphrase) erlangt wurde. WEP-verschlüsselter Netzwerkverkehr kann dann direkt mit der Passphrase entschlüsselt werden. WPA/WPA2 verschlüsselt jede Sitzung für jeden Host mit einem separaten temporären Schlüssel. Dieser muss erst aus der Passphrase mit weiteren Informationen berechnet werden, was aber mit der Deauthentication Attack steuerbar und daher ebenfalls jederzeit möglich ist. Hat der Angreifer sich also erfolgreich Zugang zum dem Ziel-Netzwerk verschafft, kann immer auch der Datenverkehr auf interpretierbare Weise mitgeschnitten werden, wenn auch auf unterschiedlichen Wegen mit unterschiedlichem Aufwand. III.
Zusammenfassung: Der Zugriff auf den Datenverkehr eines (fremden) lokalen Funknetzwerks
In Abschnitt II. ab Seite 72 ff. wurden die Möglichkeiten und Erfolgsaussichten untersucht, die für einen Angreifer (Überwachenden) bestehen, ein lokales Netzwerk in Gestalt eines Wireless LANs zu infiltrieren. Wie beschrieben setzt sich ein solches Vorgehen aus drei Teilschritten zusammen. Zunächst muss das ZielWireless-LAN identifiziert werden. Ist das Ziel festgelegt, kann damit begonnen werden, sich Zugang zu diesem Funk-Netzwerk zu verschaffen. War dieser Schritt erfolgreich, muss gegebenenfalls der Netzwerkverkehr noch entschlüsselt werden. Die (Teil-)Ergebnisse lassen sich wie folgt zusammenfassen: 1. Lokalisieren und Zuordnen des Access Points Ausgangspunkt ist der Aufenthaltsort der Zielperson (= Ort des heimischen Internetzugangs, also Standort des „Routers“). Je nach der vor Ort vorgefundenen Anzahl
III. Zusammenfassung: Der Zugriff auf den Datenverkehr
111
und Dichte an aufgespannten WLANs, kann die Auswahl des Ziel-Netzwerks gar keine Probleme bereiten oder etwas aufwendiger sein. Den einfachsten Anhaltspunkt bietet die sich verändernde Signalstärke. Nähert man sich dem Zielort, muss das Signal des gesuchten Netzwerks immer stärker werden, die Signale der anderen Netzwerke in der Umgebung aber abnehmen. Entfernt man sich, ist der Vorgang genau umgekehrt. In den allermeisten Fällen sollte die Zuordnung eines bestimmten WLANs zu der Zielperson kein Problem darstellen. 2. Der Zugang zum (fremden) Wireless LAN Hier liegt der schwierigste und komplizierteste Teilschritt des Infiltrationsvorganges. Außer in dem Fall, in dem das Ziel-Netzwerk ungesichert betrieben wird (heutzutage eher selten), muss das eingesetzte Sicherheitskonzept „gebrochen“ werden. Wired Equivalent Privacy (WEP) lässt sich inzwischen mit freien verfügbaren Tools sehr leicht, nach sehr kurzer Zeit und ohne Zweifel „knacken“. Im Falle von Wi-Fi Protected Access (WPA) und seinem Nachfolger WPA2 gestaltet sich die Problematik schon komplizierter. Eine generelle Sicherheitslücke wie bei WEP wurde für WPA/WPA2 (noch) nicht gefunden. Die wichtigste Schwachstelle von WPA/WPA2 ist die Authentifizierung, die einen Brute-Force-Angriff auf die Passphrase ermöglicht. Der Erfolg eines solchen Angriffs lässt sich sehr schwer vorhersagen und ist entscheidend von weiteren Faktoren (wie der Komplexität der von der Zielperson benutzten Passphrase oder der vom Angreifer eingesetzten Hardware) abhängig. Es existieren noch weitere Einfallstore wie die WPS-Schwachstelle, das Remote-Management oder insbesondere die Schwachstelle der vorkonfigurierten WPA/WPA2-Schlüssel, die sich unter Umständen ausnutzen lassen. Sind die Versuche, das WPA/WPA2-Sicherheitskonzept auszuhebeln, nicht von Erfolg gekrönt, bleibt die Möglichkeit, das geschützte Ziel-Netzwerk zu umgehen und die Zielperson (bzw. den Wireless Adapter des Endgerätes der Zielperson) dazu zu bringen, sich mit einem identisch ausschauenden WLAN unter Kontrolle des Angreifers (Evil-Twin) zu verbinden. In ungesicherten bzw. WEP-gesicherten Netzwerken ist eine erfolgreiche Infiltration also garantiert, in WPA/WPA2-gesicherten Netzwerken ist die Infiltration angesichts der Möglichkeiten nicht unwahrscheinlich. Bei einem durchschnittlichen „Internet-Nutzer“ als Ziel-Person bestehen insgesamt gute Aussichten auf einen erfolgreichen Zugriff auf die Datenströme des Ziel-Netzwerkes. 3.
Mitschneiden des Datenverkehrs im Wireless LAN
In ungesicherten WLANs bzw. bei Einsatz eines Evil-Twins kann der Netzwerkverkehr direkt mitgeschnitten und analysiert werden. In gesicherten Netzwerken sind die Datenströme zunächst zu entschlüsseln, damit sie lesbar werden und ausgewertet werden können. Das Entschlüsseln ist aber sowohl bei WEP als auch
112
E.
Der Zugriff auf den Datenverkehr eines lokalen Funknetzwerks
bei WPA/WPA2 mit eher geringem zusätzlichem Aufwand verbunden und jederzeit möglich. Es lässt sich abschließend festhalten, dass ein erfolgreicher Zugriff auf die (fremden) Datenströme eines x-beliebigen heimischen WLANs bei derzeit in Umlauf befindlicher (Sicherheits-)Ausstattung nicht unwahrscheinlich ist. Ein solcher Zugriff lässt sich dann, räumliche Nähe zum Ziel vorausgesetzt, bereits mit einfachen technischen Mitteln und frei erhältlicher Software realisieren.
F.
(Inhaltliche) Untersuchung des Netzwerkverkehrs I.
Einführung und Eingrenzung
Voraussetzung der nachfolgend beschriebenen inhaltlichen Untersuchung des Netzwerkverkehrs ist, dass eine der in § E ab Seite 72 ff. dargelegten Maßnahmen erfolgreich war. Das Ziel-Netzwerk muss infiltriert worden sein und Zugriff auf die Datenströme dieses Netzwerkes bestehen. Über das heimische Wireless LAN werden bei der Nutzung des Internet-Netzwerks eine Unmenge von Datenpaketen ausgetauscht, die die unterschiedlichsten Funktionen im Netzwerkverkehr erfüllen. Ist der Zugriff auf den Netzwerkverkehr erreicht, besteht ein Hauptproblem darin, aus der Menge an Daten diejenigen Datenpakete herauszufiltern, die für die Untersuchung von Interesse sind, weil sie die Kommunikationsinhalte enthalten. Diese Untersuchung beschränkt sich auf die Auswertung textbasierter Kommunikation beschränkt. Denn sprachbasierte Kommunikation über das Internet-Netzwerk, wie Voice over IP (VoIP), erfordert die Kodierung der Sprache und basiert deswegen auf einer anderen Technologie und gänzlich anderen Internetstandards. Zunächst werden in Abschnitt II. die Möglichkeiten zur Bestimmung des ZielHosts erläutert und in Abschnitt III. auf Seite 114 ff. das Auswerten der Daten näher beschrieben. Daraufhin wird in Abschnitt IV. auf Seite 118 ff. auf die Besonderheiten und Unterschiede eingegangen, die sich ergeben, wenn Verschlüsselung zum Einsatz kommt, und aufgezeigt, wie und unter welchen Umständen diese „geknackt“ werden kann. Abschließend werden in Abschnitt V. auf Seite 140 ff. die Ergebnisse zusammengefasst. II.
Übersicht über die interne Netzwerkstruktur und Bestimmung des anvisierten Endgerätes
Es dürften in der Regel nicht nur eines, sondern mehrere Endgeräte (wie PC, Laptop, Smartphone oder Tablet; unter Umständen auch die Endgeräte mehrerer Nutzer) im lokalen Netzwerk mit dem „DSL-Router“ verbunden sein. Daher kann es notwendig sein, sich in einem ersten Schritt zunächst einen Überblick über das
114
F. (Inhaltliche) Untersuchung des Netzwerkverkehrs
infiltrierte Netzwerk zu verschaffen. Tools wie Nmap484 können ein Netzwerk analysieren und die assoziierten Hosts darstellen (vgl. Abbildung F.1)485, insofern das Nmap-nutzende Endgerät bereits mit dem Netzwerk assoziiert ist. Außerdem können weitere Informationen wie zum Beispiel das auf den Hosts verwendete Betriebssystem und die MAC-Adresse ausgewertet werden. Mit diesen Informationen kann festgelegt werden, welche Hosts im Netzwerk von der Überwachungsmaßnahme erfasst werden sollen, ob etwa nur die Daten bestimmter Endgeräte oder die Daten aller Teilnehmer des Netzwerks zu sniffen und auszuwerten sind.
Abbildung F.1: Überblick über eine interne Netzwerkstruktur mit verschiedenen Hosts
III.
Auswerten der Daten und Herausfiltern der Kommunikationsinhalte
Unabhängig von einer etwaigen Verschlüsselung auf Ebene der Netzzugangsschicht486 (zum Beispiel bei Nutzung des WPA/WPA2-Sicherheitskonzepts) werden die im Internet-Netzwerk und im lokalen Netzwerk versendeten und empfangenen Daten oberhalb der Netzzugangsschicht grundsätzlich nicht verschlüsselt, sondern im Klartext übertragen.487 Damit müssen die relevanten Frames „lediglich“ aus der Menge der im Netzwerk übertragenen Frames herauskristallisiert und ausgewertet werden. Weil unterschiedliche Kommunikationsformen und -anwendungen (E-Mail, Webmail, Chat) mit unterschiedlichen Protokollen arbeiten, sollte bei der Auswertung zwischen den Kommunikationsformen differenziert werden. 484 485 486 487
https://nmap.org/ (Stand: Dezember 2017). Unter Verwendung der Nmap-GUI Zenmap. Zu den einzelnen Schichten des TCP/IP-Referenzmodells: Abschnitt 2. auf Seite 43. Siehe bereits unter Abschnitt 3. auf Seite 52.
III. Auswerten der Daten und Herausfiltern der Kommunikationsinhalte
1.
115
Methoden des Mitschneidens und Speicherns der Daten
Das Mitschneiden der Daten kann grundsätzlich auf zwei Arten erfolgen.488 Die relevanten Daten können bereits live beim Sniffen vor Ort herausgefiltert werden. Zum Beispiel können nur die Datenpakete bestimmter Protokolle mitgeschnitten werden. Dann werden auch nur diese herausgefilterten Daten gespeichert und nur sie können später untersucht werden. Es kann aber auch der gesamte, ungefilterte Datenverkehr vor Ort aufgezeichnet werden, wenn zum Beispiel im Vorfeld nicht klar sein sollte, welche Kommunikationsanwendungen und damit welche Protokolle die Zielperson benutzt. Die Auswertung der Daten und die Suche nach den relevanten Datenpaketen kann dann zeitversetzt an einem anderen Ort erfolgen. Bei der zweiten Variante ist es zusätzlich möglich zu differenzieren, ob nur sämtlicher Datenverkehr eines einzelnen oder mehrerer Hosts oder der Netzwerkverkehr des gesamten lokalen Netzwerks gespeichert werden soll. 2.
Inhaltsdaten und Zugangsdaten a)
Inhaltsdaten
Im Kontext dieser Arbeit sind „relevante Daten“ die Inhaltsdaten oder unter Umständen die Zugangsdaten zu den Kommunikationsanwendungen. Inhaltsdaten umfassen diejenigen Daten, die den eigentlichen Gegenstand des Kommunikationsvorganges bilden.489 b)
Zugangsdaten/Passwörter
Zugangsdaten hingegen sind jene Daten, die zur Nutzung einer Anwendung erforderlich sind, insbesondere Benutzername und Passwörter.490 Die Zugangsdaten können genutzt werden, um auf die Inhaltsdaten zuzugreifen. Sie werden teilweise ebenfalls unverschlüsselt übertragen, wenn auch immer seltener. Die Zielperson authentifiziert sich damit bei ihrem Mail-Server oder auf der WebmailBenutzeroberfläche. Sind die Zugangsdaten dem Angreifer bekannt, könnte er sich wie die Zielperson selbst bei dem Dienstleistungsanbieter einloggen und auf diese Weise dort gespeicherte E-Mails mitlesen. Im Unterschied zum permanenten Sniffen der Kommunikationsinhalte müssten so nur einmalig vor Ort die Zugangsdaten gesnifft werden. Der Zugriff auf den Mail-Server und das Mitlesen könnte dann von jedem beliebigen Ort aus erfolgen. Allerdings wären nur die auf dem Server gespeicherten Daten verfügbar, nicht diejenigen Mails, die vom E-Mail-Client lokal heruntergeladen oder von der Zielperson nach dem Empfangen bzw. Versenden manuell vom Server gelöscht worden sind. 488 Für die dabei zum Einsatz kommenden Tools siehe Anhang A, Abschnitt a) auf Seite 371. 489 Vgl. Wehner in Heidrich/Forgó/Feldmann, Heise Online-Recht, C.IV.24. 490 Vgl. Wehner in Heidrich/Forgó/Feldmann, Heise Online-Recht, C.IV.25.
116
F. (Inhaltliche) Untersuchung des Netzwerkverkehrs
3.
E-Mails
Es gibt zwei verschiedene Möglichkeiten, E-Mails zu versenden, die auf unterschiedlichen Protokollen basieren. Es besteht die Option, sich über den InternetBrowser beim E-Mail-Anbieter einzuloggen und von dort die E-Mails über das World Wide Web an den Mailserver zu senden (Webmail). Oder der Anwender benutzt ein spezielles E-Mail-Programm (einen E-Mail-Client wie Thunderbird, Outlook etc.) und empfängt sowie versendet seine E-Mails darüber. Zunächst wird auf die zweite (Abschnitt a)), danach auf die erste Variante (Abschnitt b)) eingegangen. a) aa)
E-Mail-Client
E-Mails versenden: Simple Mail Transfer Protocol
Benutzt der Anwender auf seinem Endgerät einen E-Mail-Client wie zum Beispiel Outlook, Thunderbird oder Apple Mail, kommuniziert der Client zum Versenden der E-Mail mit dem Server des Anbieters über das Simple Mail Transfer Protocol491 (SMTP-Protokoll). Nach denjenigen Frames, die Nachrichten dieses Protokolls eingekapselt haben, muss in der versendeten Datenmenge gesucht und ihr Inhalt betrachtet und gespeichert werden. Sie enthalten die relevanten Inhaltsdaten (Abbildung F.2 auf der nächsten Seite).492 bb)
E-Mails empfangen: POP3/IMAP
Lädt der E-Mail-Client die E-Mails vom Server herunter, erfolgt der Datenaustausch mit dem Mail-Server hingegen über die standardisierte dritte Version des Post Office Protocols (POP3) oder über das Internet Message Access Protocol (IMAP), je nachdem, für welches der beiden Protokolle sich der Anwender entschieden hat.493 In dem Tool Wireshark können die Daten wiederum über die Protokollfilterfunktion nach den entsprechenden Frames durchforstet werden. b)
Webmail
Nutzt die Zielperson hingegen ein Webmail-Angebot, werden die E-Mails über eine vom Dienstleister bereitgestellte Oberfläche dargestellt, empfangen und versendet. Webmail fungiert dabei als Schnittstelle zum klassischen E-Mail-System. Der Datenaustausch mit dem Dienstleister erfolgt über das Hypertext Transfer Protocol (HTTP).494 Über Tools wie Wireshark lassen sich auch in diesem Fall die an 491 Siehe Anhang B, Abschnitt a) auf Seite 378. 492 Zur Umsetzung des Auswertens mit weiteren Details siehe Anhang A, Abschnitt aa) auf Seite 372. 493 Siehe Anhang A, Abschnitt bb) auf Seite 372. 494 Für die verschlüsselte Variante des Hypertext Transfer Protocols siehe Abschnitt 1. auf Seite 119.
III. Auswerten der Daten und Herausfiltern der Kommunikationsinhalte
117
Abbildung F.2: Mit Mailsnarf mitgeschnitte Beispiel-E-Mail
den Server gesendeten und vom Server empfangenen Inhaltsdaten mitschneiden, herausfiltern und auswerten. Mit Hilfe der Filter lassen sich etwa nur die HTTPDaten eines bestimmten Anbieters betrachten.495 4. Soziale Netzwerke/Webforen/Sonstiges HTTP Die Zielperson könnte auch über andere Arten von HTTP-Seiten als Webmail nicht öffentlich kommunizieren, zum Beispiel über soziale Netzwerke oder InternetForen/Bulletin Boards. In der Regel haben diese die Möglichkeit des Austauschs von Personal/Private Messages (PM) implementiert. Das Auffinden dieser Kommunikationsinhalte erfolgt analog zum Vorgehen im Webmail-Szenario über das Hypertext Transfer Protocol, sofern keine Verschlüsselung zum Einsatz kommt.496 5.
Instant Messaging/Chat
Eine weitere Möglichkeit, textbasiert zu kommunizieren, bietet das Instant Messaging. Im Gegensatz zum asynchronen und damit zeitverzögerten E-Mail-Dienst verfolgt das Instant Messaging das Ziel, eine synchrone, gleichzeitige Kommunikation zu ermöglichen. Verbreitet sind vor allem proprietäre Protokolle wie 495 In Wireshark zum Beispiel mit dem Filter: http and data-text-lines contains „Anbieter“. 496 Dazu sogleich in Abschnitt IV. auf der nächsten Seite
118
F. (Inhaltliche) Untersuchung des Netzwerkverkehrs
OSCAR für den ICQ-Messenger und den AOL Instant Messenger, das Windows Live Messenger-Protokoll oder das Yahoo Messenger-Protokoll für die gleichnamigen Messenger.497 Sie kommen alle ohne Verschlüsselung aus und lassen sich entsprechend leicht sniffen.498 IV.
Besonderheit: Verschlüsselung oberhalb der Netzzugangsschicht
Insbesondere die Berichterstattung und die Enthüllungen rund um die Dokumente von Edward Snowden haben zumindest teilweise zu einem Wandel des Bewusstseins im Bezug auf die Notwendigkeit besonderer Maßnahmen zum Schutz der Privatsphäre und die Anfälligkeit des Internet-Netzwerkverkehrs geführt. In der Folge haben vermehrt Internetdienstleistungsanbieter, insbesondere die weit verbreiteten E-Mail-Dienstleister, begonnen, ihr Angebot zumindest teilweise verschlüsselt anzubieten.499 Dennoch kann von einem generellen Durchbruch der Kryptographie (noch) nicht die Rede sein. Der Einsatz von Kryptographie500 zielt gerade darauf ab, die Daten vor Dritten abzuschirmen. Mittels eines mathematischen Algorithmus501 werden sie derart verändert, dass nur noch die Inhaber des kryptographischen Schlüssels502 in der Lage sein sollten, sie zu lesen.503 Die Daten sollen damit nicht mehr von einem Angreifer ausgewertet werden können. Ein Dritter, der nicht Kommunikationspartner ist, wäre nicht mehr in der Lage, die Kommunikationsinhalte zu erfassen. Werden die Daten also oberhalb der Netzzugangsschicht (etwa auf Ebene der Transportschicht) verschlüsselt, ist das Auswerten und Untersuchen der Datenpakete, wie in Abschnitt III. auf Seite 114 ff. beschrieben, nicht mehr möglich. Es müssen andere Mittel und Wege gefunden werden. Die Verschlüsselung muss „gebrochen“ oder anderweitig umgangen werden, möchte man eine Überwachungsmaßnahme realisieren. Es gibt vielfältige und sehr verschiedene Möglichkeiten auf unterschiedlichen Ebenen, Kryptographie im Bereich textbasierter Kommunikation über das Internet497 Auf eine Untersuchung des Internet Relay Chats (IRC) wird aufgrund seiner geringen Verbreitung verzichtet. 498 Msgsnarf etwa als Teil der Dsniff-Toolsammlung unterstützt einen Großteil dieser Protokolle, vgl. http://www.monkey.org/~dugsong/dsniff/ (Stand: Dezember 2017). 499 So setzt zum Beispiel der Verbindungsaufbau zu den Mail-Servern der in Deutschland führenden E-Mail-Dienstleister GMX und web.de (http://de.statista.com/infografik/1495/marktanteile-der-e-mail-dienste-indeutschland-2013/ (Stand: Dezember 2017)) bereits seit April 2014 zwingend eine SSL/TLS-Verschlüsselung voraus, vgl. https://hilfe.gmx.net/sicherheit/ssl.html (Stand: Dezember 2017) und https://hilfe.web.de/sicherheit/ssl.html (Stand: Dezember 2017). 500 Zur Terminologie und den kryptologischen Grundlagen siehe § C auf Seite 55. 501 Dazu: Abschnitt 1. auf Seite 56. 502 Siehe: Abschnitt 2. auf Seite 57. 503 Zu den Aufgaben der Kryptologie siehe: Abschnitt 2. auf Seite 55.
IV. Besonderheit: Verschlüsselung oberhalb der Netzzugangsschicht
119
Netzwerk einzusetzen. Alle Schwachstellen zu analysieren und aktuell zu halten, würde den Rahmen dieser Untersuchung bei Weitem sprengen. Deswegen wird der Fokus im Folgenden exemplarisch auf einige Schwachstelle der Verschlüsselung von World-Wide-Web-Diensten gerichtet (Abschnitt 1.), weil diese Art der Verschlüsselung mit Abstand am meisten zum Einsatz kommt. Im Anschluss wird ein kurzer Blick auf die weiteren noch offen gebliebenen Forschungsfelder geworfen, die etwa die Chiffrierung des Datenaustauschs zwischen E-Mail-Client und E-Mail-Server und andere Varianten der Integration von Verschlüsselung betreffen (Abschnitt 2. auf Seite 139). 1.
Verschlüsseltes World Wide Web
Aus Sicht dieser Arbeit mit ihrer Konzentration auf Kommunikationsvorgänge sind im Zusammenhang mit verschlüsseltem World Wide Web (WWW) vor allem Kommunikationsplattformen wie Webmail, Webforen oder soziale Netzwerke das Sujet. Sie lassen sich mit den nachfolgend beschriebenen Methoden untersuchen. Um eine sichere Verbindung zu einer Website im World Wide Web aufzusetzen, wird der konventionelle Datenaustausch über das Hypertext Transfer Protocol (HTTP) durch die Einbeziehung des Transport-Layer-Security-Protokolls (TLS) verschlüsselt. Für die Kommunikation mittels Hypertext Transfer Protocol über eine Transport-Layer-Security-Verbindung hat sich der Terminus HTTPs (HTTP secure) eingebürgert.504 a)
Transport Layer Security (SSL/TLS)
Das Transport-Layer-Security-Protokoll505 ist ein Protokoll, das selbst keinen kryptographischen Algorithmus definiert, sondern es den Kommunikationspartnern ermöglicht, die Nutzung verschiedener anderweitig definierter kryptographischer Algorithmen zu vereinbaren.506 Es lässt sich zudem mit beliebigen Protokollen der Anwendungsschicht kombinieren, wenn es auch anfänglich für die Verknüpfung mit HTTP entwickelt wurde.507 Im TCP/IP-Referenzmodell508 ist es oberhalb der Transportschicht und unterhalb der Anwendungsschicht angesiedelt.509 Es wurde früher als Secure Sockets Layer (SSL) bezeichnet.510 Um eine Abwärtskompatibilität auch zu älteren Servern zu gewährleisten, beherrschen fast alle Clients 504 Rescorla, SSL and TLS: Designing and Building Secure Systems, S. 304. 505 TLS Version 1.0: https://www.ietf.org/rfc/rfc2246.txt (Stand: Dezember 2017). Aktuelle Version 1.2: https://tools.ietf.org/html/rfc5246 (Stand: Dezember 2017). Version 1.3 existiert immer noch nur als Entwurf. 506 Ziegler, Netzwerkangriffe von innen, S. 127. 507 Rescorla, SSL and TLS: Designing and Building Secure Systems, S. 341. 508 Vgl. Abschnitt 2. auf Seite 43. 509 Tanenbaum/Wetherall, Computernetzwerke, S. 961 f. 510 Die Version 1.0 von TLS entspricht im Prinzip der SSL-Version 3.1, vgl. Ziegler, Netzwerkangriffe von innen, S. 125.
120
F. (Inhaltliche) Untersuchung des Netzwerkverkehrs
verschiedene Versionen. Deswegen stößt man häufig und auch in dieser Arbeit auf die generalisierende Bezeichnung SSL/TLS-Verschlüsselung. Weil SSL/TLS auf einer Schicht zwischen Hypertext Transfer Protocol und Transmission Control Protocol angesiedelt ist, stellt es faktisch eine Art abgesicherte TCP-Verbindung her.511 Um eine sichere Verbindung zwischen Client und Server512 zu gewährleisten, muss SSL/TLS nicht nur Vertraulichkeit durch Verschlüsselung gewährleisten können, sondern auch für Datenintegrität und Authentizität durch die Verwendung von Zertifikaten513, Signaturen514 und Hashfunktionen515 sorgen.516 Das Transport-Layer-Security-Protokoll sieht ein hybrides Verfahren517 vor. Das heißt, es kombininiert symmetrische518 und asymmetrische519 Algorithmen für die verschiedenen Aufgaben. Während die rechenaufwendigen asymmetrischen Verfahren hauptsächlich im initialen Handshake für die Authentifizierung und das Aushandeln des kryptographischen Schlüssels gebraucht werden, dienen die symmetrischen Algorithmen primär der eigentlichen Verschlüsselung der ausgetauschten Nachrichten. Die verschiedenen Kombinationen von kryptographischen Algorithmen zur Erfüllung dieser Aufgaben werden als Cipher Suites bezeichnet. Client und Server legen darin fest, welcher Algorithmus genau als Signaturverfahren für die Authentifizierung, welcher Algorithmus für den Schlüsselaustausch, welcher Algorithmus für die eigentliche Verschlüsselung und welcher Algorithmus als Hashfunktion für die Datenintegrität genutzt werden soll.520 Abhängig von der gewählten Cipher Suite wird der Server dem Client in der Regel ein X.509-Zertifikat521 (dabei handelt es sich primär um den signierten öffentlichen Schlüssel des Servers) senden, mit dessen Hilfe der Client in die Lage versetzt wird, zu prüfen, ob es sich bei der Gegenseite wirklich um den erwarteten Server handelt. Verhindert werden sollen damit die kritischen Man-in-the-Middle-Angriffe.522
511 Rescorla, SSL and TLS: Designing and Building Secure Systems, S. 46. 512 Zur Terminologie von Client und Server siehe: Abschnitt aa) auf Seite 44. 513 Zur Aufgabe und Funktionsweise von Zertifikaten siehe Anhang C, Abschnitt II. auf Seite 474 ff. 514 Ausführlich in Abschnitt V. auf Seite 66 ff. 515 Siehe Abschnitt VI. auf Seite 67 ff. 516 Für nähere Erläuterungen zu den einzelnen Aufgaben siehe Abschnitt 2. auf Seite 55. 517 Zu hybriden Algorithmen siehe: Abschnitt 6. auf Seite 61. 518 Vgl. Abschnitt 4. auf Seite 57 und Anhang C, Abschnitt 1. auf Seite 400 ff. 519 Vgl. Abschnitt 5. auf Seite 59 und Anhang C, Abschnitt 2. auf Seite 437 ff. 520 Eine Übersicht über die möglichen Kombinationen findet sich auf https://www.iana. org/assignments/tls-parameters/tls-parameters.xhtml (Stand: Dezember 2017). 521 Einzelheiten in Abschnitt C, Abschnitt a) auf Seite 474. 522 Zur Bedeutung dieser Zertifikate für Angriffe sogleich in Abschnitt cc) auf Seite 126.
IV. Besonderheit: Verschlüsselung oberhalb der Netzzugangsschicht
b)
121
HTTP über eine SSL/TLS-Verbindung (HTTPs)
Das Hypertext Transfer Protocol over Transport Layer Security (HTTP over TLS) als Hauptanwendungsgebiet für das Transport-Layer-Security-Protokoll ist in RFC 2818523 spezifiziert. Es handelt sich nicht um ein eigenständiges Protokoll, sondern beschreibt nur die Nutzung des regulären HTTP-Protokolls über eine SSL/TLS-Verbindung. Die Spezifikation sieht vor, dass Client und Server zunächst eine abgesicherte SSL/TLS-Verbindung aufbauen524 und dann sämtliche HTTP-Datenpakete über diese sichere Verbindung austauschen, wie sie ansonsten standardmäßig über die TCP-Verbindung ausgetauscht würden. Die (verschlüsselten) Pakete selbst wiederum werden über die reguläre TCPVerbindung transportiert.525 Ist also erst eine SSL/TLS-Verbindung aufgebaut, wird die Request-Anfrage des Clients an den Server eingekapselt und verschlüsselt in der Payload des SSL/TLS-Protokolls526 versendet,527 während sie ansonsten unverschlüsselt in der Payload528 des TCP-Protokolls übermittelt würde.529 c)
Angriffe auf HTTPs
Der Einsatz von kryptographischen Algorithmen im HTTP-Datenübermittlungsprozess führt dazu, dass die übertragenen Daten für einen externen Angreifer von außen ohne Schlüssel grundsätzlich nicht mehr interpretierbar sind. Anstelle der sinnvollen Kommunikationsinhalte (Klartext) lassen sich im infiltrierten Netzwerk nur noch sinnlose Zeichenketten (Geheimtext) mitschneiden. Das gilt allerdings (noch) nicht für eine initiale (unverschlüsselte) HTTP-Request-Anfrage des Clients vor dem Wechsel auf HTTPs. Und auch in der DNS-Anfrage und den ersten Frames des Handshakes finden sich Hinweise auf die Server-Adresse, vgl. Abbildung F.3 auf der nächsten Seite. Ein Angreifer wird deswegen trotz des Einsatzes der SSL/TLS-Verschlüsselung in der Regel den Host-Teil des Uniform Ressource Locators (URL), umgangssprachlich den Domain-Teil der Webadresse, mitschneiden können und so zumindest immer in Erfahrung bringen können, welcher Webserver vom Client angesteuert wird. https://tools.ietf.org/html/rfc2818 (Stand: Dezember 2017). Vgl. Anhang A, Abschnitt (1) auf Seite 372. Rescorla, SSL and TLS: Designing and Building Secure Systems, S. 62. Rescorla, SSL and TLS: Designing and Building Secure Systems, S. 46. Im TLSProtokoll wird die Payload „Application Data“ genannt. 527 In der Payload des TCP-Protokolls wiederum wird das SSL/TLS-Datenpaket transportiert. 528 Für den Aufbau eines TCP-Datenpaketes siehe Anhang B, Abschnitt 3. auf Seite 393. 529 Um den abgesicherten HTTPs-Datenverkehr vom nicht abgesicherten HTTPDatenverkehr zu unterscheiden, benutzt HTTPs in der Regel den Port 443 statt des HTTP-Standardports 80, vgl. Rescorla, SSL and TLS: Designing and Building Secure Systems, S. 305.
523 524 525 526
122
F. (Inhaltliche) Untersuchung des Netzwerkverkehrs
Abbildung F.3: Hinweise auf den Server im SSL/TLS-Handshake-Frame
Wie die Ausführungen zu den einzelnen kryptographischen Algorithmen in den kryptologischen Grundlagen in § C auf Seite 55 ff. verdeutlichen, sind die in den SSL/TLS-Cipher Suites zum Einsatz kommenden Algorithmen im Großen und Ganzen sicher.530 Sicher in diesem Sinn bedeutet, dass sich mit den verschiedenen Angriffsarten531 der Kryptanalyse aus den abgegriffen Geheimtexten ohne Kenntnis des Schlüssels nicht auf den Klartext und nicht auf den Schlüssel schließen lässt.532 Möchte man dennoch an die interpretierbaren Inhalte gelangen, besteht aber die Möglichkeit, eine Schwäche in der konkreten Implementierung des Algorithmus zu finden und auszunutzen oder eine andere Schwachstelle zu exploitieren. Alternativ kann auch versucht werden, die SSL/TLS-Absicherung gänzlich zu umgehen. Weil die beschriebenen Angriffe, wie im Folgenden zu sehen sein wird, teilweise eines nicht unerheblichen (primär zeitlichen) Aufwandes bedürfen und manche auch nur für eine kurze Zeitspanne aufrechterhalten werden können, kann es effizienter sein, sich nicht auf die Inhaltsdaten des konkreten Kommunikationsvorganges, sondern auf die Zugangsdaten zu den einzelnen für die Kommunikation genutzten Plattformen, wie zum Beispiel Passwörter und Benutzername, zu konzentrieren533 und sich darüber indirekt Zugang zu den Inhaltsdaten zu verschaffen.534 530 Zur Ausnahme des mittlerweile als „geknackt“ geltenden RC4-Algorithmus siehe im Folgenden Abschnitt (3) auf Seite 137. Und auch RSA kommt zunehmend stärker unter Beschuss, zuletzt durch den ROBOT-Angriff, vgl. https://robotattack.org/ (Stand: Dezember 2017). 531 Abschnitt 1. auf Seite 62. 532 Vgl. dazu ausführlich unter Abschnitt III. auf Seite 62 ff. 533 Bzw. auf die ebenfalls der Authentifizierung dienenden Session Cookies. 534 Vgl. oben Abschnitt b) auf Seite 115.
IV. Besonderheit: Verschlüsselung oberhalb der Netzzugangsschicht
123
Es sollen hier wieder nur exemplarisch einige bereits praktisch umsetzbare Angriffe betrachtet werden, die durch verfügbare Tools konkret nachvollzogen und so leicht verifiziert werden können.535 Es existiert eine Vielzahl von weiteren Schwachstellen, die Angriffe auf HTTPs ermöglichen könnten und im Rahmen dieser Untersuchung keine Erwähnung finden. Sie alle zu beschreiben, würde hier ebenfalls zu weit gehen. Zumal es keinen Mehrwert für die nachfolgende rechtliche Analyse bedeuten würde, da sich die grundsätzliche Vorgehensweise gleicht. aa)
Ausgangspunkt: Man-in-the-Middle-Angriff
Viele Angriffe setzen voraus, dass der Datenverkehr zwischen dem Rechner der Zielperson und dem Server über den Angreifer umgeleitet wird. Das bedeutet, dass eine klassische Man-in-the-Middle-Situation besteht, wie sie bereits in Abschnitt 2. auf Seite 63 vorgestellt wurde. Weil der Datenstrom dabei über den Angreifer umgeleitet wird, kann er die Datenpakete analysieren und vor allem auch manipulieren. Entweder besteht bereits eine Man-in-the-Middle-Situation, weil etwa zuvor ein Evil-Twin-Angriff durchgeführt wurde536 oder es muss zunächst ein selbstständiger Man-in-the-Middle-Angriff als Basis für die weiteren Angriffe durchgeführt werden. Es sind verschiedene Varianten denkbar, einen solchen Angriff durchzuführen, wenn der Angreifer sich bereits Zugriff auf das lokale Netzwerk der Zielperson verschafft hat537 und „von innen“ heraus operiert. Die zwei wichtigsten Varianten sind das Address Resolution Protocol Spoofing und das Domain Name System Spoofing. (1)
Address Resolution Protocol Spoofing
Beim Spoofing des Address Resolution Protocols (ARP)538 wird die im lokalen Router verwaltete Tabelle des Address Resolution Protocols (ARP-Cache) derart manipuliert, dass die lokale Internet-Protocol-Adresse des Ziel-Hosts, anstatt mit seiner eigenen, mit der Media-Access-Control-Adresse des Angreifers verknüpft wird. Das hat den Effekt, dass die für den Ziel-Host bestimmten Datenpakete stattdessen an den Angreifer gesendet werden. Dieser leitet sie dann an den ZielHost weiter, so dass der Umweg unbemerkt bleibt. Ebenso wird der ARP-Cache der Netzwerkschnittstelle des Ziel-Hosts verändert. Damit wird auch der ausgehende Datenstrom über den Angreifer geleitet. Der Angriff erfolgte oft über eine spezielle Frame-Art des Address Resolution Protocols, über die sogenannten Gratuitous-ARP-Frames. Deswegen berücksichtigen einige Schnittstellen als Sicherheitsmaßnahme diese Frames nicht mehr für den ARP-Cache und reagieren nur noch auf ARP-Reply-Frames, teilweise auch 535 536 537 538
Dazu bereits in Abschnitt I. auf Seite 69. Siehe Abschnitt d) auf Seite 103. Siehe dazu den gesamten § E auf Seite 72 ff. Auch als ARP-Poisoning oder ARP-Cache-Poisoning bezeichnet.
124
F. (Inhaltliche) Untersuchung des Netzwerkverkehrs
nur dann, wenn sie zuvor ein ARP-Request-Frame versendet haben. In diesem Fall muss der Angreifer aber lediglich schneller antworten als der Ziel-Host. Der Angriff kann dennoch erfolgreich durchgeführt werden, indem der Angreifer ununterbrochen sehr viele (gefälschte) ARP-Reply-Frames an den Router sendet.539 In speziellen Fällen ist auch die Ausnutzung der Hole196-Schwachstelle540 für einen „versteckten“ ARP-Spoofing-Angriff möglich.541 Das Tool Arpspoof aus der Toolsammlung Dsniff von Dug Song542 automatisiert zum Beispiel diesen Angriff.
(2)
Domain Name System Spoofing
Beim Spoofing des Domain Name Systems werden vom Angreifer gefälschte Frames des Domain-Name-System-Protokolls (DNS) versendet. Es ist grundsätzlich dafür zuständig, einen leicht im Gedächtnis bleibenden Domain-Namen (wie zum Beispiel www.heise.de) in eine IP-Adresse (193.99.144.85) aufzulösen, mit der ein Request-Frame des Hypertext Transfer Protocols adressiert und eine Verbindung über das Transmission Control Protocol zum Server aufgebaut werden kann, um etwa eine Homepage anzufordern.543 Zuständig im lokalen Netzwerk für diese Anfrage ist in erster Instanz der Router544 als lokaler DNS-Server. Wenn der Angreifer sich bereits Zugriff auf das lokale Netzwerk verschafft hat,545 kann er eine derartige Anfrage des Ziel-Hosts mitsniffen.546 Diese Anfrage muss er dann lediglich schneller beantworten als der Router. In der (gefälschten) DNS-Antwort547 trägt der Angreifer seine eigene lokale IP-Adresse anstelle der tatsächlichen IPAdresse der angesteuerten Homepage ein und leitet so die Datenpakete auf seinen eigenen Rechner um und von dort weiter.548 Das Tool Dnsspoof, ebenfalls aus der Toolsammlung Dsniff von Dug Song,549 kann zum Beispiel diesen Angriff realisieren. 539 Dazu: Ziegler, Netzwerkangriffe von innen, S. 34. 540 Siehe: Abschnitt (b) auf Seite 101. 541 Ahmad, WPA Too!, S. 2. Für genauere Angaben zur Implementierung siehe zum Beispiel: https://www.mojonetworks.com/wpa2-hole196-vulnerability (Stand: Dezember 2017). 542 http://www.monkey.org/~dugsong/dsniff/ (Stand: Dezember 2017). 543 Kurose/Ross, Computernetzwerke, S. 161 f. 544 Der Router hat die Möglichkeit, die Anfrage an DNS-Server im Internet weiterzugeben. 545 Siehe dazu den gesamten § E auf Seite 72 ff. 546 Und damit auch die Transaktionsnummer der Anfrage, die er für die passende DNS-Antwort benötigt. 547 Mit der gefälschten Absender-IP-Adresse des Routers, was besonders einfach ist, weil DNS-Anfragen in der Regel über das UDP-Protokoll transportiert werden. 548 Vgl. Alexander, Netzwerke und Netzwerksicherheit, S. 142 f. 549 http://www.monkey.org/~dugsong/dsniff/ (Stand: Dezember 2017).
IV. Besonderheit: Verschlüsselung oberhalb der Netzzugangsschicht
125
Alternativ kann auch versucht werden, den DNS-Cache des lokalen DNS-Servers, soweit vorhanden, durch gefälschte Resource Records zu manipulieren550 oder einen eigenen lokalen DNS-Server551 mit manipulierten Einträgen aufzusetzen. bb)
SSL-Stripping
Das SSL-Stripping gehört in die Kategorie von Angriffen, die versuchen, die SSL/TLS-Absicherung gänzlich zu umgehen. Der Datenverkehr wird so manipuliert, dass die angeforderte gesicherte HTTPs-Verbindung nicht durchgehend zustande kommt, sondern die Daten teilweise unverschlüsselt über das normale, unverschlüsselte Hypertext Transfer Protocol ausgetauscht und deshalb mitgelesen werden können. Fließt der Datenverkehr zwischen Host und Server über den Angreifer (Man-inthe-Middle-Situation), kann er auch manipulierend eingreifen. Das Tool sslstrip552 ermöglicht es, die Verbindung zwischen Host und Server in der Mitte zu trennen und in zwei Teilstrecken zu teilen – in eine Verbindung zwischen Angreifer und Server und eine Verbindung zwischen Angreifer und Host. Während die erste Teilstrecke zwischen Angreifer und Server, wie angefordert, verschlüsselt über eine HTTPs-Verbindung läuft, erfolgt der Transport auf der zweiten Teilstrecke zwischen Host und Angreifer unverschlüsselt über das standardmäßige HTTP-Protokoll und ermöglicht es damit dem Angreifer, die Inhaltsdaten mitzuschneiden. Der Benutzer versucht in der Regel, eine normale HTTP-Verbindung zum Server aufzubauen, indem er die Standard-Domain (zum Beispiel www.ccc.de) in die Adresszeile des Browsers eingibt. Darauf reagiert ein entsprechend konfigurierter Server mit einer Redirect-Nachricht, mit der er den Host auffordert, stattdessen eine SSL/TLS-Verbindung aufzubauen. Läuft alles normal, baut der Browser darauf ohne Zutun des Benutzers eine HTTPs-Verbindung zum Server auf. Diese RedirectNachricht wird nun aber vom Man-in-the-Middle-Angreifer abgefangen. Dem Server antwortet der Angreifer und gibt durch gefälschte Datenpakete vor, der Host zu sein,553 und baut zum Server die geforderte SSL/TLS-Verbindung auf. Für den Server ist damit alles in Ordnung, die von ihm verlangte abgesicherte Verbindung ist zustande gekommen. Dass sie nur zwischen Angreifer und Server besteht, ist für den Server nicht erkennbar. Gegenüber dem Host baut der Angreifer nur eine HTTP-Verbindung auf. Damit kann der Angreifer die Daten entschlüsseln, selbst 550 Dann als DNS-Poisoning oder DNS-Cache-Poisoning bezeichnet. 551 Zum Beispiel mit Dnsmasq, http://thekelleys.org.uk/dnsmasq/doc.html (Stand: Dezember 2017). 552 Entwickelt von „Moxie Marlinspike“, abrufbar unter: https://moxie.org/software/ sslstrip/ (Stand: Dezember 2017). 553 Eine Authentifizierung des Clients über ein Zertifikat wäre möglich, erfolgt aber so gut wie niemals, weil das Vorhalten von Zertifikaten für Privatpersonen zu aufwendig und teuer ist.
126
F. (Inhaltliche) Untersuchung des Netzwerkverkehrs
mitlesen und dann unverschlüsselt an den Host weiterschicken. In umgekehrter Richtung empfängt der Angreifer die unverschlüsselten Datenpakete des Hosts, verschlüsselt sie und sendet sie über die SSL/TLS-Verbindung an den Server weiter. Für den Benutzer wäre der Angriff mit der notwendigen Aufmerksamkeit und Erwartungshaltung bei entsprechendem Problembewusstsein daran zu erkennen, dass am Beginn der Adresszeile des Browserfensters ein Icon verändert ist und nur ein http:// steht, wo ein https:// zu erwarten gewesen wäre.554 Zu beachten ist, dass dieser Angriff nur funktioniert, wenn der Man-in-theMiddle in der Lage ist, die Redirect-Nachricht abzufangen. Er funktioniert nicht, wenn der Host direkt verlangt, eine SSL/TLS-Verbindung aufzubauen, indem der Benutzer zum Beispiel anstatt nur ccc.de einzutippen, die vollständige Adresse https://www.ccc.de in die Adresszeile des Browser eingibt. Das ist aber wenig praktikabel und dürfte nur in den seltensten Fällen anzutreffen sein. Der Angriff könnte ebenfalls nicht funktionieren, wenn die HTTPs-Version der Homepages bereits im Cache-Speicher des Browsers gespeichert ist, denn in diesem Fall wird ebenfalls direkt eine SSL/TLS-Verbindung aufgebaut ohne Redirect-Nachricht, es sei denn, der If-Modified-Since-Header wird ebenfalls verändert. Als Schutz vor dem SSL-Stripping-Angriff wurde das HTTP Strict Transport Security-Protokoll (HSTS) entwickelt. Dazu sogleich in Abschnitt ee) auf Seite 131. cc)
Man-in-the-Middle-Angriff über eigene digitale Zertifikate
Im Gegensatz zum SSL-Stripping-Angriff555, bei dem die zweite Teilstrecke zwischen Angreifer und Ziel-Client auf eine unverschlüsselte Verbindung umgeleitet wird, kann auch versucht werden, einen Man-in-the-Middle-Angriff zu realisieren, bei dem die zweite Teilstrecke ebenfalls aus einer verschlüsselten Verbindung besteht, um den Angriff weniger erkennbar zu gestalten. Ein Angreifer in einer Man-in-the-Middle-Position weiß (zumindest) immer, zu welchem Webserver der Client eine verschlüsselte Verbindung aufbauen möchte, weil die initialen SSL/TLS-Handshake-Frames noch nicht verschlüsselt sind.556 Er kann nun versuchen, sich in den Verbindungsaufbau einzuklinken. Gegenüber dem Webserver gibt er sich als Client aus und baut eine ordentliche, geschützte Verbindung auf. Gegenüber dem Client muss sich der Angreifer als Webserver ausgeben. Wie in Abschnitt a) auf Seite 119 erläutert, muss er, um eine verschlüsselte Verbindung aufbauen zu können, dafür in der Regel den öffentlichen Schlüssel vom Webserver an den Client senden. Als Schutz vor genau dieser Art von Man-in-the-Middle-Angriffen wird der öffentliche Schlüssel des Webservers 554 Zum Ganzen: https://moxie.org/software/sslstrip/ (Stand: Dezember 2017). 555 Siehe soeben in Abschnitt bb) auf der vorherigen Seite. 556 Dazu bereits in Abschnitt c) auf Seite 121.
IV. Besonderheit: Verschlüsselung oberhalb der Netzzugangsschicht
127
aber mit einem X.509-Zertifikat557 signiert.558 Das Zertifikat selbst muss wiederum von einer Certification Authority (CA) signiert sein, deren Zertifikat wiederum von einer übergeordneten Certification Authority signiert wurde usw. So ergibt sich ein Zertifizierungspfad.559 Die letzte signierende Certification Authority, der letztendlich vertraut werden muss, nennt sich Root-CA.560 Jeder Browser ist mit einer Liste von vertrauenswürdigen Root-CAs ausgestattet, die bei der Installation mitausgeliefert wird (vgl. Abbildung F.4). Der Browser vertraut grundsätzlich nur solchen Signaturen, deren Zertifizierungspfad zu einer Root-CA führt, die sich in seiner Liste findet.
Abbildung F.4: Beginn der Liste, der von Mozilla Firefox v39.0 als vertrauenswürdig gelisteten Root-CA-Aussteller
Für den Angreifer ergeben sich nun grundsätzlich unterschiedliche Möglichkeiten dieses Sicherheitsfeature zu umgehen. Zum einen kann er ein eigenes Root-Zertifikat ausstellen und damit das von ihm gefälschte Zertifikat des ZielWebservers signieren. Dieses wird vom Browser als nicht vertrauenswürdig 557 Zur Aufgabe von Zertifikaten siehe Anlage C, Abschnitt a) auf Seite 474. 558 Ausführlich zu diesem Problemkomplex bereits in Abschnitt 1. auf Seite 65 und Anlage C, Abschnitt 3. auf Seite 478. 559 Zur Grundidee: Abschnitt 2. auf Seite 65 und Details in Anhang C, Abschnitt bb) auf Seite 477. 560 Siehe Anhang C, Abschnitt c) auf Seite 475.
128
F. (Inhaltliche) Untersuchung des Netzwerkverkehrs
eingestuft und eine Fehlermeldung leuchtet auf. Der Zielperson könnte nun auffallen, dass etwas nicht wie gewohnt läuft. Allerdings lässt sich die Fehlermeldung wegklicken561 und damit übergehen. Damit wird das Root-Zertifikat des Angreifers als vertrauenswürdig eingestuft und akzeptiert. Für den Ziel-Client kommt damit eine verschlüsselte Verbindung (über den Man-in-the-Middle-Angreifer, dem in der Mitte die unverschlüsselten Inhaltsdaten vorliegen) zustande. Dieser Art des Angriffs setzt ein Mitwirken des Anwenders des Endgerätes voraus. Ein spezielles Problembewusstsein ist hier allerdings wenig verbreitet, weswegen sich im Zweifel viele Nutzer für ein „Weiterklicken“ entscheiden. Verschiedene Studien der Browserhersteller gehen davon aus, dass 70%, 56% bzw. 33% der Anwender fortfahren.562 Zum anderen könnte der Angreifer, wenn er über ein gänzlich anderes gültiges Zertifikat verfügt, versuchen, eine Schwachstelle in älteren Versionen des Microsoft Internet Explorers (wenn im Ziel-Host verwendet) auszunutzen und mit diesem gültigen Zertifikat ein wiederum gültiges (gefälschtes) Zertifikat für den Webserver auszustellen, mit dem der Ziel-Client sich verbinden möchte.563 Dabei wird das selbst ausgestellte Zertifikat Teil eines validen Zertifizierungspfades. Unter Ausnutzung der „Null-Prefix-Lücke“ lässt sich ebenfalls an ein gültiges Zertifkat gelangen.564 Dem Ziel-Client würde keine Fehlermeldung angezeigt werden, die Verbindung akzeptierte der Browser als sicher. Als letzte und effektivste Möglichkeit könnte der Angreifer mit einer Root-CA aus der vertrauenswürdigen Liste des Browsers kooperien. Die Root-CA könnte das nötige Zertifkat für den gewünschten Webserver, dessen Kommunikation mit dem Ziel-Client überwacht werden soll, direkt mit einem ihrer Root-Zertifkate, wie zum Beispiel „Deutsche Telekom Root CA2“ oder „T-Telesec Global Root Class 2“,565 signieren lassen. Fraglich ist, ob die Ermittlungsbehörden die Befugnis hätten, eine Root-CA anzuhalten und sich zu Überwachungszwecken ein Zertifikat signieren zu lassen, oder ob die Root-CA befugt wäre, freiwillig zu kooperieren. In einem solchen Fall würde der Angriff für die Zielperson gänzlich unbemerkt bleiben. Erschwerend kommt hinzu, dass einmal ausgestellte Zertifikate sich nur
561 Je nach Browser und Version mit unterschiedlichem Aufwand. 562 Mit Nachweisen: Ristic, Bulletproof SSL and TLS, S. 130. 563 Es handelt sich um die BasicConstraint-Vulnerability, vgl. https://moxie.org/ie-sslchain.txt (Stand: Dezember 2017). 564 https://moxie.org/papers/null-prefix-attacks.pdf (Stand: Dezember 2017). Die Lücke ist in aktuellen Versionen der Browser ebenfalls geschlossen. 565 Root-Zertifkate der Deutschen Telekom AG, vgl. https://www.telesec.de/en/publickey-infrastructure/support/root-certificates (Stand: Dezember 2017).
IV. Besonderheit: Verschlüsselung oberhalb der Netzzugangsschicht
129
schwer wieder sperren lassen.566 Die beschriebenen Angriffe lassen sich zum Beispiel mit den Tools SSLsplit567, sslsniff568 oder mitmproxy569 durchführen. dd)
SSL/TLS-Session-Cookie-Hijacking
Unter SSL/TLS-Session-Cookie-Hijacking versteht man einen Angriff der Kategorie, die versucht, Schwächen in der konkreten Implementierung auszunutzen. Er setzt ebenfalls eine Man-in-the-Middle-Position des Angreifers voraus. Grundsätzlich sind sogenannte Cookies570 des Hypertext Transfer Protokolls (HTTP-Cookies) unter anderem wichtig für Webdienste, die durch einen Login personalisiert und zugangsbeschränkt sind. Sie sorgen dafür, dass der Nutzer nicht bei jedem Klick innerhalb des Dienstes (neuer Seitenaufruf) seine Login-Daten erneut eingeben muss. Weil HTTP ein zustandsloses Protokoll ist, bedeutet auch jedes Surfen innerhalb eines Webdienstes immer einen neuen, unabhängigen Seitenaufruf. So würde das Anklicken verschiedener E-Mails im Posteingang jedes Mal eine weitere Passwort-Eingabe erforderlich machen. Cookies ermöglichen eine komfortablere Handhabung, indem sie eine Sitzung etablieren und so das erneute Eintippen überflüssig machen.571 Nach erfolgreichem Login sendet der Webserver ein HTTP-Cookie mit einer Session-ID an den Client,572 der es auf der Festplatte speichert. Dieses Cookie mit der gerade gültigen Session-ID sendet der Browser von nun an automatisch mit jeder neuen HTTP-Anfrage an den Webserver mit und authentifiziert auf diese Weise jeden neuen Seitenaufruf, ohne dass eine Eingabe der Login-Daten notwendig ist. Die Sicherheit beruht ab diesem Zeitpunkt auf der Session-ID und nicht mehr auf dem Passwort. Gelangt ein Angreifer an die gültige Session-ID, kann er ebenfalls authentifizierte Anfragen an den Webserver schicken, die Sitzung des Ziel-Clients übernehmen und wie dieser auf die Inhaltsdaten zugreifen. Bei unverschlüsseltem HTTP ist das jederzeit ohne großen Aufwand möglich.573 Bei Nutzung von HTTPs sollten die Cookies eigentlich nur verschlüsselt nach dem Handshake übertragen werden. Das war insbesondere bei kombinierten Webseiten 566 Vgl. Ristic, Bulletproof SSL and TLS, S. 141 ff. 567 https://github.com/droe/sslsplit (Stand: Dezember 2017). SSLsplit arbeitet auch mit anderen SSL/TLS-abgesicherten Protokollen als HTTPs. 568 https://moxie.org/software/sslsniff/ (Stand: Dezember 2017). 569 https://mitmproxy.org/index.html (Stand: Dezember 2017). 570 Vgl. HTTP State Management Mechanism, RFC 6265, abrufbar unter: https://tools. ietf.org/html/rfc6265 (Stand: Dezember 2017). 571 Dazu: Gauci, Surf Jacking, S. 3; Böck, Session-Cookies and SSL, S. 8 f. 572 Alternativ kann er sie auch auf Anweisung des Webservers per JavaScript selbst erzeugen. 573 Unter Umständen ist eine Sitzung an eine IP-Adresse gebunden, dann muss der Angreifer zusätzlich sicherstellen, die gleiche IP-Adresse zu haben wie der ZielClient.
130
F. (Inhaltliche) Untersuchung des Netzwerkverkehrs
oft nicht der Fall. Kombinierte Webseiten erstrecken, häufig aus Performancegründen, die SSL/TLS-Verschlüsselung nicht auf ihr gesamtes Angebot. Sie stellen Webseiten sowohl unverschlüsselt über das HTTP- als auch verschlüsselt über das HTTPs-Protokoll bereit. Man denke nur an einen E-Mail-Provider, der gleichzeitig ein Angebot mit aktuellen Nachrichten unterhält. Greift man in einem solchen Fall aus dem verschlüsselten Teil des Dienstes auf den unverschlüsselten Teil zu, wird oft ebenso die gültige Session-ID unverschlüsselt übertragen und kann von einem Angreifer mitgesnifft werden.574 Dieses Verhalten kann auch im Hintergrund ohne Wissen des Benutzers aktiv provoziert werden. Besucht die Ziel-Person während einer gültigen Sitzung einer geschützten Webseite parallel eine gänzlich andere, ungeschützte HTTP-Seite (etwa weil sie eine Nachrichtenseite besucht, während sie im Webmail-Dienst oder sozialen Netzwerk eingeloggt bleibt), kann der Angreifer die Browseranfrage an den Webserver mit der Nachrichtenseite sehen. Als Antwort sendet er (schneller) eine Redirect-Nachricht und bringt den Browser damit dazu, kurzzeitig auf den unverschlüsselten Teil mit der gleichen Domain des eigentlichen geschützten Webdienstes umzuleiten. Dabei wird das Cookie bei entsprechender Implementierung unverschlüsselt im HTTP-Header mitgesendet und kann abgegriffen werden.575 Verhindern lässt sich dieser Angriff dadurch, dass die Secure-only-flag im CookieHeader gesetzt wird. In diesem Fall darf das Cookie mit der Session-ID nur noch über eine sichere Verbindung576 übertragen werden. Bei einer Übertragung über eine ungeschützte HTTP-Verbindung würde das Cookie nicht mitgesendet.577 Ein sitzungserhaltender Wechsel zwischen unverschlüsselten und verschlüsselten Services ist aber in diesem Fall nicht mehr möglich und daher oft nicht erwünscht. Eine Untersuchung von 2012 belegt, dass ca. 15 % von mehr als 120 Millionen Webseiten auf diese Weise implementiert sind.578 Inzwischen hat die Lücke erheblich an Bedeutung eingebüßt. Automatisiert umsetzen ließe sich ein solcher Angriff zum Beispiel mit dem Tool Surfjack.579
574 Böck, Session-Cookies and SSL, S. 12 f. 575 Gauci, Surf Jacking, S. 5; Ristic, Bulletproof SSL and TLS, S. 115 f. 576 Was sicher ist, definiert der jeweils eingesetzte Browser. Nach aktuellem Stand der Standard-Browser bedeutet das in der Regel eine HTTPs-Verbindung. 577 Vgl. HTTP State Management Mechanism, RFC 6265, S. 24 f., abrufbar unter: https://tools.ietf.org/html/rfc6265 (Stand: Dezember 2017). 578 Ristic/Kandek, SSL and Browsers: The Pillars of Broken Security, S. 33. 579 https://code.google.com/p/surfjack/ (Stand: Dezember 2017). Ob eine Webseite anfällig für einen derartigen Angriff ist, kann z.B. die Browsererweiterung Surfjack Checker zeigen, vgl. https://code.google.com/p/surfjack-checker/ (Stand: Dezember 2017).
IV. Besonderheit: Verschlüsselung oberhalb der Netzzugangsschicht
ee)
Schutzmaßnahmen: HSTS und HPKP
(1)
HTTP Strict Transport Security (HSTS)
(a)
Funktionsweise von HSTS
131
Als Reaktion580 auf die Anfälligkeit von HTTPs für SSL-Stripping581, Man-inthe-Middle-Angriffe über eigene digitale Zertifkate582 und SSL/TLS-SessionCookie-Hijacking583 wurde Ende 2012 ein Verfahren mit dem Namen HTTP Strict Transport Security (HSTS) veröffentlicht.584 Wird es sowohl vom Webserver als auch vom Browser585 unterstützt, kann der Server dem Client mit einem speziellen Response-Header mitteilen, für einen im Header vordefinierten Zeitraum ein HSTS-Server zu sein und deshalb von nun an ausschließlich über HTTPs zu kommunizieren.586 Der Browser des Clients speichert diese Information und verhindert ab diesem Zeitpunkt jegliche Kommunikation mit dem Webserver (inklusive aller Subdomains)587 über ungeschütztes HTTP. Etwaige HTTP-Anfragen werden (vom Browser) zwangsweise und automatisch im Hintergrund durch HTTPs-Anfragen ersetzt. Selbst ein vom Benutzer manuell eingetippter HTTPSeitenaufruf wird also gar nicht erst gesendet. Damit besteht für einen Angreifer grundsätzlich keine Gelegenheit mehr, eine HTTP-Redirect-Nachricht abzufangen. Ein SSL-Stripping-Angriff ist nicht mehr durchführbar. Ebenfalls verhindert wird das SSL/TLS-Session-Cookie-Hijacking, weil sowohl das Besuchen von HTTP-Elementen einer kombinierten Seite während einer Session als auch das unverschlüsselte Übertragen von Session Cookies nicht mehr möglich ist.588 Gleichzeitig beendet HSTS bei jeder Fehlermeldung oder Warnung die Verbindung zum Server. Damit ist auch das Akzeptieren unsicherer Zertifikate wie beim Man-in-the-Middle-Angriff über eigene Zertifkate nicht mehr möglich.589
580 581 582 583 584 585 586 587 588 589
http://heise.de/-1754184 (Stand: Dezember 2017). Abschnitt bb) auf Seite 125. Siehe Abschnitt cc) auf Seite 126. Siehe Abschnitt dd) auf Seite 129. https://tools.ietf.org/html/rfc6797 (Stand: Dezember 2017). Chrome und Firefox unterstützen HSTS bereits seit 2010, Safari seit Mitte 2013 und der Internet Explorer erst seit Mitte 2015, vgl. caniuse.com/stricttransportsecurity (Stand: Dezember 2017). HTTP Strict Transport Security (HSTS), RFC 6797, S. 14 ff., abrufbar unter: https: //tools.ietf.org/html/rfc6797 (Stand: Dezember 2017). Wenn entsprechend im Header spezifiziert. HTTP Strict Transport Security (HSTS), RFC 6797, S. 6 f., abrufbar unter: https: //tools.ietf.org/html/rfc6797 (Stand: Dezember 2017). HTTP Strict Transport Security (HSTS), RFC 6797, S. 5 und S. 26, abrufbar unter: https://tools.ietf.org/html/rfc6797 (Stand: Dezember 2017).
132
(b)
F. (Inhaltliche) Untersuchung des Netzwerkverkehrs
Schwachstellen und Verbreitung von HSTS
Die Schutzmechanismen von HTTP Strict Transport Security greifen allerdings erst ab dem Zeitpunkt, ab dem der Browser den Webserver als HSTS-Server verzeichnet hat. Bei einem allerersten Seitenaufruf per HTTP oder beim ersten Aufruf nach dem Ablauf des vordefinierten Zeitraums hingegen ist ein Angriff möglich. Um dieser Gefahr entgegenzutreten, arbeiten manche Browser mit einer sogenannten Preload-List. Diese Liste wird mit dem Browser ausgeliefert und enthält ein Verzeichnis von Webseiten, die HTTP Strict Transport Security unterstützen. Befindet sich die Domain eines Webservers auf der Liste, wird auch die allererste Anfrage ausschließlich per HTTPs gesendet. Die Preload-List verzeichnet derzeit aber lediglich um die 3000 Einträge.590 Sie ist auch gar nicht geeignet, größere Teile des World Wide Webs abzubilden. Ohnehin ist HTTP Strict Transport Security derzeit noch eher eine Randerscheinung. Während laut einer Untersuchung im Juni 2015 nur 3,6 % (5291) der beliebtesten 146676 Webseiten HTTP Strict Transport Security unterstützten, sind es derzeit immerhin 15,3 % (Stand: Dezember 2017).591 Zudem ist eine entsprechend aktuelle Browser-Version auf Seiten des Client erforderlich. Der Umstand, dass der HSTS-Eintrag für einen bestimmten Webserver im Browser zeitlich begrenzt ist, bietet ein neues Einfallstor. So kann der Zeitraum zu kurz gewählt sein. Je kürzer er ist, desto häufiger tritt ein „erster Aufruf nach Ablauf des Zeitraums“ auf und exponiert damit den Client. Weil die Browser auf die Systemzeit des Betriebssystems zurückgreifen, besteht für einen Angreifer die Möglichkeit, die Systemzeiteinstellung des Client-Rechners zu manipulieren. Sie wird in der Regel unverschlüsselt über das Network Time Protocol592 abgefragt. Ein Angreifer kann die Systemzeit in die Zukunft nach Ablauf des HSTS-Zeitstempels verlegen und so einen „ersten Aufruf“ simulieren.593 Mit Delorean steht bereits ein Tool für diesen Angriff zur Verfügung.594 590 Für die Einträge der Liste im Chrome-Browser siehe: https://cs.chromium.org/chrom ium/src/net/http/transport_security_state_static.json (Dezember 2017). Firefox verwendet die gleiche Liste, vgl. https://blog.mozilla.org/security/2012/11/01/preloadinghsts/ (Stand: Dezember 2017). 591 Diese Untersuchung erscheint monatlich, vgl. https://www.trustworthyinternet.org/sslpulse/ (Stand: Dezember 2017). 592 https://tools.ietf.org/html/rfc5905 (Stand: Dezember 2017). 593 Selvi, Bypassing HTTP Strict Transport Security, S. 28 ff., vgl. https:// www.blackhat.com/docs/eu-14/materials/eu-14-Selvi-Bypassing-HTTP-StrictTransport-Security.pdf (Stand: Dezember 2017). 594 https://github.com/PentesterES/Delorean (Stand: Dezember 2017). Die Manipulation der Zeit ist bei unterschiedlichen Betriebssystemen unterschiedlich erfolgreich, siehe: Selvi, Bypassing HTTP Strict Transport Security, S. 42 ff., vgl. https://www.blackhat.com/docs/eu-14/materials/eu-14-Selvi-Bypassing-HTTPStrictTransport-Security.pdf (Stand: Dezember 2017).
IV. Besonderheit: Verschlüsselung oberhalb der Netzzugangsschicht
133
Natürlich bietet HSTS keinen Schutz vor Angriffen, die sich gegen SSL/TLS direkt richten, wie zum Beispiel der BEAST-Angriff595 oder der RC4-Angriff596. Sollte der Angreifer über ein gültiges, von einer Root-CA signiertes Zertifikat verfügen, bietet HSTS logischerweise ebenfalls keinen Schutz.
(2)
HTTP Public Key Pinning (HPKP)
Ebenda setzt das HTTP Public Key Pinning (HPKP) an.597 Es zielt darauf, Angriffe mit Zertifikaten für Webserver, die eine Certification Authority ohne das Wissen des Webserver-Betreibers (absprachewidrig) ausgestellt hat, zu unterbinden. Ähnlich wie bei HTTP Strict Transport Security wird beim ersten Aufruf der Website ein spezieller Response-Header mitgeschickt. In diesem Header wird der sogenannte Pin übertragen, ein SHA256-Hashwert598 des öffentlichen Schlüssels des eigenen X.509-Zertifikats.599 Alternativ kann auch der öffentliche Schlüssel einer Root-CA oder einer zwischengeschalteten Certification Authority „gepint“ werden, mit dem Ergebnis, dass nur diese Certification Authority in der Lage ist, Zertifikate für die Domain auszustellen.600 Wie bei der HSTS-Preload-List ist ebenfalls die Möglichkeit einer im Browser mitgelieferten Liste vorgesehen, die Hashs der öffentlichen Schlüssel einiger verbreiteter Seiten bereits gespeichert hat.601 Ein Man-in-the-Middle-Angreifer mit einem gültigen, aber ohne das Wissen des Webserver-Betreibers ausgestellten Zertifikat hätte einen anderen öffentlichen Schlüssel als das originale Zertifikat, damit einen anderen Pin und würde deswegen zurückgewiesen. Allerdings scheint sich HPKP nicht durchzusetzen, da es als zu kompliziert und fehleranfällig gilt, so dass der Standard demnächst wohl ausgemustert werden wird.602 Für die Verbreitung und Schwachstellen gilt aber Ähnliches wie bei HTTP Strict Transport Security. Ein erster Seitenruf ist nicht geschützt, es sei denn, die Domain der Website ist in der Liste des Browsers enthalten. Weil die Pins nur für eine bestimmte Zeit gültig sind, ergibt sich bei Manipulation der Systemzeit auch hier wieder ein Einfallstor. Siehe Abschnitt (1) auf Seite 135. Siehe Abschnitt (3) auf Seite 137. https://tools.ietf.org/html/rfc7469 (Stand: Dezember 2017). Für Details zum Secure Hash Algorithm (SHA) siehe: Abschnitt b) auf Seite 488. Präziser ein Hash des SubjectPublicKeyInfo. Public Key Pinning Extension for HTTP, RFC 7469, S. 5 ff. und S. 12 ff., vgl. https://tools.ietf.org/html/rfc7469 (Stand: Dezember 2017). 601 Es handelt sich um die gleiche Liste wie bei HSTS, vgl. https://cs.chromium.org/ chromium/src/net/http/transport_security_state_static.json (Dezember 2017). 602 https://heise.de/-3876078 (Stand: Dezember 2017). 595 596 597 598 599 600
134
ff)
F. (Inhaltliche) Untersuchung des Netzwerkverkehrs
Weitere Beispiele für Schwachstellen und Zero-Day-Exploits
Wie bereits erwähnt,603 konzentriert sich diese Analyse mit ihrem experimentellen und exemplarischen Ansatz auf einige zentrale SSL/TLS-Schwachstellen,604 für die bereits Programmcode oder Tools (Exploits) frei verfügbar sind. Maßnahmen können so, angesichts der ungesicherten Quellenlage in diesem Bereich, konkret nachvollzogen und überprüft werden. Zudem ist mit ihnen das praktische Ausnutzen der Schwachstelle auch ohne selbst programmierte Werkzeuge möglich. Es existieren über die ausführlich dargestellten großen Schwachstellen hinaus eine kaum überschaubare Anzahl weiterer systematischer Sicherheitslücken (e.g. Heartbleed, Truncation Attacks, Protocol Downgrade Attacks, Compression Side Channel Attacks [CRIME, BREACH], Cookie Manipulation Attacks, Triple Handshake Attack, Return of Bleichenbacher’s Oracle Threat etc.).605 Ständig werden neue Schwachstellen entdeckt und mit mehr oder weniger großer Eile von den betroffenen Softwareherstellern wieder geschlossen. Wie bereits im Zusammenhang mit HTTP Strict Transport Security deutlich geworden ist, findet eine Art permanentes Katz-und-Maus-Spiel statt. Die Möglichkeit, Schwachstellen tatsächlich auszunutzen, hängt deswegen stark von ihrer Aktualität und noch stärker von der Aktualität der von der Zielperson eingesetzten Software ab. Nur bei permanenter Installation von Updates der genutzten Programme – ein beim Endnutzer wenig verbreitetes Verhalten – sind die bekannten und gefixten Sicherheitslücken wieder geschlossen. Vor unveröffentlichten Schwachstellen, sogenannten Zero-Day-Exploits, gibt es keinen Schutz.606 Sie werden so genannt, weil der Hersteller eben (noch) keine Zeit hatte, die Sicherheitslücke zu stopfen.607 Sie sind deswegen für Angreifer besonders wertvoll und werden auf dem Schwarzmarkt gehandelt oder unter der Hand weitergegeben.608 603 Vergleiche Abschnitt I. auf Seite 69. 604 Es sei nochmals betont, dass die dargestellten Schwachstellen beim Entstehen dieses Teils der Arbeit eine bedeutende Rolle spielten. Angesichts der Geschwindigkeit der Entwicklungen im IT-Bereich mögen beim Erscheinen der Arbeit die dargestellten Sicherheitslücken bereits wieder geschlossen und andere dafür entstanden sein. Das ändert aber nichts am dargestellten Prinzip des Vorgehens und entspricht dem exemplarischen Charakter dieses Teils. 605 Für eine vollständigere Aufzählung und eine detaillierte Beschreibung der Sicherheitslücken siehe z.B. Ristic, Bulletproof SSL and TLS, S. 87 ff. 606 Um die Dimensionen zu verdeutlichen: Auf der USA-Black-Hat-Konferenz 2015 wurden z.B. 32 bisher unbekannte Zero-Day-Exploits vorgestellt, vgl. http://www.eweek. com/security/black-hat-set-to-expose-more-than-30-zero-dayflaws.html (Stand: Dezember 2017). 607 Teilweise bleiben derartige Sicherheitslücken über mehr als ein Jahr vom Hersteller unbemerkt und exploitierbar, vgl. c’t Magazin für Computer und Technik, Heft 18, 08.08.2015, S. 87. 608 Es werden Summen von 40000 bis 215000 Dollar für einen Zero-Day-Exploit kolportiert, vgl. c’t Magazin für Computer und Technik, Heft 18, 08.08.2015, S. 87.
IV. Besonderheit: Verschlüsselung oberhalb der Netzzugangsschicht
135
Im folgenden Abschnitt soll exemplarisch zumindest ein kurzer Blick auf wichtige Schwachstellen von SSL/TLS der letzten Jahren geworfen werden.609 Das Tool TLSAttacker des Lehrstuhls für Netzwerk- und Datensicherheit der Ruhr-Universität Bochum kann zum Beispiel als in Java realisiertes Framework genutzt werden, um Implementierungen auf konkrete Sicherheitslücken zu testen.610 Von einem detaillierteren Eingehen auf diese (und weitere) Exploits wird im Kontext dieser Arbeit abgesehen, weil sie für die nachfolgende rechtliche Untersuchung nur eine einzelne Kategorie von Handlung bilden.
(1)
BEAST
Der BEAST-Angriff (Browser Exploit Against SSL/TLS) nutzt ein Manko in der Implementierungsvariante des Cipher-Block-Chaining-Mode (CBC) für die im SSL/TLS-Standard eingesetzten Blockchiffren.611 Im CBC-Mode hängen die zu verschlüsselnden Blöcke von den zuvor verschlüsselten Geheimtext-Blöcken ab. Der erste Klartext-Block allerdings muss mit einem pseudo-zufälligen Block (Initialiserungsvektor) verknüpft werden. Der SSL/TLS-Standard sah bis einschließlich Version TLS 1.0 vor, dass bei einer neuen Nachricht der letzte Block der letzten Nachricht anstelle eines neuen pseudo-zufälligen Initialisierungsvektors verwendet wird. Das ermöglicht einen Angriff, bei dem vom Angreifer kontrollierte Bytes eingefügt werden, um mit Hilfe von Verschiebungen über die Blockgrenzen auf den Klartext anderer Blöcke zu schließen.612 Das ist nur in einem Szenario mit Chosen-Plaintext-Angriff613 möglich. Ein solcher wurde von Duong/Rizzo in ihrer Präsentation durch Ausnutzung einer Java-Schwachstelle und Injection eines Java Applets erreicht.614 Auf diese Weise ist es nur möglich, byte-weise kleinere Teile der SSL/TLS-Daten zu dechiffrieren, aber es genügt, um so innerhalb von Minuten das Session-Cookie zu entschlüsseln.615 In aktualisierten Browsern ist die Schwachstelle durch Implementierung des 1/n-1-Splits nicht mehr exploitierbar.616
609 Angriffe auf Inhaltsdaten sind nicht nur über SSL/TLS-Schwachstellen, sondern auch über Schwachstellen in Webanwendungen durch Techniken wie Cross-Site-Scripting (XSS), Cross-Site-Request-Forgery (CSRF) oder SQL-Injection möglich. 610 https://github.com/RUB-NDS/TLS-Attacker (Stand: Dezember 2017). 611 Einzelheiten zu CBC in Anhang C, Abschnitt bb) auf Seite 427. 612 Basierend auf früheren Beschreibungen dieser Lücke: Duong/Rizzo, Here come the XOR Ninjas, S. 1 ff. 613 Siehe Abschnitt 1. auf Seite 62. 614 https://vnhacker.blogspot.ch/2011/09/beast.html (Stand: Dezember 2017). 615 https://vnhacker.blogspot.ch/2011/09/beast.html (Stand: Dezember 2017). 616 https://blog.ivanristic.com/2013/09/is-beast-still-a-threat.html (Stand: Dezember 2017).
136
(2)
F. (Inhaltliche) Untersuchung des Netzwerkverkehrs
POODLE
Das Padding Oracle On Downgraded Legacy Encryption (POODLE) richtet sich vornehmlich gegen SSLv3 und betrifft wie der BEAST-Angriff ebenfalls den Cipher-Block-Chaining-Modus (CBC-Mode)617 der Blockchiffren. Die Integrität der Daten wird dabei durch einen Message Authentication Code (MAC)618 sichergestellt. Im SSL-Standard hatte man sich dafür entschieden, den Message Authentication Code mit dem Klartext zu berechnen, an den Klartext anzuhängen und erst dann das Ganze zu verschlüsseln.619 Passen die Daten nicht in die vorgegebene Blocklänge der Blockchiffre,620 wird am Ende mit Bytes aufgefüllt (Padding),621 um die nötige Blocklänge zu erreichen. Die aufgefüllten PaddingDaten sind somit aber nicht vom Message Authentication Code umfasst. Das letzte Byte des Blocks gibt lediglich die Länge des Padding an. Das bedeutet, dass die Integrität des Padding vom Empfänger nicht sichergestellt werden kann und anfällig für Manipulationen ist. Ein Man-in-the-Middle-Angreifer kann den Browser (zum Beispiel über eine Java-Schwachstelle) veranlassen, im Hintergrund HTTPs-Requests mit einem Session-Cookie an einen Server zu schicken. In diesen Anfragen kopiert er das Session-Cookie an das Ende (in den PaddingBereich). Akzeptiert der Server die Daten, hat der Angreifer das letzte Byte des Cookies erraten (die Längenangabe des Paddings). Die Chancen dafür sind 1 zu 256. Wenn nicht, versucht der Angreifer es erneut, mit einer anderen PaddingLänge, bis der Server die Daten akzeptiert. Hat er das letzte Byte derart erraten, verschiebt er das Cookie innerhalb des HTTPs-Requests und errät das vorletzte Byte des Cookies usw. Auf diese Weise kann er Byte für Byte das Session-Cookie entschlüsseln.622 Nach neuen Erkenntnissen ist nicht nur SSLv3, sondern es sind auch einige spezielle TLS-Implementierungen betroffen.623 Der Angriff ist allerdings nicht nur relevant, wenn SSLv3 zum Einsatz kommt, weil der Server oder der Browser keine höhere Version unterstützen. Insbesondere in Kombination mit Downgrading-Angriffen624 kann der Einsatz von SSLv3 erzwungen werden, weil viele Server SSLv3 aus Kompatibilitätsgründen zusätzlich noch unterstützen. 617 Anhang C, Abschnitt bb) auf Seite 427. 618 Für Einzelheiten siehe Anhang C, Abschnitt 4. auf Seite 489. 619 Aus heutiger Sicht ist es sinnvoller, erst zu verschlüsseln und dann vom Geheimtext den MAC zu erstellen. 620 Siehe dazu: Anhang C, Abschnitt c) auf Seite 426. 621 Zum Prinzip des Paddings siehe Fußnote 1826 auf Seite 401. 622 Zum Ganzen: Möller/Duong/Kotowicz, This POODLE Bites: Exploiting THE SSL 3.0 Fallback, S. 2 f.; https://www.imperialviolet.org/2014/10/14/poodle.html (Stand: Dezember 2017). 623 https://www.imperialviolet.org/2014/12/08/poodleagain.html (Stand: Dezember 2017). 624 Downgrading-Angriffe zielen darauf ab, eine ältere und damit fehleranfälligere Version eines Protokolls zum Einsatz kommen zu lassen, um die Sicherheitslücken in der früheren Version auszunutzen, obwohl Client und Server eigentlich eine höhere Version unterstützen.
IV. Besonderheit: Verschlüsselung oberhalb der Netzzugangsschicht
137
Als Schutz bietet sich derzeit lediglich an, SSLv3 gänzlich zu meiden oder die Downgrading-Angriffe zu verhindern.625
(3)
RC4-Verzerrungen
Eine der wenigen Sicherheitslücken, bei denen sich der zugrunde liegende kryptographische Algorithmus selbst als problematisch erwiesen hat,626 betrifft den RC4-Algorithmus.627 Das ist deswegen von besonderer Relevanz, weil viele Webserver wegen der soeben beschriebenen Probleme mit den Blockchiffren zu der einzigen im Standard verfügbaren Stromchiffre RC4 migriert sind. Die Probleme von RC4 mit schwachen Initialisierungsvektoren bei bestimmten Implementierungen sind bereits in Abschnitt (1) auf Seite 83 ff. im Zusammenhang mit WEP beschrieben worden. Spätestens seit der Arbeit von AlFardan et al.628 muss RC4 gänzlich als „gebrochen“ gelten. Wie in Abschnitt (1) auf Seite 431 ff. nachvollzogen werden kann, erzeugt der RC4-Algorithmus seinen zur Chiffrierung eingesetzten, pseudo-zufälligen Schlüsselstrom durch Randomisierung einer S-Box mit Hilfe des KSA-Algorithmus629 und anschließender pseudo-zufälliger Auswahl von Bytes aus der S-Box durch den PRGA-Algorithmus.630 Dabei zeigen sich allerdings viele systematische Verzerrungen.631 Das bedeutet, dass bei einer Analyse (immer der gleiche Klartext wird mit verschiedenen Schlüsseln chiffriert)632 verschiedene Ausgabewerte systematisch häufiger vorkommen und statistisch ausgewertet werden können. Praktisch ist das deswegen bedeutsam, weil vom Browser immer das gleiche Cookie (oder Passwort) per HTTPs an den Server gesendet wird. Das Cookie könnte daher vom Angreifer erfolgreich entschlüsselt werden und seiner Authentifikation bei dem Webdienst dienen.633 Verschiedene Quellen geben an, dass der Angriff bereits zum Einsatz kommt,634 wenn auch kein Tool öffentlich verfügbar ist. Deswegen wird empfohlen, RC4 gar nicht mehr 625 Zum Beispiel durch den TLS Fallback Signaling Cipher Suite Value (SCSV) for Preventing Protocol Downgrade Attacks, vgl. https://tools.ietf.org/html/rfc7507 (Stand: Dezember 2017). 626 Eine andere betrifft den Zufallszahlgenerator Dual_EC_DRBG (Dual Elliptic Curve Deterministic Random Bit Generator), der ausweislich der Snowden-Dokumente eine Hintertür aufweist, vgl. https://projectbullrun.org/dual-ec/index.html (Stand: Dezember 2017). 627 Details zur Arbeitsweise von RC4 finden sich in Anhang C, Abschnitt bb) auf Seite 430 ff. 628 AlFardan et al., On the Security of RC4 in TLS and WPA, S. 1 ff. 629 Details in Anhang C, Abschnitt (2) auf Seite 431. 630 Anhang C, Abschnitt (3) auf Seite 433. 631 AlFardan et al., On the Security of RC4 in TLS and WPA, S. 7 ff. 632 Ciphertext-only-Angriff, vgl. Abschnitt 1. auf Seite 62. 633 Zum Ganzen: AlFardan et al., On the Security of RC4 in TLS and WPA, S. 1 ff. 634 http://heise.de/-2041383 (Stand: Dezember 2017).
138
F. (Inhaltliche) Untersuchung des Netzwerkverkehrs
einzusetzen.635 Während der Algorithmus im Juni 2015 noch fast von der Hälfte der beliebtesten Webserver angeboten worden war, ist die Zahl inzwischen (Stand: Dezember 2017) auf 19 % gesunken.636 gg)
Sonstige Angriffe (Spear-Phishing, Brute-Force-Attack)
Der Vollständigkeit halber sei noch kurz auf eine weitere Kategorie von Angriffen aus dem Bereich des Social Engineering hingewiesen, die auch dann möglich bleibt, wenn alle andere Versuche, an die Inhaltsdaten des zur Kommunikation genutzten, verschlüsselten Dienstes zu gelangen, scheitern sollten. Beim gezielten Phishing, dem sogenannten Spear-Phishing, wird versucht, an die Login-Daten für den genutzten Webdienst über eine gefälschte, als Köder dienende Website unter Kontrolle des Angreifers zu gelangen. In einer an die Zielperson versendeten E-Mail mit angepasstem Layout wird der Anschein erweckt, sie müsse zum Beispiel aus Sicherheitsgründen über einen in der Mail eingebauten Link637 ein neues Passwort festlegen und dazu ihre Login-Daten eingeben. Der Link in der E-Mail führt zu einer vom Angreifer kontrollierten, geklonten Website mit einer entsprechenden Eingabemaske, die der echten Website des Dienstleistungsanbieters täuschend ähnlich sieht. Gibt die Zielperson ihre Daten ein, wird sie anschließend auf die Original-Website weitergeleitet. Die Login-Daten wurden zuvor vom Angreifer ausgelesen. Der Link zu der geklonten Website könnte auch in einem PDF-Dokument oder ähnlichem versteckt werden. Die Zielperson muss auf der echten Seite ihre Login-Daten erneut eingeben, um sich tatsächlich einzuloggen. Dieser Angriff ist deshalb auffällig und setzt ein geringes Sicherheitsbewusstsein bei der Ziel-Person voraus. Das Social Engineering Toolkit (SET)638 ermöglicht derartige Angriffe zum Beispiel über die Option „Credential Harvester Attack Method“.639 Theoretisch denkbar wären auch Angriffe auf Online-Passwörter mittels einer Brute-Force-Attack640 über das Internet-Netzwerk auf den Server des Dienstleistungsanbieters. Ein derartiger Angriff sollte aber nur in dem seltenen Fall einer sehr schwachen Implementierungen möglich sein.641 635 Im neuen RFC 7465 verbietet die IETF sogar die Verwendung von RC4 Cipher Suites für TLS, vgl. https://tools.ietf.org/html/rfc7465 (Stand: Dezember 2017). 636 Vgl. https://www.trustworthyinternet.org/ssl-pulse/ (Stand: Dezember 2017). 637 Das eigentliche Ziel des Links kann zum Beispiel durch das Einbinden von HTML in der E-Mail versteckt sein. 638 https://github.com/trustedsec/social-engineer-toolkit (Stand: Dezember 2017). 639 SET User Manual, S. 34 f., vgl. https://github.com/trustedsec/social-engineer-toolkit/ blob/master/readme/User_Manual.pdf (Dezember 2017). 640 Abschnitt 1. auf Seite 62. 641 In der Regel wird ein solcher Angriff nach einigen fehlerhaften Versuchen durch Gegenmaßnahmen wie Sperrung des Benutzerkontos, Lookout der IP-Adresse, Einbinden von CAPTCHAs oder Ähnlichem verhindert.
IV. Besonderheit: Verschlüsselung oberhalb der Netzzugangsschicht
2.
139
Weitere offene Forschungsfelder beim Einsatz von Verschlüsselung
Diese Untersuchung hat lediglich den Anspruch exemplarisch, die Problematik zu erläutern, um sie einer fundierten rechtlichen Analyse zugänglich zu machen. Sie limitiert den Fokus im Feld der verschlüsselten Kommunikation über das Internet-Netzwerk, vornehmlich aus Gründen des immensen Umfangs dieses Bereichs, auf das verschlüsselte World Wide Web und damit insbesondere auf Internetkommunikationsdienste wie Webmail oder Soziale Netzwerke. Die Entwicklung im Bereich der verschlüsselten Kommunikation ist seit einiger Zeit stark in Bewegung, nicht nur was die Softwareentwicklung betrifft; auch die Nutzerpräferenzen bezüglich der Anwendungen sind dynamisch. Deshalb ergeben sich noch einige weitere potentielle Forschungsfelder, die einer fundierten Analyse bedürfen, was aber im Rahmen dieser Untersuchung nicht geleistet werden kann. Zu denken ist etwa an die verschlüsselte Übertragung unter Nutzung von E-MailProgrammen, wie zum Beispiel Mozilla Thunderbird oder Microsoft Outlook, über Protokolle wie POP3s, IMAPs, SMTPs oder STARTTLS. Oder die gänzliche Verschlüsselung von E-Mails etwa über den OpenPGP-Standard. Zu analysieren bliebe auch der Einsatz von Verschlüsselung in anderen Kommunikationsbereichen wie etwa der textbasierten Echtzeitkommunikation. Dabei geht es vor allem um das Instant Messaging, zum Beispiel über Skype und sein proprietäres Protokoll, Anwendungen wie Google Talk, die das XMPP-Protokoll nutzen, oder die Implementationen des Off-the-Record-Messaging-Protokolls bzw. des Secure Internet Live Conferencing Protocols (SILC). Zu nennen wäre ebenfalls der Bereich der sprachbasierten Echtzeitkommunikation, abgedeckt hauptsächlich durch Voice over IP (VoIP) mit relevanten Anwendungsprogrammen wie Skype, Jitsi oder Zfone. Die Standard-Protokolle in diesem Gebiet sind das Session Initiation Protocol (SIP), das Real-Time Transport Protocol (RTP) bzw. das Secure RTP (SRTP). Abschließend bliebe noch die generelle Verschlüsselung von ganzen (Teil-)Strecken bei Nutzung des Internet-Netzwerkes mit Hilfe von Virtual Private Networks (VPN) oder etwa dem TOR-Netzwerk. Interessant zu untersuchen wäre auch, ob der Einsatz der traditionellen Programme auf den inzwischen dominierenden Smartphones in Form von Apps etwas an deren Angreifbarkeit ändert, sie unter Umständen sogar verwundbarer macht. Unterschieden werden muss dabei sicherlich zwischen dem Zugang zum Internet-Netzwerk über ein Wireless LAN oder über die Mobilfunkzelle des Netzbetreibers. Gleichzeitig sind mit dem Smartphone auch gänzlich neue Kommunikationsanwendungen aufgekommen wie zum Beispiel WhatsApp, welches 2016 Ende-zu-Ende-Verschlüsselung über das von Open Whisper Systems entwickelte Signal Protocol eingeführt hat.642 642 WhatsApp Encryption Overview, Technical white paper, vgl. https://www.whatsapp. com/security/WhatsApp-Security-Whitepaper.pdf (Stand: Dezember 2017).
140
V.
F. (Inhaltliche) Untersuchung des Netzwerkverkehrs
Zusammenfassung: (Inhaltliche) Untersuchung des Netzwerkverkehrs
War in einem ersten Angriffsschritt zunächst der Zugriff auf den Datenverkehr des lokalen Netzwerks der Zielperson erfolgreich,643 muss in einem zweiten Schritt der Datenverkehr inhaltlich auf die relevanten Inhaltsdaten ausgewertet werden. 1.
Auswerten der Daten und Herausfiltern der Kommunikationsinhalte
Der überwiegende Teil der über das Internet-Netzwerk ausgetauschten Daten wird unverschlüsselt übertragen. In diesem Fall müssen nur die entsprechenden Datenpakete mit den relevanten Inhalts- bzw. Zugangsdaten, etwa über die Protokollart oder die angesteuerte Domain, aus dem Datenstrom herausgesiebt und unter Umständen aufbereitet werden. Grundsätzlich kann der gesamte im infiltrierten Netzwerk anfallende Datenverkehr mitgeschnitten und später ausgewertet werden. Es besteht aber ebenso die Möglichkeit, die Datenpakete bei der Aufzeichnung zu filtern und so nur einen Teil der Daten zu speichern. 2.
Verschlüsseltes World Wide Web
Wird für die Kommunikation über das World Wide Web eine Verbindung genutzt, bei der die mit dem Hypertext Transfer Protocol übertragenen Daten mittels des SSL/TLS-Standards (HTTPs) verschlüsselt werden, ist das Mitschneiden der Kommunikationsinhalte deutlich erschwert. Dennoch existiert eine fast unüberschaubare Anzahl von möglichen Angriffsszenarien, die Schwächen vor allem in den Implementierungen oder der Infrastruktur ausnutzen. In der vorliegenden Untersuchung sind ausschließlich Angriffe ohne Infiltrierung des informationstechnischen Systems der Zielperson relevant (deswegen finden etwa Angriffe über eingeschleuste Trojaner hier keine Berücksichtigung). Die Angriffe unterscheiden sich stark in Komplexität und Erkennbarkeit. Manche Angriffsarten sind für den geschulten Benutzer bemerkbar, andere benötigen sogar ein Mitwirken der Zielperson, andere wiederum sind kaum oder gar nicht festzustellen. In einigen Fällen wird es wegen der Komplexität der Angriffe effektiver sein, sich auf Daten wie Session-Cookies oder Login-Daten zu konzentrieren, die den Zugriff auf die gesamten (gespeicherten) Inhaltsdaten dann indirekt über die vorgetäuschte Authentifizierungsberechtigung bei dem Dienstleistungsanbieter erlauben. In konstanter Folge werden neue Sicherheitslücken bekannt, die für stark schwankende Zeiträume generell exploitierbar sind, bevor die entsprechende Lücke vom Hersteller durch ein Update grundsätzlich geschlossen wird. Das Vorgehen gleicht hier einem Katz-und-Maus-Spiel. Allerdings sind die Schwachstellen auf dem 643 Vgl. § E, Der Zugriff auf den Datenverkehr eines (fremden) lokalen Netzwerks auf den Seiten 72 ff.
V. Zusammenfassung
141
Ziel-Client auch nur dann geschlossen, wenn jeweils das neueste Update installiert ist. Das dürfte bei vielen Systemen nicht der Fall sein. Sollte der Angreifer über eigene Programmierfähigkeiten und einen Zero-Day-Exploit verfügen,644 wird er die Schwachstelle wesentlich länger (bis zur Veröffentlichung) ausschöpfen können. Wie häufig im Security- und Kryptographiebereich, ist eine grundsätzliche, umfassende Einschätzung über die generellen Erfolgsaussichten der verschiedenen Angriffe schwierig. Insbesondere weil das Ergebnis stark von der verwendeten Hard- und Software, sowohl auf dem Server des Dienstleisters als auch auf dem Endgerät der Zielperson, ihrer Konfiguration und vor allem ihrer Aktualität abhängt. Wie bereits in der vorherigen Untersuchung zum Zugriff auf den funkbasierten Datenverkehr eines (fremden) lokalen Netzwerks,645 gibt es keine einhundertprozentige Garantie, aber im Falle des durchschnittlichen Internetnutzers sehr viele Möglichkeiten und deswegen insgesamt eine hohe Wahrscheinlichkeit, mit einem der Angriffe erfolgreich zu sein. So können aktuell laut einer Untersuchung selbst auf Anbieter/Server-Seite derzeit (Stand: Dezember 2017) nur etwas mehr als die Hälfte der 135718 beliebtesten Webseiten als sicher gelten.646
644 Siehe dazu: Abschnitt ff) auf Seite 134. 645 Siehe die Zusammenfassung in Abschnitt III. auf Seite 110. 646 https://www.trustworthyinternet.org/ssl-pulse/ (Stand: Dezember 2017).
G.
Folgerungen für die nachfolgende rechtliche Analyse
Die vorangehende computertechnologische Untersuchung hat (exemplarisch) die Notwendigkeit des meist kumulativen Einsatzes einer Vielzahl möglicher Techniken und Vorgehensweisen aufgezeigt, um das Ziel zu erreichen, die Internetkommunikation einer Person über das lokale Netzwerk zu überwachen. Der konkrete Einsatz ist abhängig von der im jeweiligen Fall vom Betroffenen eingesetzten Technologie, den genutzten Anwendungen, ihrer Konfiguration und Aktualität. Insbesondere ist deutlich geworden, dass es nicht möglich ist, das „WLAN-Catching“ als größtenteils homogenes technisches Geschehen zu betrachten, bei dem die Funkwellen einfach über den geschützten Wohnbereich hinaus emittieren, von außen passiv erfasst und auf diese Weise auch direkt überwacht werden können. Gemein haben alle hier untersuchten Methoden, dass sie nicht direkt das informationstechnische Endgerät der Zielperson infiltrieren. Infiltriert wird vornehmlich das lokale Netzwerk des Betroffenen. Damit sind auch (meist) nur Daten beeinträchtigt, die willentlich den besonders geschützten Bereich des informationstechnischen Endgerätes verlassen. Die verschiedenen Methoden unterscheiden sich deutlich nach Eingriffsart und -weise und vor allem Eingriffsintensität. Deswegen sollen sie im Folgenden zusammenfassend charakterisiert und in verschiedene Handlungskategorien eingeteilt werden. Die derart abgeleiteten rechtlichen Handlungskategorien sind freilich abstrahiert, allgemein gehalten und unabhängig von dem jeweils aktuellen informationstechnologischen Stand der Dinge.647 Sie können dann als Grundlage und Gegenstand der nachfolgenden rechtlichen Analyse (ab Seite 149 ff.) dienen: 1. Primärmaßnahme: Mitschneiden und Speichern des Datenverkehrs eines lokalen Funknetzwerks (Abhören des WLAN; WLAN-Catching) inkl. Überwachung des Surfverhaltens Bei dieser Ermittlungsmaßnahme wird der im lokalen Funknetzwerk anfallende Datenverkehr zu Überwachungszwecken für einen bestimmten Zeitraum auf dem Übertragungsweg heimlich und von außen mitgeschnit647 Dazu bereits in Abschnitt 4. auf Seite 71.
G.
Folgerungen für die nachfolgende rechtliche Analyse
143
ten648 bzw. „gesnifft“649. Es handelt sich bei der Primärmaßnahme um eine rein passive Maßnahme (im Gegensatz zu den meisten Sekundärmaßnahmen). Nach außen dringende elektromagnetische Wellen werden von außen mitgeschnitten (vgl. Abbildung J.1 und Abbildung J.2 auf Seite 188). Ein aktives Eingreifen in den Netzwerkverkehr ist also nicht erforderlich. Die dabei aufgezeichneten Inhaltsdaten können aufbereitet die Kommunikationsvorgänge der Zielperson über das Internet-Netzwerk (mittels Laptop, Desktop-PC, Tablet, Smartphone etc.) transparent machen und so neue Ermittlungsansätze liefern bzw. letztlich bei der gerichtlichen Beweisaufnahme als Beweismittel dienen. Vorab (ohne inhaltliche Auswertung zumindest der Header-Informationen der Datenpakete nach Kategorien wie Protokollart oder Serveradresse)650 ist es technisch kaum möglich, den Datenverkehr nach bestimmten Kriterien zu filtern, zum Beispiel in der Art, dass nur der Datenverkehr solcher Anwendungen, die der klassischen, interpersonalen Kommunikation dienen, aufgezeichnet wird (wie z.B. Webmail, E-MailClient-Verkehr, Chats oder IP-Telefonie).651 Ausgeleitet und gespeichert wird bei einer solchen Maßnahme grundsätzlich also der gesamte laufende Internetdatenverkehr (z.B. auch das Aufrufen von medialen Webseiten im WWW, Anfragen bei Suchmaschinen oder die Nutzung von Angeboten des Online-Banking oder e-Commerce). Erfasst wird daher das gesamte Surfverhalten des Nutzers. Von einer solchen Maßnahme betroffen sind ebenfalls solche Datenpakete, die lediglich innerhalb des lokalen Netzwerks (ohne Nutzung des Internet-Netzwerks) zirkulieren, auch wenn diese in der Praxis nur eine absolut untergeordnete Rolle spielen dürften. Denkbar wären etwa Druckaufträge an den lokalen Netzwerkdrucker. 2. Sekundärmaßnahmen I: Maßnahmen ohne Überwindung von Sicherheitsvorkehrungen Die Sekundärmaßnahmen I eint, dass bei der Wahrnehmung der betroffenen Daten keine speziellen, technologischen Sicherheitshürden überwunden werden müssen, die gerade diese Maßnahme verhindern sollen. Vielmehr wird das lokale Funknetzwerk auf genau die Art und Weise angesprochen, 648 Von einem WLAN-Adapter im „Monitor Mode“. 649 Fachjargon nach dem engl. to sniff (schnüffeln, schnuppern). 650 Aber auch daraus ist der Erkenntnisgewinn gering, denn über das HTTP/HTTPsProtokoll werden zum Beispiel sowohl Datenpakete mit Anfragen an Suchmaschinen als auch per Webmail abgerufene E-Mails transportiert. 651 Gleiches gilt auch für die Quellen-TKÜ, die technisch allenfalls auf bestimmte konkrete Anwendungen (wie z.B. Skype) oder einzelne Bauteile (wie z.B. das Mikrofon) begrenzt werden kann. Vgl. auch die Stellungnahme an das Bundesverfassungsgericht zum BKA-Gesetz und zum Einsatz von Staatstrojanern des CCC, S. 8 ff., abrufbar unter: https://www.ccc.de/system/uploads/189/original/BKAG_Stellungnahme.pdf (Stand: Dezember 2017).
144
G.
Folgerungen für die nachfolgende rechtliche Analyse
wie es seine Konfiguration vorsieht, bzw. es werden lediglich solche Datenpakete wahrgenommen die das WLAN protokollgemäß derart versendet, dass die Wahrnehmung jedermann in Reichweite möglich ist. Darunter fallen Maßnahmen wie das Lokalisieren und Zuordnen des Access Points, das Erfassen der MAC-Adresse des Access Points,652 oder das Erstellen einer Übersicht über die assoziierten Endgeräte von außen, ohne mit dem betroffenen Netzwerk verbunden zu sein653 Beim passiven Scannen etwa werden lediglich Datenpakete ausgewertet, die der WLAN-Access Point ohnehin (protokollgemäß unverschlüsselt) in den öffentlichen Raum aussendet und mit den Endgeräten austauscht. Beim aktiven Scannen hingegen wird eine Anfrage an den Access Point gestellt, die dieser allerdings ebenfalls protokollgemäß automatisch, ohne gesonderte Prüfung sämtlichen Anfragenden beantwortet. Sollte die Ziel-Person ein offenes WLAN654 betreiben oder nutzen, ist es jedermann möglich, ohne dass ein spezieller Überprüfungsmechanismus vorgeschaltet wäre, sich beim Access Point anzumelden und derart Zugang zum Funknetzwerk zu erhalten. Hier sei nochmals in Erinnerung gerufen, dass das Sich-Assoziieren mit dem Ziel-WLAN dann als erster (Zwischen-)Schritt notwendig sein kann, wenn z.B. Maßnahmen zum Aufbrechen von Verschlüsselung oberhalb der Netzzugangsschicht (Sekundärmaßnahmen II) umgesetzt werden sollen.655 3. Sekundärmaßnahmen II: Maßnahmen zur Überwindung von Sicherheitsvorkehrungen (insb. Verschlüsselung) Die Sekundärmaßnahmen II eint, dass sie anstreben, spezielle informationstechnologische Sicherheitsvorkehrungen (insbesondere Verschlüsselungsund Authentifizierungsverfahren) zu überwinden, die gerade darauf abzielen, die Daten besonders vor fremder Kenntnisnahme abzuschirmen und damit (indirekt) auch die Durchführung der Primärmaßnahme zu verhindern. Die hier betrachteten Sicherheitsvorkehrungen schützen zum einen, auf Ebene der Netzzugangsschicht, das Zielnetzwerk in seiner Gesamtheit gegen Zugriffe und ein Mitlesen von außen. Ist ein Funknetzwerk derart abgesichert, muss ein Angreifer den jeweiligen (Verschlüsselungs-)Schutz des Netzwerks knacken, etwa durch einen direkten Angriff auf Wired Equivalent Privacy (WEP) oder durch das Ausnutzen einer PSK-Schlüssel-, WPS- bzw. RouterRemote-Management-Schwachstelle bzw. einen Brute-Force-Angriff bei 652 Als Grundlage einer etwaigen Überwachungsanordnung. 653 Etwa im Voraus der Durchsuchung einer Wohnung, um die Anzahl der zu beschlagnahmenden IT-Endgeräte festzustellen. Zum Beispiel mit dem Tool Kismet über protokollgemäß unverschlüsselte Datenpakete, wie bestimmte Management-Frames. 654 Offene Funknetzwerke sind gegenwärtig z.B. als besonderer Service in Cafés anzufinden. 655 Für das bloße Abhören eines offenen WLAN ist es hingegen nicht notwendig.
G.
Folgerungen für die nachfolgende rechtliche Analyse
145
Wi-Fi Protected Access (WPA/WPA2). Solche Maßnahme gehen fast immer mit Eingriffen in den Datenverkehr einer Netzwerkinfrastruktur des Betroffenen einher. Unter diese Kategorie von Maßnahmen fällt zum Beispiel das Re-injizieren von Datenpaketen in das Netzwerk656 oder das Fälschen und Senden von Disassociation-Frames an einen Host.657 Des Weiteren können die konkret zu überwachenden Anwendungen auf den IT-Endgeräten zusätzliche, ihre Kommunikationsdaten abschirmende Verschlüsselung oberhalb der Netzzugangsschicht einsetzen, wie etwa die Verschlüsselung der Verbindung zwischen Client und Server (Transportverschlüsselung) durch den Browser mit Hilfe des hier beispielhaft betrachteten HTTPs-Protokolls. Angriffe auf diese zusätzliche Verschlüsselung erfordern regelmäßig Eingriffe, die sich auch auf die Software des informationstechnischen Ziel-Endsystems auswirken, jedoch ohne dieses Endsystem (wie ein Trojaner) zu infiltrieren. Zu denken ist etwa an das konkrete Ausnutzen der POODLE-Sicherheitslücke mit Hilfe einer Java-Schwachstelle oder die Änderung der Systemzeit des anvisierten Endsystems über das Network Time Protocol. Allerdings müssen Maßnahmen zur Überwindung der Transportverschlüsselung nicht zwangsläufig das Endgerät betreffen. Sie können auch lediglich Auswirkungen auf die Netzwerkinfrastruktur haben, wie etwa beim SSL-Stripping oder bei bestimmten Formen des SSL/TLS-SessionCookie-Hijacking durch das Manipulieren von Redirect-Nachrichten. All diesen Maßnahmen ist gemein, dass aktiv, unter Ausnutzung von Sicherheitslücken und Schwachstellen,658 in ein fremdes IT-System eingegriffen wird und dabei unter Umständen Daten im Netzwerkverkehr, in Netzwerkkomponenten oder auf dem Endgerät manipuliert werden. 4. Sekundärmaßnahmen III: „Informationstechnologische Täuschungen“ im Rahmen der Überwachung lokaler Funknetzwerke Diese Kategorie von Maßnahmen eint der Aspekt, dass ein (zumindest unbewusstes) Mitwirken des Maßnahmeadressaten erforderlich ist, das zudem eine in der Form unbeabsichtigte Telekommunikationsbeziehung etabliert. Zu diesem Mitwirken soll der Betroffene durch Täuschung, etwa indem ihm falsche technologische Tatsachen vorgespiegelt werden, und durch das Ausnutzen einer gewissen Arglosigkeit bewegt werden. Sollte beispielsweise im individuellen Fall das Überwinden der Sicherheitsvor656 Etwa bei der Replay-Attack zum Brechen von WEP. 657 Etwa im Rahmen einer Deauthentication Attack bei einem Angriff auf WPA/WPA2. 658 An Sicherheitslücken und Schwachstellen besteht (leider) kein Mangel. Es wird geschätzt, dass selbst bei großen Softwarefirmen im Schnitt 0,5 solcher Fehler pro 1000 Zeilen Programmiercode auftreten; zum Vergleich: Der Browser Google Chrome besteht aus geschätzten 7 Millionen Zeilen Quellcode, was insgesamt ca. 3500 Fehlern allein für diese Anwendung entsprechen würde, vgl. „Why everything is hackable“, The Economist, 08.04.2017, S. 70.
146
G.
Folgerungen für die nachfolgende rechtliche Analyse
kehrungen des lokalen Funknetzwerks659 auf allen Wegen fehlschlagen, kann versucht werden, die Sicherheitsvorkehrungen gänzlich zu umgehen und die WLAN-Datenströme über einen sogenannten Evil-Twin umzuleiten. Dafür müssten die Strafverfolgungsbehörden einen eigenen Access Point aufbauen und so selbst ein Funknetzwerk bereitstellen (den „Evil Twin“).660 Dieses zusätzliche Netzwerk wird unter dem gleichen Service Set Identifier (Netzwerkname) und der gleichen MAC-Adresse betrieben wie das ZielNetzwerk und gibt so vor, das eigene lokale Netzwerk des Betroffenen zu sein.661 Kommt eine Verbindung des anvisierten Endgerätes zum Evil-Twin zustande, wird dadurch bei der Zielperson der Anschein erweckt, sie wäre über ihren normalen, geschützten Zugangsknoten (Access Point) mit dem Internet-Netzwerk verbunden. In Wahrheit läuft der Datenverkehr jedoch über den („bösen“) Access Point unter der Kontrolle der Strafverfolgungsbehörden. Diese Maßnahme unterscheidet sich von den bereits erwähnten (rein technischen) Man-in-the-Middle-Angriffen dadurch, dass oft ein (zumindest unbewusstes) Mitwirken des Betroffenen notwendig ist, etwa indem sich der Betroffene mit dem vorgeblich eigenen Access Point manuell (vermeintlich wieder-)verbindet. In diese Kategorie kann auch ein völlig anderer Weg fallen, an die gewünschte WPA/WPA2-Passphrase zu gelangen, die das lokale Ziel-Netzwerk schützt. Mit Hilfe von Methoden aus dem Bereich des Social Engineering, insbesondere über das gezielte Phishing (Spear Phishing), kann der Betroffene dazu gebracht werden, die vertrauliche Passphrase preiszugeben.662 Zum Beispiel kann in einer an die Zielperson versendeten E-Mail mit speziellem, angepasstem Layout der Anschein erweckt werden, sie müsse sich etwa aus Sicherheitsgründen über einen in der Mail eingebauten Link mit dem vermeintlichen, täuschend echt aussehenden Konfigurationsmenu des Routers verbinden. Dort wird für den Betroffenen der Eindruck erweckt, die WPA/WPA2-Passphrase müsse nach einem automatischen Firmware-Update des Routers neu eingegeben werden. Tippt die Ziel-Person die Passphrase ein, wird sie mitgeschnitten, woraufhin der Betroffene eine Erfolgsmeldung erhält und in das normale Internet-Netzwerk weitergeleitet wird.Ganz ähnlich zu bewerten wäre auch die neue Methode des Unterschiebens von einem Trojaner beim Download regulärer Software mit Hilfe des Internetproviders: Wenn der Betroffene versucht, eine gängige Software wie z.B. 659 Auf Ebene der Transportschicht; insbesondere etwa im Falle eines gut konfigurierten und aktuellen WPA2. 660 Das Bereitstellen kann von außerhalb des geschützten Bereichs des Betroffenen erfolgen und durch ein besonders starkes Signal dessen eigenes Signal „überstrahlen“. 661 Daher auch der Name „böser Zwilling“. 662 Das Spear-Fishing dürfte auch als Möglichkeit in Frage kommen, den „Bundestrojaner“ im Rahmen einer Quellen-Telekommunikationsüberwachung auf einem Endgerät zu platzieren.
G.
Folgerungen für die nachfolgende rechtliche Analyse
147
Skype, TrueCrypt oder WhatsApp herunterzuladen, leitet der Provider die entsprechende Anfrage des Browsers heimlich im Hintergrund per HTTPRedirect zu einem von staatlichen Stellen kontrollierten Server um, der die gewünschte funktionstüchtige, allerdings mit einem Trojaner infizierte Software an den Betroffenen (unbemerkt) ausliefert.663
663 Diese Methode kam wohl auch in Deutschland bereits zum Einsatz, vgl. https: //heise.de/-3837645 (Stand: Dezember 2017).
Dritter Teil Rechtliche Analyse H. I.
Einleitung Einführung
In der vorangegangen informationstechnologischen Analyse (Zweiter Teil auf Seite 69 ff.) wurden detailliert die Komplexität, Praktikabilität und die Erfolgsaussichten sowie die Bedingungen der diversen Methoden untersucht, die in ihrer Gesamtheit eine Überwachung lokaler Funknetzwerke möglich machen. Im Anschluss an die Analyse wurde das tatsächliche Vorgehen abstrahiert und kategorisiert, um es einer rechtlichen Bewertung zugänglich machen zu können (§ G auf Seite 142 ff.). Im nun vorliegenden Teil sind, nach weitergehenden einführenden Erläuterungen zu der Überwachung lokaler Funknetzwerke aus rechtlicher Perspektive und einer (ersten) rechtlichen Einordnung (§ I auf Seite 152 ff.), die derart gebildeten Handlungskategorien auf ihre rechtliche Zulässigkeit zu prüfen (§ J auf Seite 186 ff.). Diese Arbeit konzentriert sich dabei ausschließlich auf eine strafprozessuale Perspektive, die Frage nach der polizeilich-präventiven Zulässigkeit findet keine Berücksichtigung. In den Bereich der einschlägigen strafprozessualen Normen kam in der Mitte des Jahres 2017 unerwartet Bewegung. Wie aus dem Nichts664 brachte das Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens mit Wirkung vom 24.08.2017 quasi im Schlepptau neue Eingriffsbefugnisse für die Strafverfolgungsbehörden mit sich, die einschneidende Veränderungen gerade auch im Bereich der Überwachung moderner Kommunikationsmittel zur Folge hatten. So wurden in den §§ 100a ff. StPO drei neue Eingriffsermächtigungen geschaffen, die es den Strafverfolgungsbehörden gestatten sollen, die sogenannte 664 Der konkrete Gesetzgebungsprozess machte eine parlamentarische und gesellschaftliche Debatte über die neuen Eingriffsbefugnisse und die damit einhergehenden Grundrechtseingriffe nahezu unmöglich, was zumindest aus Perspektive einer gesunden Demokratie durchaus nachdenklich stimmen kann, vgl. zum Gesetzgebungsprozess Beukelmann, NJW-Spezial, 2017, S. 440.
150
H.
Einleitung
Quellen-Telekommunikationsüberwachung (§ 100a I S. 2 StPO), eine erweiterte Quellen-Telekommunikationsüberwachung (§ 100a I S. 3 StPO) sowie die OnlineDurchsuchung (§ 100b StPO) durchführen zu können. Aber auch bei dieser Reform handelt es sich nicht um den „großen Wurf“. Der traditionelle dogmatische Ansatz ist der Gleiche geblieben. Entsprechend stellt die Reform einmal mehr nur eine weitere, kleinere, schrittweise Anpassung an die modernen Realitäten dar. Insbesondere hatte der Gesetzgeber wie so oft in dieser Materie erneut nur ganz konkrete Maßnahmen im Kopf, die viele andere Bereiche und Möglichkeiten unberücksichtigt gelassen haben. Damit bleibt auch das grundsätzliche Problem dieser Domäne bestehen. „Alte“ bzw. für gänzlich andere Zwecke konzipierte strafprozessuale Eingriffsbefugnisse eines schwerfällig agierenden Gesetzgebers treffen auf „neue“, sich schnell ändernde komplexe informationstechnologische Vorgänge und eine unüberschaubare Fülle von modernen Kommunikationsformen und -mitteln. Gleichzeitig bremsen das Gebot der Normenklarheit und -bestimmtheit, das Analogieverbot, der Gesetzesvorbehalt und die Wesentlichkeitstheorie665 in diesem Bereich schärfster staatlicher Eingriffe (nicht zu Unrecht) schnelle Anpassungen durch die Judikative. Das Ergebnis ist, wie nachfolgend noch en détail aufzuzeigen ist, eine für den Rechtsanwender äußerst komplexe und schwer zu durchdringende Rechtslage. II.
Abgrenzung zu Quellen-Telekommunikationsüberwachung und Online-Durchsuchung
Bevor nachfolgend näher auf die Überwachung lokaler Funknetzwerke eingegangen wird, soll vorab noch einmal explizit der zentrale Unterschied der Maßnahme des „WLAN-Catchings“ zu den Maßnahmen Quellen-Telekommunikationsüberwachung und Online-Durchsuchung hervorgehoben werden. Bei der Online-Durchsuchung sind die auf einem Endgerät des Betroffenen gespeicherten Daten das gezielte Überwachungsobjekt der Maßnahme. Die Quellen-TKÜ hingegen visiert als Überwachungsobjekt lediglich „flüchtige Telekommunikationsdaten“ an. Aber sowohl bei der Quellen-TKÜ als auch bei der Online-Durchsuchung wird ein Endgerät des Betroffenen durch staatliche Schadsoftware (den sog. „Staatstrojaner“) grundlegend infiltriert.666 Dadurch sind bei einer solchen Maßnahme immer auch gespeicherte Daten des betroffenen Endgerätes berührt (Eingriffsobjekt).667 Im Unterschied dazu wird bei der Überwachung lokaler Funknetzwerke als Ort des Mitlesens bzw. Mitschneidens der Inhaltsdaten ein Punkt auf der Übertragungsstrecke gewählt. Dieser Punkt liegt innerhalb des Heimnetzwerkes. Die Überwachung in einem solchen Szenario geschieht aus Sicht der Netzwerktopologie damit 665 Dazu nachfolgend noch ausführlicher in Abschnitt b) auf Seite 166. 666 Dazu auch bereits in der Einleitung in Abschnitt II. auf Seite 31. 667 Allein durch die Installation von Software werden immer auch Daten des Betriebssystems verändert.
II. Abgrenzung zu Quellen-TKÜ und Online-Durchsuchung
151
zwar „von innen“ heraus,668 aber im Gegensatz zu einem „Staatstrojaner“ ohne Zugriff auf das Endgerät eines Benutzers selbst, aus Sicht des (Computer-, Tablet-, Smartphone- etc.)Anwenders daher immer noch „von außen“ und bereits auf der Übertragungsstrecke.669 Bei der Überwachung lokaler Funknetzwerke sind daher sowohl Eingriffs- als auch Überwachungsobjekt (und damit der gesamte Gegenstand der Maßnahme) nur ausgetauschte Daten, also solche Daten, die (willentlich) das Endgerät des Nutzers verlassen haben.
668 Was wiederum erhebliche Vorteile (zumindest aus Sicht der Strafverfolgungsbehörden) in Bezug auf den Umgang mit Verschlüsselung bietet, da so leicht ein Man-in-theMiddle-Angriff umgesetzt werden kann, vgl. etwa in der Einleitung in Abschnitt 2. auf Seite 63 und auch ausführlich im informationstechnologischen Teil in Abschnitt aa) auf Seite 123 ff. 669 Für weitere Details siehe Abschnitt I. auf Seite 69 ff. Eine Ausnahme bilden allein die (fakultativen) Maßnahmen mit Auswirkungen auf IT-Endgeräte zur Überwindung von Sicherheitsvorkehrungen in der dritten Unterkategorie der Sekundärmaßnahmen III, dazu ausführlich in Abschnitt e) auf Seite 301 ff.
I.
I.
Die Überwachung lokaler Funknetzwerke („WLAN-Catching“)
Überwachung lokaler Funknetzwerke aus technischer Perspektive 1.
Differenzierende Betrachtungsweise des Vorgangs
Die extensive informationstechnologische Untersuchung im vorangegangenen Teil dieser Arbeit zu der nicht nur theoretischen, sondern der tatsächlich praktischen Umsetzung einer Überwachung lokaler Netzwerke670 hat deutlich gezeigt, dass das „WLAN-Catching“ keineswegs einen im Großen und Ganzen einheitlichen Vorgang darstellt, wie ansonsten, beispielsweise in den Anfragen der Bundestagsabgeordneten und den Antworten der Bundesregierung,671 suggeriert wird. Vielmehr handelt es sich eher um einen Sammelbegriff für unterschiedliche (Teil-)Maßnahmen, die speziell auf den jeweiligen Einzelfall zugeschnitten werden müssen und von den konkreten Umständen abhängig sind. Dieser Umstand gebietet gerade auch in der rechtlichen Sphäre672 eine differenzierende Betrachtung zwingend.673 Im Folgenden wird daher, entsprechend den Ergebnissen der informationstechnologischen Untersuchung, zwischen der eigentlichen Primärmaßnahme und den drei verschiedenen Kategorien von Sekundärmaßnahmen unterschieden. Diese Handlungskategorien sind abstrahiert und unabhängig von dem jeweils aktuellen informationstechnologischen Stand der Dinge.674 Während die Primärmaßnahme die eigentliche inhaltliche Überwachungsmaßnahme verkörpert, stellen die Sekundärmaßnahmen einen oder mehrere, in der Regel aber unentbehrliche Zwischenschritte dar, um die Primärmaßnahme selbst realisieren zu können. Zweck der Sekundärmaßnahmen ist es etwa, das betroffene WLAN auszuwählen, sich 670 Vgl. Zweiter Teil: Informationstechnologische Analyse ab Seite 69 ff. 671 Vgl. Fußnote 23 auf Seite 35 bis Fußnote 27 auf Seite 36. In der Antwort zu BTDrucks. 17/8257 wird immerhin zwischen zwei (Teil-)Maßnahmen unterschieden, vgl. BT-Drucks. 17/8544, S. 16, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/17/ 085/1708544.pdf (Stand: Dezember 2017). 672 Dazu sogleich in Abschnitt II. auf Seite 162. 673 Eine ähnliche Notwendigkeit zur Aufgliederung beschreibt schon Böckenförde im Zusammenhang mit der Online-Durchsuchung, der u.a. etwa auch die Infiltration des informationstechnischen Systems als „eigenen, rechtlich getrennt zu bewertenden Vorgang“ darstellt, vgl. Böckenförde, JZ, 2008, S. 925 ff. (S. 929). 674 Dazu bereits in Abschnitt 4. auf Seite 71.
I. Überwachung lokaler Funknetzwerke aus technischer Perspektive
153
Zugang zu ihm zu verschaffen und unter Umständen vom Betreiber aufgestellte Sicherheitshürden zu umgehen, insbesondere die eingesetzte Verschlüsselung zu knacken, um so in der Praxis die Primärmaßnahme überhaupt erst durchführen zu können. Welche Sekundärmaßnahmen konkret zur Anwendung kommen, ist abhängig von der im betroffenen Funknetzwerk vorgefundenen technologischen Ausgangskonfiguration.675 Ebenso beeinflusst auch das Ziel des jeweiligen Überwachungsvorgangs (welche Daten sollen genau abgegriffen werden? Muss zusätzlich eine Verschlüsselung oberhalb der Netzzugangsschicht überwunden werden?) die notwendigen Sekundärmaßnahmen. Weil die Sekundärmaßnahmen nicht nur in ihrer technischen Ausführung voneinander abweichen, sondern auch unterschiedliche Eingriffstiefen aufweisen und verschiedene Grundrechte auf unterschiedliche Art und Weise tangieren, ist es erforderlich, diese (Teil-)Maßnahmen separat auf ihre Vereinbarkeit mit der Strafprozessordnung hin zu untersuchen.676 Ein Betreten der Wohnung des Betroffenen für die Umsetzung der Maßnahmen ist nicht notwendig, weil die elektromagnetischen Wellen in der weit überwiegenden Anzahl der Fälle über die Grenzen des geschützten Wohnbereichs der Zielperson hinaus emittieren und deshalb im öffentlichen Raum677 empfangen werden können.678 Zunächst muss das gewünschte Ziel-Netzwerk von außen festlegt und die Anschlusskennung (MAC-Adresse) ermittelt werden (unter Sekundärmaßnahmen I). Fehlen besondere Sicherheitskonzepte (vor allem Wired Equivalent Privacy, Wi-Fi Protected Access und Wi-Fi Protected Access 2), ist auch der Zugang zum lokalen Zielnetzwerk jederzeit unproblematisch möglich (ebenfalls Sekundärmaßnahmen I). Ist das Zielnetzwerk jedoch speziell geschützt, muss das eingesetzte Sicherheitskonzept erst überwunden, eine etwaige Verschlüsselung der Netzzugangsschicht „geknackt“ werden (Sekundärmaßnahmen II). Je nach verwendetem Sicherheitskonzept weisen die dafür erforderlichen Maßnahmen eine unterschiedliche Eingriffstiefe auf und haben unter Umständen Auswirkungen nicht nur auf die WLAN-Infrastruktur, sondern auch auf das Endgerät des Maßnahmeadressaten. Kann das Sicherheitskonzept gar nicht überwunden werden, bietet das Umleiten des Netzwerkverkehrs (Evil-Twin-Angriff) eine weitere, auf Täuschung und Provokation einer Mitwirkungshandlung der Zielperson basierende Zugriffsmöglichkeit (Sekundärmaßnahmen III). In den allermeisten Fällen ist die Durchführung einer oder mehrerer der erwähnten Sekundärmaßnahmen als erster Schritt notwendig. Erst dann können in einem 675 676 677 678
Dazu bereits in § E auf Seite 72 ff. Für die Zusammenfassung siehe § L auf Seite 341. Zu dieser Problematik sogleich ausführlich in Abschnitt II. auf Seite 162. Oder gegebenenfalls etwa in einer Nachbarwohnung. Dazu bereits in Abschnitt II. auf Seite 72. Sollten die elektromagnetischen Wellen im konkreten Fall nicht über die Grenzen der Wohnung hinaus emittieren, machte das „WLAN-Catching“ als Überwachungsmaßnahme wenig Sinn und soll deswegen auch nicht Gegenstand dieser Untersuchung sein.
154
I.
Die Überwachung lokaler Funknetzwerke („WLAN-Catching“)
zweiten Schritt die im Netzwerk anfallenden Datenströme sinnvollerweise mitgeschnitten und auf die Intention der Überwachungsmaßnahme hin (z.B. bestimmte Kommunikationsinhalte) gefiltert werden. Je nach Modus Operandi können auch die gesamten Daten mitgeschnitten und nachträglich durchsucht werden. Diese Maßnahme heimlichen Mitschneidens („Sniffen“) kann als das eigentliche Abhören des WLAN bzw. als die Primärmaßnahme oder das Kernelement des WLAN-Catching bezeichnet werden. Es können sowohl bestimmte Verkehrsdaten als auch die Inhaltsdaten und/oder z.B. Zugangsdaten zu den Webdiensten (Passwörter/Benutzernamen) generell direkt in Erfahrung gebracht werden, weil die im Internet-Netzwerk genutzten Protokolle grundsätzlich keine Verschlüsselung vorsehen. In jüngerer Zeit findet allerdings der Einsatz von Verschlüsselung auch oberhalb der Netzzugangsschicht (der Ebene, die nur den Datenverkehr innerhalb des lokalen Netzwerks betrifft) immer stärkere Verbreitung, wenn auch noch zurückhaltend und nicht in allen Bereichen, und erschwert Überwachungsmaßnahmen logischerweise deutlich. Die dabei zum Einsatz kommenden Verschlüsselungsmethoden sind mannigfaltig und unterscheiden sich in den verwendeten kryptographischen Verfahren, den zugrundeliegenden mathematischen Funktionen, den zum Einsatz kommenden Protokollen, der Art der Implementierung usw. erheblich. Verschlüsselt eine betreffende Kommunikationsanwendung ihre Daten, muss zusätzlich zur Überwindung des Sicherheitskonzepts im lokalen Zielnetzwerk auch diese Verschlüsselung in einem weiteren Schritt auf wiederum anderem Weg geknackt werden.679 Da auch das „Knacken“ der in dieser Analyse betrachteten Transportverschlüsselung680 lediglich der Umsetzung der Primärmaßnahme dient, wird auch dieser Vorgang als Sekundärmaßnahme qualifiziert (je nach Methode unter Sekundärmaßnahmen II bzw. III).681 679 Von dem sehr weiten Feld der Verschlüsselung kann in dieser Untersuchung nur ein kleiner Ausschnitt angerissen werden. Der angerissene Ausschnitt soll aber exemplarisch zeigen, welche Probleme für einen Überwachenden entstehen, und verdeutlichen, auf welche Art und Weise damit umgegangen werden kann. Es stehen dabei die am weitesten verbreiteten kommunikationsrelevanten Internetdienste wie Webmail, soziale Netzwerke oder Internetforen im Fokus. 680 Siehe Abschnitt 1. auf Seite 119. 681 Aus Gründen der Effektivität kann es in einem solchen Fall sinnvoll sein zu versuchen, lediglich die Authentifizierungsdaten in Erfahrung zu bringen. Diese könnten zu einem späteren Zeitpunkt nach der eigentlichen WLAN-Überwachungsmaßnahme für den Zugriff auf den Server des Dienstleistungsanbieters genutzt werden. Eine solche Folgemaßnahme unterschiede sich deutlich von der Primär- und den Sekundärmaßnahmen, denn ein Dritter wird dabei getäuscht. Dem Dienstleistungsanbieter gegenüber wird durch die Eingabe der korrekten Login-Daten vorgegeben, der rechtmäßige Nutzer zu sein. In der Praxis wird sie zudem häufig exterritorialen Bezug aufweisen. Das Knacken der Verschlüsselung könnte im konkreten Fall effektiver oder in bestimmten Fällen überhaupt erst möglich werden, wenn sich die Behörden im Vorfeld einer Maßnahme Kenntnis von Sicherheitslücken (vor allem sogenannte
I. Überwachung lokaler Funknetzwerke aus technischer Perspektive
155
Die erwähnten separaten Handlungskategorien – die Primärmaßnahme, sowie die drei unterschiedlichen Sekundärmaßnahmen – sollen nachfolgend (nochmals) aufgeführt und beschrieben werden:682 2.
Erläuterung der unterschiedlichen Maßnahmen
1. Primärmaßnahme: Mitschneiden und Speichern des Datenverkehrs eines lokalen Funknetzwerks (Abhören des WLAN; WLAN-Catching) inkl. Überwachung des Surfverhaltens Bei dieser Ermittlungsmaßnahme wird der im lokalen Funknetzwerk anfallende Datenverkehr zu Überwachungszwecken für einen bestimmten Zeitraum auf dem Übertragungsweg heimlich und von außen mitgeschnitten683 bzw. „gesnifft“684. Es handelt sich bei der Primärmaßnahme um eine rein passive Maßnahme (im Gegensatz zu den meisten Sekundärmaßnahmen). Nach außen dringende elektromagnetische Wellen werden von außen mitgeschnitten (vgl. Abbildung J.1 und Abbildung J.2 auf Seite 188). Ein aktives Eingreifen in den Netzwerkverkehr ist also nicht erforderlich. Die dabei aufgezeichneten Inhaltsdaten können aufbereitet die Kommunikationsvorgänge der Zielperson über das Internet-Netzwerk (mittels Laptop, Desktop-PC, Tablet, Smartphone etc.) transparent machen und so neue Ermittlungsansätze liefern bzw. letztlich bei der gerichtlichen Beweisaufnahme als Beweismittel dienen. Vorab (ohne inhaltliche Auswertung zumindest der Header-Informationen der Datenpakete nach Kategorien wie Protokollart oder Serveradresse)685 ist es technisch kaum möglich, den Datenverkehr nach bestimmten Kriterien zu filtern, zum Beispiel in der Art, dass nur der Datenverkehr solcher Anwendungen, die der klassischen, interpersonalen Kommunikation dienen, aufgezeichnet wird (wie z.B. Webmail, E-MailClient-Verkehr, Chats oder IP-Telefonie).686 Ausgeleitet und gespeichert wird bei einer solchen Maßnahme grundsätzlich also der gesamte laufende
682 683 684 685 686
Zero-Day-Exploits) beschaffen oder sich (falsche) Zertifikate einer Root-CA ausstellen lassen. Die Einbeziehung derartiger begleitender Hilfs- bzw. Folgemaßnahmen würde den Rahmen dieser Untersuchung sprengen. Eine weiterführende Forschung in diesem Bereich ist aber dringend geboten. Dazu bereits in § G auf Seite 142 ff. Von einem WLAN-Adapter im „Monitor Mode“. Für die technischen Details siehe Abschnitt a) auf Seite 106. Fachjargon nach dem engl. to sniff (schnüffeln, schnuppern). Aber auch daraus ist der Erkenntnisgewinn gering, denn über das HTTP/HTTPsProtokoll werden zum Beispiel sowohl Datenpakete mit Anfragen an Suchmaschinen als auch per Webmail abgerufene E-Mails transportiert. Gleiches gilt auch für die Quellen-TKÜ, die technisch allenfalls auf bestimmte konkrete Anwendungen (wie z.B. Skype) oder einzelne Bauteile (wie z.B. das Mikrofon) begrenzt werden kann. Vgl. auch die Stellungnahme an das Bundesverfassungsgericht zum BKA-Gesetz und zum Einsatz von Staatstrojanern des CCC, S. 8 ff., abrufbar
156
I.
Die Überwachung lokaler Funknetzwerke („WLAN-Catching“)
Internetdatenverkehr (z.B. auch das Aufrufen von medialen Webseiten im WWW, Anfragen bei Suchmaschinen oder die Nutzung von Angeboten des Online-Banking oder e-Commerce). Erfasst wird daher das gesamte Surfverhalten des Nutzers. Von einer solchen Maßnahme betroffen sind ebenfalls solche Datenpakete, die lediglich innerhalb des lokalen Netzwerks (ohne Nutzung des Internet-Netzwerks) zirkulieren, auch wenn diese in der Praxis nur eine absolut untergeordnete Rolle spielen dürften. Denkbar wären etwa Druckaufträge an den lokalen Netzwerkdrucker. 2. Sekundärmaßnahmen Die mannigfaltigen Sekundärmaßnahmen kommen per se nur optional zum Einsatz, in Abhängigkeit von den Umständen des konkreten Einzelfalls. Im praktischen Regelfall dürften aber fast immer zumindest einige der Sekundärmaßnahmen Anwendung finden. Sie lassen sich in drei Kategorien von Sekundärmaßnahmen einordnen: (a) Sekundärmaßnahmen I: Maßnahmen ohne Überwindung von Sicherheitsvorkehrungen Die Sekundärmaßnahmen I eint, dass bei der Wahrnehmung der betroffenen Daten keine speziellen technologischen Sicherheitshürden überwunden werden müssen, die gerade diese Maßnahme verhindern sollen. Vielmehr wird das lokale Funknetzwerk auf genau die Art und Weise angesprochen, wie es seine Konfiguration vorsieht bzw. es werden lediglich solche Datenpakete wahrgenommen, die das WLAN protokollgemäß derart versendet, dass die Wahrnehmung jedermann in Reichweite möglich ist. Darunter fallen Maßnahmen wie das Lokalisieren und Zuordnen des Access Points,687 das Erfassen der MAC-Adresse des Access Points,688 oder das Erstellen einer Übersicht über die assoziierten Endgeräte von außen, ohne mit dem betroffenen Netzwerk verbunden zu sein689 Beim passiven Scannen etwa werden lediglich Datenpakete ausgewertet, die der WLAN-Access Point ohnehin (protokollgemäß unverschlüsselt)690 in den öffentlichen Raum aussendet und mit den Endgeräten austauscht.
687 688 689
690
unter: https://www.ccc.de/system/uploads/189/original/BKAG_Stellungnahme.pdf (Stand: Dezember 2017). Siehe Abschnitt 1. auf Seite 73. Als Grundlage einer etwaigen Überwachungsanordnung. Etwa im Voraus der Durchsuchung einer Wohnung, um die Anzahl der zu beschlagnahmenden IT-Endgeräte festzustellen. Zum Beispiel mit dem Tool Kismet über protokollgemäß unverschlüsselte Datenpakete, wie bestimmte Management-Frames, siehe dazu in Abschnitt b) auf Seite 75. Zu den technologischen Einzelheiten siehe Abschnitt 1. auf Seite 259.
I. Überwachung lokaler Funknetzwerke aus technischer Perspektive
157
Beim aktiven Scannen hingegen wird eine Anfrage an den Access Point gestellt, die dieser allerdings ebenfalls protokollgemäß automatisch, ohne gesonderte Prüfung sämtlichen Anfragenden beantwortet. Sollte die Ziel-Person ein offenes WLAN691 betreiben oder nutzen, ist es jedermann möglich, ohne dass ein spezieller Überprüfungsmechanismus vorgeschaltet wäre, sich beim Access Point anzumelden und derart Zugang zum Funknetzwerk zu erhalten. Hier sei nochmals aus dem technischen Teil in Erinnerung gerufen,692 dass das Sich-Assoziieren mit dem Ziel-WLAN dann als erster (Zwischen-)Schritt notwendig sein kann, wenn z.B. Maßnahmen zum Aufbrechen von Verschlüsselung oberhalb der Netzzugangsschicht (Sekundärmaßnahmen II) umgesetzt werden sollen.693 (b) Sekundärmaßnahmen II: Maßnahmen zur Überwindung von Sicherheitsvorkehrungen (insb. Verschlüsselung) Die Sekundärmaßnahmen II eint, dass sie anstreben, spezielle informationstechnologische Sicherheitsvorkehrungen (insbesondere Verschlüsselungs- und Authentifizierungsverfahren) zu überwinden, die gerade darauf abzielen, die Daten besonders vor fremder Kenntnisnahme abzuschirmen und damit (indirekt) auch die Durchführung der Primärmaßnahme zu verhindern. Die hier betrachteten Sicherheitsvorkehrungen schützen zum einen, auf Ebene der Netzzugangsschicht, das Zielnetzwerk in seiner Gesamtheit gegen Zugriffe und ein Mitlesen von außen. Ist ein Funknetzwerk derart abgesichert, muss ein Angreifer den jeweiligen (Verschlüsselungs-)Schutz des Netzwerks knacken, etwa durch einen direkten Angriff auf Wired Equivalent Privacy (WEP) oder durch das Ausnutzen einer PSK-Schlüssel-, WPS- bzw. Router-RemoteManagement-Schwachstelle bzw. einen Brute-Force-Angriff bei Wi-Fi Protected Access (WPA/WPA2).694 Solche Maßnahmen gehen fast immer mit Eingriffen in den Datenverkehr einer Netzwerkinfrastruktur des Betroffenen einher. Unter diese Kategorie von Maßnahmen fällt zum Beispiel das Re-injizieren von Datenpaketen in das Netzwerk695 oder das Fälschen und Senden von Disassociation-Frames an einen Host.696 691 Offene Funknetzwerke sind gegenwärtig z.B. als besonderer Service in Cafés anzufinden. 692 Siehe Abschnitt c) auf Seite 121. 693 Für das bloße Abhören eines offenen WLAN ist es hingegen nicht notwendig. 694 Im informationstechnologischen Teil ab Abschnitt b) auf Seite 80 bzw. ab Abschnitt c) auf Seite 87. 695 Bei der Replay-Attack zum Brechen von WEP, vgl. Abschnitt (4) auf Seite 86. 696 Im Rahmen einer Deauthentication Attack bei einem Angriff auf WPA/WPA2, siehe Abschnitt (e) auf Seite 94.
158
I.
Die Überwachung lokaler Funknetzwerke („WLAN-Catching“)
Des Weiteren können die konkret zu überwachenden Anwendungen auf den IT-Endgeräten zusätzliche, ihre Kommunikationsdaten abschirmende Verschlüsselung oberhalb der Netzzugangsschicht einsetzen, wie etwa die Verschlüsselung der Verbindung zwischen Client und Server (Transportverschlüsselung) durch den Browser mit Hilfe des hier beispielhaft betrachteten HTTPs-Protokolls.697 Angriffe auf diese zusätzliche Verschlüsselung erfordern regelmäßig Eingriffe, die sich auch auf die Software des informationstechnischen Ziel-Endsystems auswirken, jedoch ohne dieses Endsystem (wie ein Trojaner) zu infiltrieren. Zu denken ist etwa an das konkrete Ausnutzen der POODLESicherheitslücke mit Hilfe einer Java-Schwachstelle oder die Änderung der Systemzeit des anvisierten Endsystems über das Network Time Protocol.698 Allerdings müssen Maßnahmen zur Überwindung der Transportverschlüsselung nicht zwangsläufig das Endgerät betreffen. Sie können auch lediglich Auswirkungen auf die Netzwerkinfrastruktur haben, wie etwa beim SSL-Stripping oder bei bestimmten Formen des SSL/TLS-Session-Cookie-Hijacking durch das Manipulieren von Redirect-Nachrichten.699 All diesen Maßnahmen ist gemein, dass aktiv, unter Ausnutzung von Sicherheitslücken und Schwachstellen,700 in ein fremdes IT-System eingegriffen wird und dabei unter Umständen Daten im Netzwerkverkehr, in Netzwerkkomponenten oder auf dem Endgerät manipuliert werden. (c) Sekundärmaßnahmen III: „Informationstechnologische Täuschungen“ im Rahmen der Überwachung lokaler Funknetzwerke Diese Kategorie von Maßnahmen eint der Aspekt, dass ein (zumindest unbewusstes) Mitwirken des Maßnahmeadressaten erforderlich ist, das zudem eine in der Form unbeabsichtigte Telekommunikationsbeziehung etabliert. Zu diesem Mitwirken soll der Betroffene durch Täuschung, etwa indem ihm falsche technologische Tatsachen vorgespiegelt werden, und durch das Ausnutzen einer gewissen Arglosigkeit bewegt werden. Sollte beispielsweise im individuellen Fall das Über697 698 699 700
Im informationstechnologischen Teil ab Abschnitt 1. auf Seite 119. Siehe Abschnitt c) auf Seite 121 ff. Siehe Abschnitt bb) auf Seite 125. An Sicherheitslücken und Schwachstellen besteht (leider) kein Mangel. Es wird geschätzt, dass selbst bei großen Softwarefirmen im Schnitt 0,5 solcher Fehler pro 1000 Zeilen Programmiercode auftreten; zum Vergleich: Der Browser Google Chrome besteht aus geschätzten 7 Millionen Zeilen Quellcode, was insgesamt ca. 3500 Fehlern allein für diese Anwendung entsprechen würde, vgl. „Why everything is hackable“, The Economist, 08.04.2017, S. 70.
I. Überwachung lokaler Funknetzwerke aus technischer Perspektive
159
winden der Sicherheitsvorkehrungen des lokalen Funknetzwerks701 auf allen Wegen fehlschlagen, kann versucht werden, die Sicherheitsvorkehrungen gänzlich zu umgehen und die WLAN-Datenströme über einen sogenannten Evil-Twin umzuleiten. Dafür müssten die Strafverfolgungsbehörden einen eigenen Access Point aufbauen und so selbst ein Funknetzwerk bereitstellen (den „Evil Twin“).702 Dieses zusätzliche Netzwerk wird unter dem gleichen Service Set Identifier (Netzwerkname) und der gleichen MAC-Adresse betrieben wie das Ziel-Netzwerk und gibt so vor, das eigene lokale Netzwerk des Betroffenen zu sein.703 Kommt eine Verbindung des anvisierten Endgerätes zum Evil-Twin zustande,704 wird dadurch bei der Zielperson der Anschein erweckt, sie wäre über ihren normalen, geschützten Zugangsknoten (Access Point) mit dem Internet-Netzwerk verbunden. In Wahrheit läuft der Datenverkehr jedoch über den („bösen“) Access Point unter der Kontrolle der Strafverfolgungsbehörden. Diese Maßnahme unterscheidet sich von den bereits erwähnten (rein technischen) Man-in-the-Middle-Angriffen705 dadurch, dass oft ein (zumindest unbewusstes) Mitwirken des Betroffenen notwendig ist, etwa indem sich der Betroffene mit dem vorgeblich eigenen Access Point manuell (vermeintlich wieder-)verbindet. In diese Kategorie kann auch ein völlig anderer Weg fallen, an die gewünschte WPA/WPA2-Passphrase zu gelangen, die das lokale ZielNetzwerk schützt. Mit Hilfe von Methoden aus dem Bereich des Social Engineering, insbesondere über das gezielte Phishing (Spear Phishing)706, kann der Betroffene dazu gebracht werden, die vertrauliche Passphrase preiszugeben.707 Zum Beispiel kann in einer an die Zielperson versendeten E-Mail mit speziellem, angepasstem Layout der Anschein erweckt werden, sie müsse sich etwa aus Sicherheitsgründen über einen in der Mail eingebauten Link mit dem vermeintlichen, täuschend echt aussehenden Konfigurationsmenu des Routers verbinden. Dort wird für den Betroffenen der Eindruck erweckt, die WPA/WPA2701 Auf Ebene der Transportschicht; insbesondere etwa im Falle eines gut konfigurierten und aktuellen WPA2. 702 Siehe Abschnitt d) auf Seite 103 f. Das Bereitstellen kann von außerhalb des geschützten Bereichs des Betroffenen erfolgen und durch ein besonders starkes Signal dessen eigenes Signal „überstrahlen“. 703 Daher auch der Name „böser Zwilling“. 704 Zu den verschiedenen Möglichkeiten siehe in Abschnitt d) auf Seite 103 f. 705 Siehe in der zweiten Unterkategorie der Sekundärmaßnahme II in Abschnitt d) auf Seite 285. 706 Siehe Abschnitt gg) auf Seite 138. 707 Das Spear-Fishing dürfte auch als Möglichkeit in Frage kommen, den „Bundestrojaner“ im Rahmen einer Quellen-Telekommunikationsüberwachung auf einem Endgerät zu platzieren.
160
I.
Die Überwachung lokaler Funknetzwerke („WLAN-Catching“)
Passphrase müsse nach einem automatischen Firmware-Update des Routers neu eingegeben werden. Tippt die Ziel-Person die Passphrase ein, wird sie mitgeschnitten, woraufhin der Betroffene eine Erfolgsmeldung erhält und in das normale Internet-Netzwerk weitergeleitet wird.708 Im Anschluss wird nun der Frage nachzugehen sein, wie sich diese technischen Vorgänge rechtlich einordnen lassen könnten und ob die aus technischer Sicht vorgenommene Einteilung sinnvollerweise auch in der rechtlichen Sphäre fortgeführt werden sollte. 3.
Einheitliche Betrachtungsweise des Vorgangs?
Im Gegensatz zur differenzierenden Betrachtungsweise im vorangegangen Abschnitt, wird die Überwachung lokaler Funknetzwerke, insofern sie überhaupt Gegenstand eines rechtswissenschaftlichen Diskurses ist709 soweit ersichtlich immer als größtenteils homogenes technisches Geschehen aufgefasst und die Rolle der Verschlüsselung prinzipiell unterschätzt.710 Wenn überhaupt, wird nur das Ermitteln des Ziel-WLAN(-Namens) zur Vorbereitung des eigentlichen Eingriffs (oder des Erlasses einer Überwachungsanordnung) als separate Maßnahme identifiziert. Die Kenntnisnahme der über das lokale Funknetzwerk übermittelten Daten wird ansonsten aber als einheitlicher Vorgang betrachtet. Diese schematische Darstellung des Vorgangs hält einer eingehenderen technischen Betrachtung, wie zuvor erläutert, gerade nicht stand. Denn dabei wird – die tatsächliche Sachlage stark vereinfachend – Folgendes suggeriert: Weil die Funkwellen in den allermeisten Fällen über den geschützten Wohnbereich hinaus emittieren, können von außen die im Netzwerk transportierten Daten passiv erfasst und auf diese Weise auch direkt überwacht werden. Es ist grundsätzlich richtig, dass die Daten derart passiv von außen mitgeschnitten werden können. Eine sinnvolle Überwachungsmaßnahme dürfte aber dennoch nur in den seltensten Fällen so mühelos realisierbar sein, nämlich dann, wenn es sich um ein unverschlüsselt betriebenes WLAN711 handelt. In der Praxis spielen 708 Ganz ähnlich zu bewerten wäre auch die neue Methode des Unterschiebens von einem Trojaner beim Download regulärer Software mit Hilfe des Internetproviders: Wenn der Betroffene versucht, eine gängige Software wie z.B. Skype, TrueCrypt oder WhatsApp herunterzuladen, leitet der Provider die entsprechende Anfrage des Browsers heimlich im Hintergrund per HTTP-Redirect zu einem von staatlichen Stellen kontrollierten Server um, der die gewünschte funktionstüchtige, allerdings mit einem Trojaner infizierte Software an den Betroffenen (unbemerkt) ausliefert. Diese Methode kam wohl auch in Deutschland bereits zum Einsatz, vgl. https://heise.de/-3837645 (Stand: Dezember 2017). 709 Dazu sogleich in Abschnitt III. auf Seite 175. 710 Siehe auch Abschnitt 1. auf Seite 152. 711 Siehe Abschnitt a) auf Seite 79.
I. Überwachung lokaler Funknetzwerke aus technischer Perspektive
161
diese offenen Funknetzwerke aber eine absolut untergeordnete Rolle.712 In allen anderen Fällen sind die derart aufgezeichneten Daten gar nicht sinnvoll auswertbar, weil es sich nur um unverständlichen, da verschlüsselten „Zeichensalat“ handelt. Bei der einheitliche Betrachtungsweise wird insbesondere übersehen, dass das nachträgliche Rückgängigmachen („Knacken“) der Verschlüsselung auf dem Wege einer reinen Kryptanalyse in den allermeisten Fällen in der Praxis kaum je zum Erfolg führen dürfte.713 Möchte man die aufgezeichneten Daten tatsächlich inhaltlich wahrnehmen, müssen sie zunächst zumeist mittels des anderweitig erlangten passenden kryptographischen Schlüssels dechiffriert werden714 Ein Brechen der Verschlüsselung von außen ist (derzeit) nur dann erfolgversprechend, wenn dabei unter Ausnutzung von Sicherheitslücken aktiv auf das betroffene lokale Funknetzwerk eingewirkt wird, indem zum Beispiel, wie oben beschrieben, Datenpakete in das Netzwerk re-injiziert oder etwa einzelne Datenpakete manipuliert werden. Ganz besonders gilt das, wenn zusätzlich eine weitere Verschlüsselung oberhalb der Netzzugangsschicht, wie zum Beispiel die Transportverschlüsselung über das HTTPs-Protokoll, gebrochen werden soll. Alternativ kann auch (aktiv) versucht werden, den Datenstrom des betroffenen Endgerätes umzudirigieren, wenn das Brechen der Netzwerkverschlüsselung scheitert. Gerade aber dieses aktive Eingreifen in das betroffene Funknetzwerk mit dem Ziel, vorhandene Schwachstellen auszunutzen, ist bei der praktischen Umsetzung in der Regel unentbehrlich und wird bei der vereinfachenden einheitlichen Betrachtungsweise völlig ausgeblendet. Es soll daher nochmals betont werden, dass sich in der Praxis das eigentliche (passive) Abhören des WLAN in den allermeisten Fällen nur sinnvoll realisieren lässt, wenn zuvor eine der (aktiven) Sekundärmaßnahmen durchgeführt wurde. Diese optionalen (Sekundär-)Maßnahmen greifen aber selbständig und unter Umständen gänzlich anders in die Grundrechte des Maßnahmeadressaten ein als das Abhören des WLAN selbst. Die wenigen in der rechtswissenschaftlichen Literatur auffindbaren Auseinandersetzungen mit dem Thema715 beleuchten daher immer nur einen (Teil-)Aspekt des Vorgangs und lassen andere, für die tatsächliche reale Umsetzung unabdingliche Aspekte völlig außer Acht. Die entsprechenden (einheitlichen) Darstellungen sind damit zumindest verkürzt, wenn nicht unzutreffend, 712 Das ist neben dem Bedürfnis nach Privatsphäre vor allem den Werkseinstellungen der Provider für ihre Router und der Rechtslage bzgl. der Störerhaftung für WLANBetreiber geschuldet. 713 Zu dieser Problematik bereits ausführlich in den Grundlagen in § C auf Seite 55 ff. Ein Überwinden der Verschlüsselung ist nur auf dem hier im technologischen Teil ausführlich beschriebenen Weg über Sicherheitslücken und Schwachstellen erfolgsversprechend. 714 Im Falle des inzwischen weit verbreiteten Sicherheitskonzeptes WPA2 ändert sich dieser Schlüssel permanent, etwa mit jeder einzelnen Sitzung und für jedes assoziierte Endgerät, vgl. Abschnitt bb) auf Seite 90. 715 Siehe Abschnitt III. auf Seite 175.
162
I.
Die Überwachung lokaler Funknetzwerke („WLAN-Catching“)
weil sie einen zentralen Problembereich für die Durchführung der Maßnahme völlig ausklammern. II.
Überwachung lokaler Funknetzwerke aus rechtlicher Perspektive
Das Überwachen lokaler Funknetzwerke ist, wie soeben aufgezeigt, ein komplexer Vorgang. Nun existiert freilich keine Vorschrift in der Strafprozessordnung, die das Abhören von lokalen Funknetzwerken bzw. das WLAN-Catching, quasi als Sammelbegriff, in seiner Gesamtheit ausdrücklich gestatten würde. Daher stellt sich die Frage, wie der gesamte Vorgang überhaupt in den rechtlichen Handlungsrahmen eingeordnet werden kann und wo die Probleme dabei liegen. Zentrale Aufgabe der Strafverfolgungsbehörden ist die Aufklärung von Straftaten. Durch das Überwachen lokaler Funknetzwerke lassen sich Informationen über einen Verdächtigen, vornehmlich seine Kommunikationsinhalte, beschaffen. Ziel ist es, auf diese Weise neue Ermittlungsansätze zu generieren oder die gewonnen Informationen letztlich bei der gerichtlichen Beweisaufnahme als Beweismittel zu verwerten. Diese Art der Informationsbeschaffung schränkt die Freiheit der Betroffenen ein und stellt, wie jede hoheitliche Einschränkung der Freiheit, einen Grundrechtseingriff dar. Den Ermittlungsbehörden sind derartige in die Grundrechte eingreifende Ermittlungsmaßnahmen nur gestattet716 bzw. die bereits – seit zumindest 2007 – erfolgten Durchführungen des WLAN-Catching waren nur dann rechtlich legitimiert, wenn der Eingriff von einer oder mehreren Eingriffsbefugnissen in der Strafprozessordnung gedeckt ist.717 1.
(Kurze) Erläuterung der maßgeblichen Normen
Aus Gründen der besseren Verständlichkeit des nachfolgenden rechtlichen Problemaufrisses sollen vorab die maßgeblichen verfassungsrechtlichen und strafprozessualen Normen in aller Kürze erörtert werden. a)
Maßgebliche Grundrechte
Bei dieser Art der Ermittlungen stehen vor allem das Fernmeldegeheimnis in Art. 10 I GG sowie das allgemeine Persönlichkeitsrecht aus Art. 2 I i.V.m. Art. 1 I GG in seinen Ausprägungen als Recht auf informationelle Selbstbestimmung und als Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (GVIiS) im Blickpunkt und bedürfen einer sorgfältigen Abgrenzung. 716 Und um einer etwaigen Strafbarkeit gem. § 202b StPO zu entgehen. 717 Aufgrund von Gesetzesvorbehalt und Wesentlichkeitstheorie, vgl. Rudolphi in: Rudolphi/Frisch/Paeffgen/Rogall/Schlüchter/Wolter (Hrsg.), SK-StPO, 64. EL, 2009, Vorbem. § 94, Rn. 14, 17; Hilgendorf/Valerius, Computer- und Internetstrafrecht, S. 224.
II. Überwachung lokaler Funknetzwerke aus rechtlicher Perspektive
aa)
163
Recht auf informationelle Selbstbestimmung, Art. 2 I i.V.m. Art. 1 I GG
Einzelne Maßnahmen könnten das der Rechtsprechung des Bundesverfassungsgerichts entwachsene718 allgemeine Persönlichkeitsrecht aus Art. 2 I i.V.m. Art. 1 I GG in seiner Ausprägung als Recht auf informationelle Selbstbestimmung tangieren. Das Recht auf informationelle Selbstbestimmung geht über den Schutz der Privatsphäre durch das allgemeine Persönlichkeitsrecht hinaus.719 Es schützt den Einzelnen „gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten“ und „gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“.720 Schutzobjekt sind die persönlichen Daten, also alle Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.721 Der Einzelne soll vor der Gefahr der Abrufbarkeit eines umfassenden Persönlichkeitsprofils geschützt werden. Entsprechend müssen die Daten inhaltlich nicht (mehr) die Privatsphäre betreffen, denn die Gefahr liegt in der Gesamtschau der Daten, so dass kein „belangloses“ Datum (mehr) existiert.722 Es erfasst generell die staatliche Erhebung und Verarbeitung personenbezogener Daten und damit nicht nur die automatisierte, sondern auch die kontrollierte (manuelle) Erhebung von Daten durch den Staat.723 Das Recht auf informationelle Selbstbestimmung wird nicht schrankenlos gewährleistet.724 Vielmehr können Eingriffe auf Grundlage einer gesetzlichen Ermächtigungsgrundlage bereits bei überwiegendem Allgemeininteresse gerechtfertigt sein.725 Verfassungsrechtlich steht eine Rechtfertigung vor keinen allzu hohen Hürden.726 Bereits die Ermittlungsgeneralklausel in § 161 I StPO kann den Anforderungen an eine Ermächtigungsgrundlage für einen Eingriff in das Recht auf informationelle Selbstbestimmung genügen.727 bb)
Brief-, Post- und Telekommunikationsgeheimnis, Art. 10 I GG
Die Trias728 des Art. 10 I GG soll hingegen einen möglichst vollständigen Schutz des Informationsaustauschs durch Kommunikationsmittel über eine gewisse Ent718 719 720 721 722 723 724 725 726 727 728
Im sogenannten „Volkszählungsurteil“, vgl. BVerfGE 65, 1. BVerfG NJW 2008, 822, Abs. 198. BVerfGE 65, 1, Abs. 149. Insofern deckungsgleich mit § 3 I BDSG in seiner aktuellen Version, vgl. Di Fabio in: Maunz/Dürig, Grundgesetz-Kommentar, Art. 2 Abs. 1, Rn. 175. Di Fabio in: Maunz/Dürig, Grundgesetz-Kommentar, Art. 2 Abs. 1, Rn. 174. Vgl. BVerfGE 78, 77, Abs. 27. BVerfGE 65, 1, Abs. 150. BVerfGE 65, 1, Abs. 151. Kudlich, GA, 2011, S. 193 – 208ff. (S. 197). Zu den einzelnen Rechtfertigungsvoraussetzungen siehe ausführlich Gersdorf in: BeckOK, Informations- und Medienrecht, Art. 2 GG, Rn. 90 ff. BVerfG NJW 2009, 1405, 1407, Rn. 27. Die drei Einzelgewährleistungen Brief-, Post- und Telekommunikationsgeheimnis.
164
I.
Die Überwachung lokaler Funknetzwerke („WLAN-Catching“)
fernung gewährleisten.729 Die hier relevante Gewährleistung des Fernmelde- bzw. Telekommunikationsgeheimnisses „schützt die unkörperliche Übermittlung von Informationen an individuelle Empfänger mit Hilfe des Telekommunikationsverkehrs“.730 Keine Rolle spielt die Art und Weise der Übermittlung und die Ausdrucksform (Sprache, Töne, Zeichen oder Sonstiges). Weil Art. 10 I GG nur vor den Gefahren der technischen Übermittlung schützt, endet der Schutz, wenn der Übertragungsvorgang abgeschlossen ist und die Daten beim Empfänger angekommen sind.731 Allerdings sieht das BVerfG auch bereits empfangene (gelesene) E-Mails, die sich noch zugangsgesichert auf dem Server des E-Mail-Providers befinden, als von Art. 10 I GG erfasst an, denn das entscheidende Kriterium (für den Schutz durch das Fernmeldegeheimnis) liege in der mangelnden Beherrschbarkeit des gesamten (Übertragungs- ) Vorganges durch den Kommunikationsteilnehmer gegenüber dem Dienstleistungsanbieter.732 Beschränkungen des Telekommunikationsgeheimnisses sind nach Art. 10 II GG möglich, traditionell durch § 100a StPO, aber auch durch die §§ 94 ff. StPO.733 § 100a StPO ist in seinem derzeitigen Wortlaut auch verfassungsmäßig.734 cc)
Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (GVIiS), Art. 2 I i.V.m. Art. 1 I GG
Das BVerfG hat 2008 im Rahmen der Überprüfung der Vorschriften zur OnlineDurchsuchung im Verfassungsschutzgesetz Nordrhein-Westfalen eine weitere Ausprägung des allgemeinen Persönlichkeitsrechts aus Art. 2 I i.V.m. Art. 1 I GG abgeleitet – das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (GVIiS; oder auch Computer- bzw. IT-Grundrecht).735 Das BVerfG begründet das neue Grundrecht mit der Entwicklung der Informationstechnik und der dadurch entstandenen großen Bedeutung informationstechnischer Systeme für die Persönlichkeitsentwicklung, die andere grundrechtliche Gewährleistungen nicht ausreichend zu schützen vermögen.736 Schutzobjekt des „neuen“ Grundrechts sind solche informationstechnischen Systeme, die „allein oder in ihren technischen Vernetzungen personenbezogene Daten des Betroffenen in einem Umfang und in einer Vielfalt enthalten können, dass ein Zugriff auf das System es ermöglicht, einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Durner in: Maunz/Dürig, Grundgesetz-Kommentar, Art. 10, Rn. 45. BVerfG NJW 2008, 822, Abs. 182; BVerfG NJW 1985, 121. Burghart in: Leibholz/Rinck, Grundgesetz-Kommentar, Art. 10, Rn 31. BVerfGE 124, 43, 46 ff. Diese Ansicht legitmierte das BVerfG in seinem Nichtannahmebeschluss vom 16.06.2009, vgl. BVerfGE 124, 43. 734 BVerfG NJW 2012, 833. 735 BVerfG NJW 2008, 822, Abs. 166 ff. 736 BVerfG NJW 2008, 822, Abs. 181.
729 730 731 732 733
II. Überwachung lokaler Funknetzwerke aus rechtlicher Perspektive
165
Bild der Persönlichkeit zu erhalten“.737 Nicht aber soweit „ein derartiges System nach seiner technischen Konstruktion lediglich Daten mit punktuellem Bezug zu einem bestimmten Lebensbereich des Betroffenen enthält – zum Beispiel nicht vernetzte elektronische Steuerungsanlagen der Haustechnik“.738 Die Schutzbereichsbestimmung erfolgt hier also nach quantitativen Gesichtspunkten; nur Systeme mit einem „äußerst großen und aussagekräftigen Datenbestand“739 sind erfasst.740 Geschützt ist ein solches informationstechnisches System vor jeglichen Zugriffen („Integrität“), ebenso wie das Interesse des Maßnahmeadressaten, dass die vom System erzeugten Daten vertraulich bleiben („Vertraulichkeit“).741 Das gilt auch bei Datenerhebungen, die vom System selbst unabhängig sind, aber dessen Datenverarbeitungsvorgänge zum Gegenstand haben,742 allerdings nur dann, wenn der Betroffene das System „als eigenes nutzt“.743 Der Schutz durch das GVIiS wird allerdings nur subsidiär zum Schutz durch Art. 10 I GG, durch Art. 13 I GG oder durch das Recht auf informationelle Selbstbestimmung gewährt.744 Auch das GVIiS ist nicht schrankenlos. Die Voraussetzung für rechtfertigende Eingriffe in den Schutzbereich sind allerdings hoch (Gefahr für „überragende Rechtsgüter“, Richtervorbehalt, kernbereichsschützende Regelungen)745 und dürften gegenwärtig lediglich von § 100b I StPO erfüllt sein.746 dd)
Unverletzlichkeit der Wohnung, Art. 13 I GG
Einzelne Handlungskategorien könnten ebenfalls das Grundrecht auf Unverletzlichkeit der Wohnung in Art. 13 I GG betreffen. Es handelt sich um ein Abwehrrecht zum Schutz der räumlichen Privatsphäre. Schutzgut ist also jede räumliche Sphäre, in der sich das Privatleben – auch nur vorübergehend – entfaltet, also auch Geschäfts- und Büroräume, ebenso wie z.B. umschlossenes oder begrenztes freies Gelände.747 Die Unverletzlichkeit der Wohnung kann aber nicht nur durch physisches Eindringen beeinträchtigt werden, sondern auch durch (unkörperliches) Eindringen in anderer Art und Weise mittels technischer Hilfsmittel, auch wenn sie von außerhalb der Wohnung eingesetzt werden.748 Art. 13 I GG schützt damit insbesondere vor jeder Form der akustischen oder optischen Wohnraumüberwa737 738 739 740 741 742 743 744 745 746 747 748
BVerfG NJW 2008, 822, Abs. 203. BVerfG NJW 2008, 822, Abs. 203. BVerfG NJW 2008, 822, Abs. 200. Gersdorf in: BeckOK, Informations- und Medienrecht, Art. 2 GG, Rn. 25. BVerfG NJW 2008, 822, Abs. 204. Wie es etwa bei Hardware-Keyloggern der Fall ist, vgl. BVerfG NJW 2008, 822, Abs. 205. BVerfG NJW 2008, 822, Abs. 206. BVerfG NJW 2008, 822, Abs. 167. BVerfG NJW 2008, 822, Abs. 207 ff. Vgl. etwa Hornung, CR, 2008, S. 299 ff. (S. 306). Papier in: Maunz/Dürig, Grundgesetz-Kommentar, Art. 13 GG, Rn. 1, 10, 14. BVerfGE 109, 279, Abs. 108.
166
I.
Die Überwachung lokaler Funknetzwerke („WLAN-Catching“)
chung, allerdings nur soweit die Vorgänge ansonsten der natürlichen Wahrnehmung entzogen wären.749 Mit der Entscheidung zum NWVerfSchG scheint der 1. Senat des Bundesverfassungsgerichts den Schutzbereich von Art. 13 I GG aus informationstechnologischer Perspektive nochmals erweitert zu haben, so dass nun auch „die Messung elektromagnetischer Abstrahlungen, mit der die Nutzung eines informationstechnischen Systems in der Wohnung überwacht werden kann“,750 erfasst ist. Präzise Anforderungen an rechtfertigende Eingriffe formulieren Art. 13 II, III, IV, V und VII GG. Während Art. 13 II GG nur das körperliche Eindringen betrifft, gestattet Art. 13 III GG die Überwachung der Wohnung mit akustischen Mitteln zum Zweck der Strafverfolgung.751 Mit § 100c existiert eine korrespondierende Ermächtigungsgrundlage in der Strafprozessordnung. Die Überwachung mittels anderer technischer Mittel, insbesondere die optische Überwachung, ist allerdings nur zu präventiven, nicht jedoch zu repressiven Zwecken zulässig, vgl. Art. 13 IV GG.752 b) Maßgebliche strafprozessuale Normen Da der Gesetzgeber gerade keine entsprechende ausdrückliche Norm in die StPO eingefügt hat, muss auch geklärt werden, ob sich die technischen Vorgänge als eine der existierenden Zwangsmaßnahmen einordnen ließen, um so einen etwaigen Grundrechtseingriff zu rechtfertigen. Oder anders formuliert: Unter welchen sachlichen Anwendungsbereich welcher strafprozessualen Norm können die einzelnen technischen Vorgänge überhaupt gefasst werden? Bei der Beantwortung dieser Frage muss jedoch gerade im Bereich des Strafprozessrechts, also einem Bereich der schärfsten staatlichen Eingriffe, das Gebot der Normenklarheit und Normbestimmtheit, das Analogieverbot, der Gesetzesvorbehalt und die Wesentlichkeitstheorie immer im Auge behalten werden.753 Das Strafverfahrensrecht reflektiert zudem als angewandtes Verfassungsrecht754 die bereits im Grundgesetz angelegte Interessenabwägung zwischen dem Freiheitsinteresse des Einzelnen und dem (staatlich zu garantierenden) Sicherheitsinteresse der Allgemeinheit. Gleichzeitig bestimmt hier die demokratisch legitimierte Legislative durch die konkrete Ausgestaltung der Strafprozessordnung die Grenze und Reichweite judikativen Handelns. Möchte man nun den Anwendungsbereich strafprozessualer BVerfGE 109, 279, Abs. 171. BVerfG NJW 2008, 822, Abs. 192. Fink in: BeckOK, Grundgesetz, Art. 13, Rn. 12, 15. Papier in: Maunz/Dürig, Grundgesetz-Kommentar, Art. 13 GG, Rn. 83. Auch wenn im Strafprozessrecht die strafrechtlichen Rechtsgrundsätze des Art. 103 II GG nur eingeschränkt gelten, vgl. etwa Kudlich in: MüKo, StPO, Einleitung, Rn. 602 ff. 754 BVerfGE 32, 373, Rn. 29.
749 750 751 752 753
II. Überwachung lokaler Funknetzwerke aus rechtlicher Perspektive
167
Zwangsmaßnahmen (i. e. Grundrechtseingriffe) bestimmen, muss dabei immer auch der verfassungsrechtliche Grundrahmen mit Beachtung finden.755 Ausgangspunkt der Überlegung sollte der achte Abschnitt des ersten Buches der StPO sein, denn in ihm sind die wichtigsten Eingriffsrechte der Strafverfolgungsbehörden zusammengefasst, die der Sicherung von Beweisen und Sicherstellung von Beweismitteln dienen.756 Betrachtet werden nachfolgend die §§ 94 ff. StPO, die festlegen, unter welchen Voraussetzungen die Sicherstellung und Beschlagnahme von Gegenständen zu Beweiszwecken durchgeführt werden darf, und die §§ 99, 100 StPO, welche die Postbeschlagnahme regeln. Eine zentrale Rolle werden die Befugnis zur (klassischen) Telekommunikationsüberwachung (§ 100a I S. 1 StPO) sowie die mit Wirkung vom 24.08.2017 durch das Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens neu eingefügten Bestimmungen zur sog. Quellen-Telekommunikationsüberwachung (§ 100a I S. 2 und 3 StPO) und Online-Durchsuchung (§ 100b I StPO) spielen. Eventuell ebenfalls von Relevanz könnten die §§ 100c, 100d StPO sein, die die akustische Wohnraumüberwachung abdecken; ferner § 102 StPO für die Durchsuchung bei Beschuldigten und § 110 III StPO für die Durchsicht elektronischer Speichermedien. Auch § 100g StPO (Erhebung von Verkehrsdaten), § 100i StPO (Technische Ermittlungsmaßnahmen bei Mobilfunkendgeräten) sowie die §§ 110a ff. StPO (Verdeckter Ermittler) werden beleuchtet. Ebenso wird auch die Ermittlungsgeneralklausel in §§ 161, 163 StPO tangiert. 2.
Eine (erste) rechtliche Einordnung a)
Allgemeines
Bereits bei der Betrachtung der potentiell einschlägigen StPO-Normen wird ein Grundproblem des gesamten Themenkomplexes sichtbar. Der gesamte betreffende Normenbereich wurde zu einer Zeit geschaffen, als an die modernen Digitaltechnologien und ihre Möglichkeiten noch nicht zu denken war. Trotz verschiedener Modernisierungen und Anpassungen, wie zum Beispiel dem Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG vom 21.12.2007,757 wurde der große Wurf vom Gesetzgeber nie in Angriff genommen. Die Geschwindigkeit der Entwicklung in der Informationstechnologie, die fortwährend neue Innovationen hervorbringt, erschwert es dem Gesetzgeber gewiss, angesichts des langsamen Gesetzgebungsprozesses adäquat darauf zu reagieren. Der Hauptgrund mag vor allem aber auch in der öffentlichen Stimmungslage in 755 Dazu ausführlich Böckenförde, Die Ermittlungen im Netz, S. 111 ff. Siehe auch Bode, Verdeckte strafprozessuale Ermittlungsmaßnahmen, S. 48 ff. 756 Greven in: Hanich (Hrsg.), KK-StPO, Vorbem. 8. Abschnitt, Rn. 1; BGH NJW 1983, 1570. 757 BGBl I 2007, 3198; Inkrafttreten am 1.1.2008.
168
I.
Die Überwachung lokaler Funknetzwerke („WLAN-Catching“)
Deutschland zu finden sein, die in weiten Teilen den Überwachungsbefugnissen kritisch gegenübersteht. Ein solches Abwarten hat aber keineswegs zur Folge, eine Ausweitung generell zu unterbinden und die Befugnisse auf dem analogen Status quo einzufrieren. Vielmehr entsteht aufgrund faktischer Zwänge und dem daraus folgenden Druck der Ermittlungsbehörden der Drang, die vorhandenen StPO-Normen aufzuweichen und weit auszulegen (Stichwort: fortschrittsgewandte Auslegung)758, um so auch neuartige Ermittlungsmethoden durchführen zu können.759 Während explizite Regelungen für Klarheit sorgen könnten, was erlaubt ist und wo strenge Grenzen gezogen sind, führt das Abwarten zu einer impliziten, von der Öffentlichkeit kaum wahrgenommen Ausweitung – wie auch das Beispiel des WLAN-Catching anschaulich illustrieren könnte. Die entstehenden Interpretationsräume haben ferner den gravierenden Nachteil, dass die Rechtslage unklar und komplex ist, die bestehenden Gesetze unterschiedlich ausgelegt und zudem uneinheitlich angewendet werden. Gerade im sensiblen Bereich der Grundrechtseingriffe sollte das ein unerwünschter Zustand sein.760 Das Feststellen, was erlaubt ist und was nicht, ist insbesondere angesichts der großen Unterschiede zwischen analoger und digitaler Technologie sehr kompliziert, wie im Folgenden noch zu sehen sein wird. Zwar wurde zumindest versucht, einzelne Eingriffsbefugnisse im telekommunikationsrelevanten Bereich an den technologischen Fortschritt anzupassen. So wird zum Beispiel die Ersetzung des Begriffs Fernmeldeverkehr durch den Begriff Telekommunikation mit Wirkung zum 24.12.1997761 allgemein als Schritt gesehen, den Begriff „entwicklungsoffen“ zu gestalten, um auch neuartige Übertragungstechniken zu erfassen.762 Und mit dem Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens sind nun erstmals – wenn auch auf eine einer Demokratie unwürdigen, die öffentliche Diskussion vollständig vermeidenden Art und Weise – ausdrücklich auf die modernen Telekommunikationsformen abzielende Ermittlungsmaßnahmen neu in die Strafprozessordnung gelangt. Aber auch hierbei handelt es sich nur um Stückwerk. Es bleiben auch weiterhin viele Fragen ungeklärt.763 758 Zum Beispiel Valerius, JR, 2007, 275 ff. (S. 278). 759 Gercke veranschaulicht diesen Prozess, etwa indem er davon spricht, dass § 100a StPO zu einer „Superermächtigungsgrundlage“ mutiert sei, vgl. Gercke, StraFo, 2014, S. 94 ff. (S. 95). 760 Ein Hinweis auf das Bestimmtheitsgebot, den Vorbehalt des Gesetzes und die Wesentlichkeitstheorie ist angebracht, vgl. etwa Rudolphi in: Rudolphi/Frisch/Paeffgen/Rogall/Schlüchter/Wolter (Hrsg.), SK-StPO, 64. EL, 2009, Vorbem. § 94, Rn. 14, 17. 761 Durch das Begleitgesetz zum Telekommunikationsgesetz, vgl. BGBl I 1997, 3108. 762 Beispielhaft: Graf in: BeckOK, StPO, § 100a, Rn. 3. Mit weiteren Nachweisen: Hauck in: Löwe-Rosenberg, StPO, § 100a, Rn. 29. Zu den Grenzen dieser Betrachtungsweise ausführlich in Abschnitt (1) auf Seite 227. 763 Dazu ausführlich: Graf in: BeckOK, StPO, § 100a, Rn. 16 f.
II. Überwachung lokaler Funknetzwerke aus rechtlicher Perspektive
169
Ein zweites zentrales Grundproblem für die Analyse der hier einschlägigen Überwachungsmaßnahme ergibt sich direkt aus dem ersten Grundproblem. Weil die maßgebenden StPO-Normen selbst so interpretationsbedürftig (geworden) sind, ergibt sich in diesem Bereich ein großer Teil der geltenden bzw. praktizierten Rechtslage aus der Auslegung der Normen durch die zuständigen Gerichte (oder gar der Behörden selbst). In den relevanten Urteilen und auch in der korrespondierenden rechtswissenschaftlichen Literatur stehen jedoch zumeist ganz konkrete, isolierte Überwachungsmaßnahmen, wie zum Beispiel immer wieder die Quellen-Telekommunikationsüberwachung oder die E-Mail-Überwachung, im Fokus der Überlegungen. Die dabei entwickelten Lösungsansätze vernachlässigen jedoch oft das (zugegebenermaßen komplexe) Gesamtbild und andere in diesem Zusammenhang relevante Fragestellungen. Die Rechtmäßigkeit des Abhörens lokaler Funknetzwerke selbst wurde bisher, soweit erkennbar, nicht judiziert und war auch nur Gegenstand einer einzigen ausführlicheren rechtswissenschaftlichen Untersuchung.764 Weil die Ermittlungsbehörden es zudem geschafft haben, das WLAN-Catching „unter dem Radar“ fliegen zu lassen, war diese konkrete Maßnahme auch bei den Lösungsansätzen zu anderen, die digitale Kommunikation betreffenden Fragestellungen nicht präsent. Das hat zur Folge, dass sich in den dort entwickelten Lösungsansätzen kaum Antworten, sondern nur vage Hinweise und sich oft sogar widersprechende Anhaltspunkte für die Frage nach der Rechtmäßigkeit des WLAN-Catchings finden lassen. Das erschwert die Einordnung der Maßnahme(n) in den Handlungsrahmen der Strafprozessordnung zusätzlich. Weil das WLAN-Catching zudem noch mit weitreichenden Eingriffen in die Privatsphäre verbunden ist und für die Betroffenen einen erheblichen Grundrechtseingriff darstellt, ist es umso wichtiger zu klären, ob sich die Primärmaßnahmen des WLAN-Catching selbst sowie die Sekundärmaßnahmen, die das WLANCatching erst ermöglichen, überhaupt auf eine oder mehrere StPO-Norm(en) stützen und damit rechtmäßig durchführen lassen. Und falls das der Fall sein sollte, welche konkreten Voraussetzungen eine Überwachungsanordnung dann erfüllen müsste. b)
Die Primärmaßnahme: Mitschneiden und Speichern des Datenverkehrs eines lokalen Funknetzwerks (Abhören des WLAN) inkl. Überwachung des Surfverhaltens
Die Primärmaßnahme beim Abhören lokaler Funknetzwerke beinhaltet das passive, heimliche Mitschneiden („Sniffen“) von außen und das Speichern des Datenverkehrs des betroffenen Netzwerks. Dabei werden unter anderem die ausgelesenen Daten auf ein Speichermedium der Strafverfolgungsbehörden kopiert und möglicherweise gefiltert. 764 Dazu sogleich in Abschnitt III. auf Seite 175.
170
I.
Die Überwachung lokaler Funknetzwerke („WLAN-Catching“)
Probleme bereitet hier bereits die Feststellung des betroffenen Grundrechts. So kämen sowohl das Fernmeldegeheimnis, wegen des Bezugs zur Telekommunikation, als auch das neue Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, aber vor allem auch das Recht auf Unverletzlichkeit der Wohnung gem. Art. 13 I GG und schließlich, wegen der Verbindung zu Datenverarbeitungsprozessen, das Recht auf informationelle Selbstbestimmung in Frage. Auf strafprozessualer Ebene könnte die Primärmaßnahme, seitdem das Bundesverfassungsgericht die Ansicht gebilligt hat, dass unkörperliche Gegenstände beschlagnahmefähig sind,765 etwa unter die §§ 94 ff. StPO (Sicherstellung und Beschlagnahme von Gegenständen zu Beweiszwecken) fallen, die nach dem BVerfG nunmehr auch Eingriffe in Art. 10 I GG zu rechtfertigen vermögen.766 Denn in dem Kopiervorgang könnte eine Beschlagnahme der Netzwerk-Daten gesehen werden. Weil es den Strafverfolgungsbehörden nicht zwangsläufig auf die gesamten Daten des Netzwerks ankommen dürfte, sondern sie sich vornehmlich auf kommunikationsrelevante Daten konzentrieren könnten – und zudem der Zugriff auf die Daten beim WLAN-Catching auch noch in räumlicher Nähe zum Aufenthaltsort des Betroffen erfolgt und auch EDV-Anlagen durchsucht werden können, wäre auch § 102 StPO (Durchsuchung bei Verdächtigen) denkbar. In diesem Zusammenhang käme dann ebenfalls § 110 III StPO in Betracht, der gerade die Durchsicht eines räumlich getrennten Speichermediums erlaubt. Sieht man jedoch Parallelen bei dem Vorgang des Versendens von Kommunikationsinhalten (z.B. E-Mails) über das Internet-Netzwerk mit dem klassischen Versenden von Briefen, wären auch die §§ 99, 100 StPO vorstellbar, die überdies als generell verdeckte Maßnahme ausgestaltet sind. Dafür müssen sich die Daten im lokalen Netzwerk allerdings bereits im Gewahrsam des Dienstleisters befinden. Angesichts der in der Praxis wohl häufigen Nähe dieser Ermittlungsmaßnahme zur Wohnung des Maßnahmeadressaten sollte auch § 100c StPO (Wohnraumüberwachung) nicht gänzlich außer Betracht gelassen werden. Vom reinen Wortlaut her scheint das WLAN-Catching noch am ehesten zu der Telekommunikationsüberwachung gem. § 100a I S. 1 StPO zu passen. Allerdings sei hier erneut darauf hingewiesen, dass es beim Abhören lokaler Funknetzwerke vorab, also ohne inhaltliche Auswertung, nicht möglich ist, den Datenverkehr zu filtern. Überwacht wird bei dieser Maßnahme daher immer das gesamte Surfverhalten des Betroffenen. Der Anwendungsbereich von § 100a I S. 1 StPO wird aber, historisch bedingt durch die technischen Gegebenheiten bei seinem Erlass, traditionell eher bei der klassischen, interpersonalen Kommunikation verortet. Auch die Normen zur Quellen-Telekommunikationsüberwachung könnten Anwendung finden. Noch einmal gänzlich anders zu beurteilen wäre die Sachlage freilich, wenn in dem Vorgang des Mitschneidens bereits ein Eingriff in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informa765 BVerfGE 113, 29, Rn. 100. 766 BVerfGE 124, 43, Rn. 55 ff.
II. Überwachung lokaler Funknetzwerke aus rechtlicher Perspektive
171
tionstechnischer Systeme zu sehen wäre. Spätestens in diesem Falle müsste ein Rückgriff auf § 100b StPO geprüft werden. c)
Sekundärmaßnahmen
Besondere Bedeutung kommt den mannigfaltigen Sekundärmaßnahmen zu. Denn in den allermeisten praktischen Fällen ist die Durchführung zumindest einer, oft mehrerer der Sekundärmaßnahmen zwingend erforderlich, um die passive Primärmaßnahme (das Überwachen des lokalen Funknetzwerks) überhaupt sinnvoll, also mit inhaltlicher Wahrnehmung, durchführen zu können.767 Ließe sich die Primärmaßnahme dem sachlichen Anwendungsbereich einer der genannten Eingriffsermächtigungen in der StPO zuordnen, müsste dennoch in einem zweiten Schritt zusätzlich geklärt werden, ob sich die (vielfältigen) Sekundärmaßnahmen ebenfalls rechtmäßig durchführen lassen. Naheliegend ist zunächst der Gedanke, generell sämtliche Sekundärmaßnahmen als notwendige Begleitmaßnahme zu betrachten und auf dem Wege einer „Annexkompetenz“ zusammen mit der Primärmaßnahme zu gestatten.768 Parallelen könnten etwa gesehen werden in dem Anbringen von Abhörvorrichtungen in Wohnungen bei der akustischen Wohnraumüberwachung gem. § 100c StPO oder in dem heimlichen Einbau eines GPS-Senders in einem Fahrzeug im Rahmen von § 100h StPO. Beide Vorgehensweisen werden trotz des Fehlens einer ausdrücklichen Ermächtigung als „damit notwendigerweise verbundene Maßnahme“769 bzw. als „Annexkompetenz“770 für rechtmäßig erachtet, solange die Verhältnismäßigkeit gewahrt bleibt. Als weiteres Beispiel für solch eine Sichtweise in direktem Zusammenhang mit Software können Urteile des LG Landshut und des LG Hamburg herangezogen werden. Beide Landgerichte erachten die Quellen-TKÜ unter den Voraussetzungen von § 100a I StPO a.F. für zulässig und gehen dann davon aus, dass das Installieren von Spionagesoftware auf dem Endgerät des Betroffenen als „Annexkompetenz“ gleichsam von § 100a I StPO a.F. gestattet ist.771 Es soll an dieser Stelle rekapituliert werden, dass der konkrete Zweck der vielen verschiedenen Sekundärmaßnahmen ist, das betroffene Funknetzwerk zu identifizieren, sich Zugang zu ihm zu verschaffen und dabei eventuell vom Betreiber aufgestellte Sicherheitshürden zu umgehen, insbesondere die (verschiedenen) 767 Vgl. Abschnitt 3. auf Seite 160. 768 Wohlers in: Wolter (Hrsg.), SK-StPO, Band II, 2016, § 94, Rn. 2. 769 Gesetzesentwurf zur Verbesserung der Bekämpfung der Organisierten Kriminalität, BT-Drucks. 13/8651, S. 13, http://dipbt.bundestag.de/doc/btd/13/086/1308651.pdf (Stand: Dezember 2017). 770 Noch zu § 100c StPO a.F.: BGHSt 46, 266, 273, Rn. 18. Heute § 100h StPO. Der PKW darf sogar für die Durchführung der Maßnahme kurzzeitig in die Werkstatt gebracht werden, vgl. Günther in: MüKo, StPO, § 100h, Rn. 24. 771 LG Landshut MMR 2011, 690, 691 f.; a.A.: Wohlers in: Wolter (Hrsg.), SK-StPO, Band II, 2016, § 94, Rn. 2.
172
I.
Die Überwachung lokaler Funknetzwerke („WLAN-Catching“)
eingesetzten Verschlüsselungen zu knacken. Da diese sehr unterschiedlichen Aufgaben allerdings nur durch in Art, Eingriffstiefe und Betroffenheit von Rechtsgütern sehr ungleiche Methoden erreicht werden können, erscheint auf den zweiten Blick eine differenziertere und eingehendere Untersuchung zwingend geboten.772 Entsprechend wurden die mannigfaltigen Sekundärmaßnahmen in drei Kategorien eingeordnet, die nachfolgend auch separat untersucht werden sollen. aa)
Sekundärmaßnahmen I: Maßnahmen ohne Überwindung von Sicherheitsvorkehrungen
Die einfachen, vorbereitenden Sekundärmaßnahmen wie die Auswahl des ZielWLAN, die Feststellung der MAC-Adresse des Access Points oder die etwaige Erfassung aller assoziierten Endgeräte von außen mittels passiver Scanner erscheinen auf den ersten Blick unkompliziert, weil sie jedermann offen stehen und keine speziell aufgestellten Hürden überwunden werden müssen. Die passiven Scanner werten gerade nur Daten773 aus, die ohnehin standardgemäß (unverschlüsselt) ausgesendet werden und daher von jedermann wahrgenommen werden können. Hier könnte es daher bereits an einem konkreten Grundrechtseingriff fehlen. Diese Umstände erinnern an die Ausgangslage bei der sogenannten „Online-Streife im Internet“, bei der öffentlich zugängliche Informationen erhoben werden dürfen. In der Wahrnehmung dieser Informationen wird kein Grundrechtseingriff gesehen, wenn sich die Informationen an einen nicht weiter abgegrenzten Personenkreis richten.774 Das BVerfG grenzt danach ab, ob ein Überprüfungsmechanismus vorliegt, der dann ein schutzwürdiges Vertrauen des Betroffenen in die Identität des Kommunikationsteilnehmers erzeugen würde.775 Abweichend beurteilt das Gericht die Situation aber dann, wenn bei der „Online-Streife im Internet“ gezielt öffentlich zugängliche Informationen über eine Person zusammengetragen werden, denn darin läge ein Eingriff in das allgemeine Persönlichkeitsrecht aus Art. 2 I i.V.m. Art. 1 I GG in seiner Ausprägung als Recht auf informationelle Selbstbestimmung.776 Ob ein solches gezieltes Zusammentragen bereits bei dieser Vorbereitungshandlung vorliegt, bleibt zu klären. Ein solcher, wenig intensiver Eingriff in das Recht auf informationelle Selbstbestimmung könnte sich aber über die Ermittlungsgeneralklausel in §§ 161, 163 StPO rechtfertigen lassen.777 Gerade wegen der Nähe der betroffenen Daten zu konkreten Telekommunikationsvorgängen bedarf es aber zusätzlich einer Prüfung, ob nicht auch hierbei schon 772 Siehe dazu auch Abschnitt 1. auf Seite 152 und Abschnitt 3. auf Seite 160. 773 Beacon- oder Probe-Response-Frames, vgl. Abschnitt aa) auf Seite 74. 774 Für einen Grundrechtseingriff aufgrund von Abschreckungseffekten auf der Grundlage sozialwissenschaftlicher Erkenntnisse: Oermann/Staben, Der Staat, 2013, S. 630. 775 BVerfGE 120, 274, Abs. 308. 776 BVerfGE 120, 274, Abs. 309. 777 Sackreuther in: BeckOK, StPO, § 161, Rn. 11; BVerfG NJW 2009, 1405, 1407, Rn. 27.
II. Überwachung lokaler Funknetzwerke aus rechtlicher Perspektive
173
das Telekommunikationsgeheimnis gem. Art. 10 GG betroffen sein könnte. Im besonderen Fall der Feststellung der MAC-Adressen der assoziierten Endgeräte sollte auch § 100i StPO gewürdigt werden.778 Kommt ein aktiver Scanner zum Einsatz oder für den Fall, dass der Betroffene ein offenes Funknetzwerk betreibt und sich in das offene Funknetzwerk „eingeloggt“ (sich-assoziiert) hat,779 könnte die Situation anders bewertet werden müssen. Zwar ist die sogenannte Open System Authentication780 allen in Reichweite des Access Points möglich, ohne dass dem ein spezieller Überprüfungsmechanismus entgegenstehen würde, allerdings werden dabei, wie beim aktiven Scanner auch, elektromagnetische Wellen vom WLAN-Adapter der Strafverfolgungsbehörden an den Access Point gesendet. Dieser könnte sich in einem speziell geschützten Bereich des Betroffenen befinden, so dass dieser Umstand hier eine erneute, sorgfältige Absteckung des Schutzbereichs von Art. 13 I GG notwendig macht. bb)
Sekundärmaßnahmen II: Maßnahmen zur Überwindung von Sicherheitsvorkehrungen (insb. Verschlüsselung)
Betreibt der Betroffene das Funknetzwerk jedoch verschlüsselt, muss diese Verschlüsselung zunächst „geknackt“ werden, meist unter Ausnutzung von Sicherheitslücken und (unkörperlichen) Eingriffen in die IT-Infrastruktur.781 Ähnlich gelagert ist die Situation in den Fällen, in denen spezielle Anwendungen den Datenverkehr zusätzlich auf einer Ebene oberhalb der Netzzugangsschicht verschlüsseln, etwa die in dieser Arbeit analysierte HTTPs-Verschlüsselung der Kommunikation zwischen Webserver und Browser. Eine entsprechende ausdrückliche Befugnis ist wiederum nicht Bestandteil der StPO. § 100a I S. 1 StPO zum Beispiel erlaubt explizit nur das Überwachen und Aufzeichnen von Telekommunikation. Ein Grundrechtseingriff ist aber bei dieser Sachlage durchaus offensichtlich, weil dadurch gerade speziell errichtete Hindernisse überwunden werden, so dass eine ausdrückliche Rechtsgrundlage erforderlich wird. Der Grundrechtseingriff dürfte zudem auch deutlich schwerer wiegen als die Sekundärmaßnahmen der Kategorie I, so dass die Ermittlungsgeneralklausel ein derartiges Prozedere kaum rechtfertigen können wird. Das Brechen von Verschlüsselung weist Parallelen zur Überwindung speziell errichteter (körperlicher) Hindernisse bei der Durchsuchung gemäß § 102 StPO auf. Hierbei ist es den Strafverfolgungsbehörden gestattet, unerlässliche 778 So Singelnstein, NStZ, 2012, S. 593 ff. (S. 599). 779 Zur Erinnerung: Das Sich-Assoziieren mit dem Ziel-WLAN kann als erster Schritt notwendig sein, wenn z.B. Maßnahmen zum Aufbrechen von Verschlüsselung oberhalb der Netzzugangsschicht (Sekundärmaßnahmen der Kategorie II und III) umgesetzt werden sollen. Für das bloße Abhören eines offenen WLAN ist es hingegen nicht notwendig. 780 Siehe Abschnitt a) auf Seite 79. 781 Dieser Vorgang dürfte unter den Terminus „staatliches Hacking“ fallen.
174
I.
Die Überwachung lokaler Funknetzwerke („WLAN-Catching“)
und zugleich verhältnismäßige, rechtsgutsverletzende Begleitmaßnahmen, wie etwa Gewalt gegen Sachen, beispielsweise durch gewaltsames Öffnen von Türen oder verschlossenen Behältnissen, als Annexkompetenz zur Durchsuchung durchzuführen.782 Ganz ähnlich könnte das Überwinden unkörperlicher Barrieren als Annexkompetenz zur Primärmaßnahme gestattet sein. Allerdings könnte sich diese Kategorie von Sekundärmaßnahmen als eingriffsintensiver als die eigentliche Primärmaßnahme erweisen. Denn im Gegensatz zum bloßen (passiven) Mitschneiden des Datenverkehrs von außen wird hierbei unter Umständen auch der Datenverkehr des betroffenen Funknetzwerks aktiv manipuliert, etwa indem Datenpakete in das Netzwerk re-injiziert,783 Disassociation-Frames gefälscht und an einen Host gesendet784 oder Redirect-Nachrichten geändert werden.785 Das aktive Eingreifen in den Netzwerkverkehr rückt das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme wieder stärker in den Fokus. Voraussetzung dafür ist allerdings, dass die reine Netzwerkinfrastruktur, also ein System ohne hinreichende Speicher- und Verarbeitungskapazität, überhaupt als informationstechnisches System verstanden werden kann. In jedem Falle ist eine erneute sorgfältige Abgrenzung zum Telekommunikationsgeheimnis in Art. 10 GG erforderlich. Nur darauf aufbauend kann überhaupt die in Frage kommende strafprozessuale Rechtfertigungsnorm ermittelt werden. In bestimmten Fällen, zum Beispiel wenn die HTTPs-Verbindung durch einen zusätzlichen Sicherheitsmechanismus besonders abgesichert ist (etwa durch HTTP Strict Transport Security)786, kann es erforderlich sein, Maßnahmen zu ergreifen, die auch Auswirkungen auf das Endgerät des Betroffenen haben (ohne das Endgerät aber, wie ein Trojaner, zu infiltrieren). Als Beispiel mag das heimliche, kurzzeitige Ändern der Systemzeiteinstellungen des betreffenden Endgeräts über das Network Time Protocol dienen. In diesem Fall könnte Art. 10 I GG an Bedeutung verlieren und das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme an Bedeutung gewinnen. Denn eine allfällige Abgrenzung zum Telekommunikationsgeheimnis dürfte sich bei dieser Methode anders gestalten, als wenn das Endgerät des Maßnahmeadressaten nicht auf diese Weise betroffen ist. Läge solch ein Eingriff in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme tatsächlich vor, könnte derzeit ein entsprechendes Vorgehen allein über § 100b I StPO gerechtfertigt werden. 782 Hauschild in: MüKo, StPO, § 105, Rn. 31. 783 Zum Beispiel bei der Replay-Attack zum Brechen von WEP durch das wiederholte Senden abgefangener ARP-Requests an den Access Point oder einen Host, vgl. Abschnitt (4) auf Seite 86. 784 Im Rahmen einer Deauthentication Attack bei einem Angriff auf WPA/WPA2, siehe Abschnitt (e) auf Seite 94. 785 Beim SSL-Strippping, siehe Abschnitt bb) auf Seite 125. 786 Zur Funktionsweise von HSTS und mögliche Gegenmaßnahmen siehe Abschnitt ee) auf Seite 131.
III. Überwachung lokaler Funknetzwerke in Lit. und Rspr.
cc)
175
Sekundärmaßnahmen III: „Informationstechnologische Täuschungen“ im Rahmen der Überwachung lokaler Funknetzwerke
Das Besondere an der dritten Kategorie von Sekundärmaßnahmen ist, dass es sich um eine auf Täuschung angelegte Ermittlungsmethode handelt, die eine Mitwirkungshandlung des Betroffenen provoziert. Konkret wird der Betroffene bei der Evil-Twin-Attack787 über den Zugangsknoten (Access Point), mit dem sein Endgerät mit dem Internet-Netzwerk verbunden ist, in die Irre geleitet.788 Hierbei wird der Betroffene unter Vorspielung falscher Tatsachen dazu bewegt, sich mit dem Access Point unter Kontrolle der Strafverfolgungsbehörden (dem „Evil Twin“789) zu verbinden, der vorgibt, der eigene Access Point zu sein. Parallelen können auch im Unterschieben von Überwachungssoftware in sogenannten Phishing-EMails (Social Engineering) gesehen werden. Dieses Schema erinnert stark an das Vorgehen Verdeckter Ermittler, die „die unter einer ihnen verliehenen, auf Dauer angelegten, veränderten Identität (Legende) ermitteln“, vgl. § 110a II S. 1 StPO.790 Dafür müsste freilich das Aufstellen und Betreiben eines Evil-Twin-Access-Points als verdeckte Ermittlung betrachtet werden können. Nach verbreiteter Auffassung ist die Vorschrift grundsätzlich bei Ermittlungen im Internet anwendbar.791 Vor allem bei Ermittlungen in sozialen Netzwerken soll der Einsatz eines „virtuellen Verdeckten Ermittlers“ unter den Voraussetzungen des § 110a ff. StPO zulässig sein.792 Eine Abgrenzung zu dem nicht offen ermittelnden Polizeibeamten (noeP), dessen Einsatz bereits unter den Voraussetzungen der Ermittlungsgeneralklausel gem. §§ 161, 163 StPO zulässig sein soll, wäre dann geboten. Allerdings könnten auch hier etwaige verfassungsrechtliche Vorgaben die Auswahl potentiell zur Verfügung stehender strafprozessualer Eingriffsbefugnisse stark einschränken. III.
Überwachung lokaler Funknetzwerke in Literatur und Rechtsprechung
Bevor mit der Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen begonnen wird, soll zunächst ein Überblick darüber gegeben werden, wie die Überwachung lokaler Funknetzwerke bisher in der rechtswissenschaftlichen Literatur perzipiert wurde und welche Auffassungen zur rechtlichen Einordnung darin vertreten werden. 787 Vgl. Abschnitt d) auf Seite 103 ff. 788 Anders formuliert wird er zu einer falschen Annahme darüber verleitet, welche genaue Route die Datenpakete zum Internet-Netzwerk nehmen. 789 Engl.: Böser Zwilling. 790 Die gleiche Parallele zieht Böckenförde in einem ähnlichen Kontext, nämlich der Beschaffung von Zugangsdaten durch Täuschung, vgl. Böckenförde, Die Ermittlungen im Netz, S. 212. 791 Beispielhaft: Schmitt in: Meyer-Goßner/Schmitt, StPO, § 110a, Rn. 4. 792 Vgl. etwa Graf in: BeckOK, StPO, § 100a, Rn. 87; Singelnstein, NStZ, 2012, S. 593 ff. (S. 600).
176
I.
Die Überwachung lokaler Funknetzwerke („WLAN-Catching“)
1. Jordan Der erste (und einzige), der sich nach Kenntnis des Autors in einem Aufsatz explizit mit dem Thema auseinandergesetzt hat, ist Jordan, damals im Fachbereich Recht und Polizeipraxis des Bundeskriminalamtes tätig. Der Beitrag ist bereits älteren Datums. Er erschien 2005 unter dem Titel „W-LAN Scannen – rechtliche Einsatzmöglichkeiten bei der Strafverfolgung“ in der Kriminalistik,793 einer Zeitschrift vornehmlich für die Praxis. Jordan diagnostizierte bereits damals korrekt eine immer weitere Ausbreitung von lokalen Funknetzwerken und erblickte in dieser Entwicklung neue Erkenntnismöglichkeiten für die Behörden durch neuartige Ermittlungsmaßnahmen, weil jene „Netzwerke in den öffentlichen Raum hinein senden“. Entsprechend stellt er die Frage nach deren rechtlicher Zulässigkeit.794 Auf technischer Ebene unterscheidet Jordan dabei drei, sowohl technisch als auch rechtlich nicht ganz einleuchtende „Sachverhaltsvarianten“, die ausschließlich im Hinblick auf die Eingriffsintensität divergieren sollen. In der ersten Variante wollten die Ermittlungsbehörden nur die Existenz eines WLAN und die Anzahl und den Aufenthaltsort der in das Netzwerk integrierten Geräte feststellen.795 Dieser Sachverhalt, der eigentlich völlig unterschiedliche Vorgänge vereint, wird von Jordan als „W-LAN Scannen“ bezeichnet. In der zweiten Sachverhaltsvariante soll die „eindeutige Kennung“ des „W-LAN Gerätes“ zur Vorbereitung eines Beschlusses nach § 100a StPO a.F. erlangt werden. Diese Maßnahme wird nicht gesondert benannt. Gemeint dürfte damit die MAC-Adresse796 des funkenden Access Points797 sein.798 Die dritte Variante umfasst die Kenntnisnahme der „über das WLAN übermittelten Daten“. Als Beispiel aufgeführt werden namentlich E-Mails, Chats und Downloads. Diese Maßnahme wird mit „W-LAN Abhören“ tituliert.799 Insoweit ist der Titel irreführend, da das WLAN-Scannen entsprechend seiner eigenen Differenzierung nur die erste Variante erfasst800 und die beiden anderen Sachverhaltsvarianten, insbesondere das Abhören des WLAN, unterschlägt. Insbesondere fehlt aber die in der Praxis unumgängliche Auseinandersetzung mit dem Thema Verschlüsselung gänzlich. 793 Jordan, Kriminalistik, 2005, S. 514 ff. 794 Jordan, Kriminalistik, 2005, S. 514 ff. (S. 514). 795 In der vorliegenden Arbeit als Sekundärmaßnahme der Kategorie I erfasst, dort aber weiter ausdifferenziert, vgl. oben Abschnitt I. auf Seite 152. 796 Siehe Abschnitt (e) auf Seite 50. 797 Siehe Abschnitt (a) auf Seite 47. 798 Vorliegend ebenfalls den Sekundärmaßnahmen I zugeordnet. 799 Jordan, Kriminalistik, 2005, S. 514 ff. (S. 514). Vorliegend am ehesten mit der Primärmaßnahme gleichzusetzen. 800 Vgl. Fußnote 21 auf Seite 35.
III. Überwachung lokaler Funknetzwerke in Lit. und Rspr.
177
Auf verfassungsrechtlicher Ebene kommt Jordan zunächst zu dem Schluss, dass bei allen drei Sachverhaltsvarianten ein Eingriff in das Grundrecht auf Unverletzlichkeit der Wohnung gem. Art. 13 I GG nicht vorliegt. Er begründet das damit, dass „nur etwas festgestellt wird, was außerhalb der Wohnung stattfindet“ (nämlich die über die Grenzen der Wohnung emittierenden Funkwellen), und der Schutzbereich von Art. 13 I GG jenseits des schützenden Wohnraumes endet.801 Im Bezug auf das Fernmeldegeheimnis unterscheidet er zwischen einer „aktiven Nutzung“ des WLAN und einem Zustand, den er als Stand-by-Betrieb bezeichnet, nämlich wenn „die Netzwerkclients allenfalls periodisch ihre Präsenz an den Server oder andere Clients melden“.802 Er kommt zu dem Schluss, dass bei einer „aktiven Nutzung“ des Funknetzwerks „unzweifelhaft“ die zirkulierenden Datenströme als „Kommunikation“ anzusehen seien, weil die „Daten menschlich veranlasst empfangen und gesendet werden“, und deshalb von Art. 10 GG geschützt seien. Im Stand-by-Betrieb erkennt er hingegen eine reine Maschine-zu-MaschineKommunikation, die nach seiner Ansicht, ausdrücklich entgegen der damaligen Ansicht des BGH,803 aber in Einklang mit dem späteren Urteil des BVerfG,804 nicht vom Fernmeldegeheimnis erfasst wird. Er zieht daraus die Schlussfolgerung, dass das Feststellen der MAC-Adresse des Access Points keinen Eingriff in das Fernmeldegeheimnis darstellt. Bezüglich des „W-LAN Scannens“ ist er der Ansicht, dass bereits dann Art. 10 GG betroffen ist, wenn festgestellt wird, „ob“ ein Endgerät aktiv das WLAN nutzt. Nach seiner Darstellung der technischen Gegebenheiten dürfte das beim WLAN-Scannen nicht zu vermeiden sein. Den Schutzbereich des Rechts auf informationelle Selbstbestimmung sieht er in keiner Variante eröffnet. Nach Jordan liegt damit aus verfassungsrechtlicher Sicht beim „W-LAN Scannen“ (1. Sachverhaltsvariante) und beim „W-LAN Abhören“ (3. Sachverhaltsvariante) ein Eingriff in Art. 10 GG – und zwar ausschließlich in Art. 10 GG – vor. Bei der Feststellung der MAC-Adresse des Access Points hingegen sieht er gar kein Grundrecht betroffen.805 Die beiden zentralen verfassungsrechtlichen Problemkreise adressiert er allerdings gar nicht. Das betrifft sowohl die Abgrenzung von Individual- und Massenkommunikation (und die Betroffenheit des gesamten Surfverhaltens des Nutzers) als auch die Frage, ob im Fall lokaler Funknetzwerke der Schutzbereich des Fernmeldegeheimnisses überhaupt bereits begonnen hat,806 weil sich die Daten (noch) im Herrschaftsbereich des Betroffenen und nicht im Hoheitsbereich eines Dritten (des Netzbetreibers) befinden könnten. Eine Abgrenzung zum Grundrecht auf 801 Jordan, Kriminalistik, 2005, S. 514 ff. (S. 515). 802 Er zieht dabei ausdrücklich eine Parallele zur Diskussion um die Funkzellenabfrage nicht telefonierender Handys, vgl. Jordan, Kriminalistik, 2005, S. 514 ff. (S. 515). 803 BGH, Beschluss vom 21.02.2001, 2 BGs 42/01. 804 BVerfG, Beschluss vom 22.08.2006, 2 BvR 1345/03, NJW 2007, 351. 805 Jordan, Kriminalistik, 2005, S. 514 ff. (S. 516). 806 Oder bereits beendet ist.
178
I.
Die Überwachung lokaler Funknetzwerke („WLAN-Catching“)
Vertraulichkeit und Integrität informationstechnischer Systeme fehlt logischerweise ebenfalls, da es vom Bundesverfassungsgericht erst 2008 im Urteil zum VerfSchutzGNW etabliert wurde.807 Auf strafprozessualer Ebene lehnt Jordan eine Rechtfertigung durch § 102 StPO (kurz) ab und stellt stattdessen, leider ohne weitere Erörterung, lediglich fest, dass sowohl das „W-LAN Abhören“ als auch das „W-LAN Scannen“ unproblematisch durch § 100a I a.F. StPO (nunmehr § 100a I S. 1 StPO) gestattet seien, weil § 100a I StPO a.F. auch Datenkommunikation erfasse, „jedenfalls solange Kommunikation zwischen zwei Personen existiert, die von einem Dritten abgehört wird“.808 Er scheint damit auf strafprozessualer Ebene von einem anderen, nämlich interpersonalen Begriff der „Kommunikation“ auszugehen als auf verfassungsrechtlicher Ebene. Dort genügt es nach Jordan, dass „Daten menschlich veranlasst empfangen und gesendet werden“, was wohl auch das Involviertsein von nur einer Person beinhalten dürfte. Sein strafprozessuales Verständnis widerspricht allerdings seiner eigenen Darstellung der Maßnahme, nach der beim Abhören auch Downloads erfasst sind. Downloads finden in den seltensten Fällen direkt zwischen zwei Personen statt. Vielmehr lädt dabei eine Person per Client etwas von einem Server herunter. Damit ließe sich aber nach seinem Verständnis das „W-LAN Abhören“, wenn dabei auch derartige Downloads erfasst würden, gerade nicht mehr auf § 100a I StPO a.F. stützen. Selbst dieses kurze Beispiel verdeutlicht bereits, dass bei der Maßnahme die Feststellung, ob Telekommunikation im Sinne von § 100a I StPO a.F. vorliegt, eben alles andere als unproblematisch ist. Auch die Fragestellung, ob Telekommunikation unter Umständen im lokalen Netzwerk bereits beendet sein könnte, lässt er außer Acht. Umso ausführlicher widmet er sich der Frage, ob die Strafverfolgungsbehörden im Rahmen von § 100a StPO a.F. selbständig tätig werden dürfen, was er bejaht.809 Die Möglichkeit, dass ein Eingriff in den Schutzbereich des Fernmeldegeheimnisses auch durch andere strafprozessuale Normen, wie z.B. die §§ 94 ff. StPO, gerechtfertigt sein könnte, sieht er, im Einklang mit der damals herrschenden Lehre,810 nicht und unterlässt wohl daher eine Prüfung. Im Bezug auf die ausschließliche Feststellung der „eindeutigen Kennung“ des „W-LAN Gerätes“ (2. Sachverhaltsvariante) diskutiert er sehr ausführlich eine analoge Anwendung von § 100i StPO, obwohl er zuvor ausdrücklich festgestellt hat, dass durch die Maßnahme kein Grundrecht tangiert ist, „so dass es auch keiner über die §§ 163, 161 StPO hinausgehender Eingriffsbefugnis bedarf.“ Nach Jordan wäre eine solche analoge Anwendung „möglich, aber nicht erforderlich“.811 BVerfGE 120, 274 ff. bzw. NJW 2008, 822 ff. Jordan, Kriminalistik, 2005, S. 514 ff. (S. 516). Jordan, Kriminalistik, 2005, S. 514 ff. (S. 517). Der entsprechende Nichtannahmebeschluss des BVerfG in BVerfGE, 124, 43 stammt aus dem Jahr 2009. 811 Jordan, Kriminalistik, 2005, S. 514 ff. (S. 517).
807 808 809 810
III. Überwachung lokaler Funknetzwerke in Lit. und Rspr.
179
2. Kleih Die zweite (und letzte) Arbeit, die sich dem Thema ausführlicher widmet, stammt von Kleih. In seiner 2009 fertiggestellten Dissertation „Die strafprozessuale Überwachung der Telekommunikation“ geht er gesondert auf die Möglichkeit der Überwachung lokaler drahtloser Netzwerke ein. Das ist ihm insofern hoch anzurechnen, weil er die potentielle Möglichkeit bereits erkannt hat, obwohl die Information über die tatsächliche behördliche Durchführung des „WLANCatchings“ erst 2012 bekannt wurde.812 Er widmet der Thematik zwei (relativ kurze) Kapitel.813 Aus technologischer Perspektive ist leider bereits der Untersuchungsgegenstand nicht ganz klar. Einerseits verweist er sowohl in Motivation als auch in der Argumentation immer wieder auf Corporate Networks (also firmenweite, wohl standortübergreifende Netzwerke).814 In den technischen Grundlagen beschreibt er dann allerdings nur den Aufbau von Wireless Local Area Networks (WLAN), wie sie lediglich in Home Office/Small Office Umgebungen zum Einsatz kommen.815 Firmennetze sind jedoch gänzlich anders (und besser) abgesichert, so dass eine Überwachungsmaßnahme dort vor nochmals anderen Problemen steht bzw. abweichend umgesetzt werden müsste. Allein beim WPA-Enterprise-Mechanismus etwa erhält jeder Host einen eigenen Schlüssel und es ist das Betreiben eines separaten Authentifizierungsservers erforderlich,816 von der Verwendung von Virtual Private Networks ganz zu schweigen. Kleih geht vielmehr von der Hypothese aus, dass sich die von ihm beschriebenen Funknetzwerke überwachen lassen, ohne jedoch auf eine konkrete Untersuchung zu verweisen oder eine eigene Analyse durchzuführen.817 Davon abweichend stellt er sogar fest, dass einer faktischen Überwachung „hoch wirksame Verschlüsselungsmethoden“ „erhebliche Hindernisse“ entgegensetzen.818 Bei dieser Feststellung bleibt es jedoch, es fehlen Ausführungen jeglicher Art, wie das Problem angegangen werden soll, auch für die rechtliche Analyse zieht er keine Konsequenzen aus diesem Umstand. Insbesondere geht Kleih davon aus, dass die Überwachungsmaßnahme rein „passiv“ und „ohne Beeinflussung der Verbindungsaufnahme von aktiven Komponenten des 812 Siehe Abschnitt II. auf Seite 31. 813 Und einige technische Ausführungen, vgl. Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 38 ff., S. 99 ff. und S. 217 ff. 814 Bspw. Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 26, 100, 217, 227. Der Begriff wird nicht definiert, sondern als gegeben vorausgesetzt. 815 Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 40. 816 Ausführlich, auch zu den Unterschieden zu WPA-Personal in Anhang B, Abschnitt cc) auf Seite 389 und Abschnitt (bb) auf Seite 49. 817 Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 48. 818 Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 49.
180
I.
Die Überwachung lokaler Funknetzwerke („WLAN-Catching“)
Netzwerks“ realisierbar ist und „auch nicht in fremde Netzstruktur eingebrochen“ werden muss.819 Damit dürfte die Maßnahme in den meisten Fällen in der Praxis aber fruchtlos sein, da sich derart die zum Einsatz kommende Verschlüsselung kaum überwinden lässt.820 Das nachträgliche Dechiffrieren (auf dem Wege einer reinen Kryptanalyse) dürfte in den allermeisten Fällen nicht realisierbar sein.821 Er orientiert sich wohl bzgl. seiner Grundannahmen und Einteilung an Jordan (Inhaltliche Überwachung, Ermittlung einer Kennung und Scannen)822 und geht damit wie dieser von einer vereinfachten Grundannahme aus, die allenfalls Teilfragen analysiert, weil eine fundierte Durchdringung der technologischen Problematik fehlt. Insgesamt legt Kleih im Kontext des „WLAN-Catchings“ einen besonderen Fokus auf verfassungsrechtliche Fragestellungen.823 Dabei zeigt er ein sehr technisches Verständnis des Fernmeldegeheimnisses.824 Insbesondere sieht er kein Problem bei der Abgrenzung von Massen- und Individualkommunikation, da eine Differenzierung nur bei inhaltlicher Wahrnehmung möglich sei, und darin bereits ein Eingriff in die Grundrechtsposition liege.825 Dementsprechend weit ist seine Auffassung vom Schutzbereich des Art. 10 I GG, der sämtliche „Vorgänge im Internet“ erfassen soll.826 Ausführlich widmet er sich der Frage, ob das Fernmeldegeheimnis nur dann greift, wenn eine Übermittlung durch Dritte erfolgt, also ein von den Teilnehmern personenverschiedener Übermittler für den Transport eingesetzt wird.827 Er kommt zu dem Ergebnis, dass das Fernmeldegeheimnis der Kompensation eines organisatorischen Kontrollverlustes dient, und daher bei „selbst vermittelter Telekommunikation“ keinen Schutz gewährt.828 Erstaunlicherweise kommt Kleih dann dennoch zu dem Schluss, dass zumindest manche lokale Funknetzwerke (nämlich die hier interessanten im InfrastrukturModus) vom Fernmeldegeheimnis erfasst seien,829 indem er dort regelmäßig vom 819 Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 219. 820 Dazu bereits in Abschnitt 3. auf Seite 160 und Abschnitt b) auf Seite 274. 821 Zu dieser Problematik bereits ausführlich in den Grundlagen in § C auf Seite 55 ff. Ein „Knacken“ der Verschlüsselung ist nur auf dem hier im technologischen Teil ausführlich beschriebenen Weg über Sicherheitslücken und Schwachstellen erfolgsversprechend. 822 Siehe Abschnitt 1. auf Seite 176 ff. 823 Anders als der Titel der Arbeit vermuten lässt. 824 Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 58 und S. 70 ff. 825 Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 70. 826 Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 87. 827 Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 102 ff. 828 Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 125 f. 829 Anders als Ad-hoc-Netzwerke, die ohne Access Point nur zwischen zwei Endgeräte aufgespannt werden. Diese sind gar nicht Gegenstand der vorliegenden Untersuchung, deswegen soll hier auch nicht näher auf sie eingegangen werden; zur Abgrenzung siehe Abschnitt (a) auf Seite 47.
III. Überwachung lokaler Funknetzwerke in Lit. und Rspr.
181
Vorhandensein eines Übermittlers ausgeht. Dafür muss er eine Grundsitutation konstruieren, bei der der Aufsteller des Access Points (Routers) in der Regel das WLAN nicht allein benutzt (von Kleih „Betreiberteilnehmer“ genannt), so dass er neben den weiteren Nutzern als Dritter erscheint.830 Im Ergebnis sieht er damit die Datenströme in lokalen Funknetzwerken im Infrastruktur-Modus dem Schutz von Art. 10 I GG unterstellt, ansonsten nur dem Recht auf informationelle Selbstbestimmung.831 Nach Kleih sind lokale Netzwerke aber keine informationstechnischen Systeme.832 Bezüglich der Unverletzlichkeit der Wohnung vertritt er die Auffassung, dass die Gewährleistungen des Art. 13 I GG neben denen des Art. 10 I GG bestehen.833 Ferner wird beim „Anzapfen von Telekommunikationsanlagen innerhalb von Wohnungen“ das Wohnungsgrundrecht berührt.834 Konsequenterweise ist damit nach Kleih, ausdrücklich entgegen der Ansicht des Bundesverfassungsgerichts, auch die Online-Durchsuchung und die Quellen-Telekommunikationsüberwachung am „Wohnungsgrundrecht“ zu messen, wenn sich das Endgerät in einer Wohnung befindet.835 Auf strafprozessualer Ebene komme nach Kleih als Rechtsgrundlage für die inhaltliche Überwachung nur § 100a I StPO a.F. (nunmehr § 100a I S. 1 StPO) in Betracht. Im Kontext von § 100a I a.F. StPO geht er zunächst explizit von einem originär strafprozessualen Telekommunikationsbegriff aus, der nicht im Verfassungsrecht verwurzelt sei.836 Er entfaltet im Folgenden ein noch weiteres, über das Fernmeldegeheimnis hinausgehendes Verständnis des Anwendungsbereichs von § 100a StPO a.F. Demnach habe der Gesetzgeber in § 100a I StPO a.F. einen Telekommunikationsbegriff verwendet, „der eben auch die nicht dem Fernmeldegeheimnis unterliegende Telekommunikation umfasst“,837 so dass § 100a I StPO a.F. wohl auch Eingriffe in das Recht auf informationelle Selbstbestimmung rechtfertigen könne. § 100a I StPO a.F. sei eine „Supereingriffsbefugnis für alle Telekommunikationsvorgänge“.838 Nach diesem Verständnis liefe der Schutz von Art. 10 I GG ins Leere. Bei der Erhebung allein belässt er es aber nicht, da ihm wohl gewahr wird, dass damit der Geltungsbereich zu weit ist. Daher möchte er auf der Ebene der Verwertbarkeit solche Vorgänge ausscheiden,839 die nicht eine 830 Die Argumentationslinie ist nicht leicht nachvollziehbar, vgl. Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 127. 831 Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 130. 832 Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 128 f. 833 Ohne Begründung oder Verweis, vgl. Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 80. 834 Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 195. 835 Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 90. 836 Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 187. 837 Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 193. 838 Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 181. 839 Nach welchen Vorschriften sich das gestalten soll, erörtert er nicht.
182
I.
Die Überwachung lokaler Funknetzwerke („WLAN-Catching“)
„Kommunikation auf Distanz“ darstellen.840 Eine solche „Kommunikation im sozialen Sinn“ liege vor, wenn ein Kommunikationspartner willentlich anvisiert werde.841 Ein derartiges subjektives Merkmal lässt sich in der Praxis tatsächlich erst nach einer inhaltlichen Wahrnehmung bestimmen, so dass es allenfalls auch nachträglich herausgefiltert werden kann. Zudem erkennt Kleih selbst, dass diese Abgrenzung mit Hilfe eines voluntativen Elements in naher Zukunft (Stichwort: Internet of Things) in den Hintergrund rücken wird, so dass dann ein latentes (Mit-)Bewusstsein genügen müsse. Abgesehen von der Frage, wann ein solches „latentes (Mit-)Bewusstsein von der telekommunikativen Relevanz des eigenen Handelns“842 nicht vorliegt, lässt sich den Ausführungen zur Abgrenzung leider nicht klar entnehmen, ob der anvisierte Kommunikationspartner zwingend ein menschlicher sein muss, er also von einem inter-personalen Verständnis von Telekommunikation ausgeht. Ferner stellt Kleih fest, dass über § 100a I StPO a.F., im Gegensatz zum Fernmeldegeheimnis, auch Telekommunikation außerhalb der von Dritten betriebenen Telekommunikationsnetze (also nicht von Art. 10 I GG geschützte Kommunikation) überwacht werden könne.843 Auf diese Weise gelangt er bereits zu der lapidaren Feststellung, dass bei sämtlichen Aktivitäten in lokalen drahtlosen Netzwerken immer Telekommunikation i.S.v. § 100a I StPO a.F. vorliege.844 Im Rahmen der Prüfung der Anwendbarkeit von § 100a I StPO a.F. greift er dann aber erneut ausführlich die verfassungsrechtliche Problematik auf, ob Art. 13 I GG betroffen sein könnte. Unerwarteterweise kommt er, entgegen der eigenen, zuvor getroffenen Aussage, dass bei dem „Anzapfen von Telekommunikationsanlagen innerhalb von Wohnungen“ Art. 13 I GG betroffen sei, nun zu dem Schluss, dass das „Wohnungsgrundrecht“ durch das Abhören der lokalen drahtlosen Netzwerke nicht tangiert sei. Weil es jedermann „mit einem alltäglichen Gerät“ möglich sei, die WLAN-Funkwellen zu empfangen, handle es sich nicht um ein „technisches Gerät“, das „im Hinblick auf das Wohnungsgrundrecht die Qualität eines technischen Mittels“ hat.845 Das genügt Kleih, um festzustellen, dass § 100a I StPO a.F. eine hinreichende Ermächtigungsgrundlage für die inhaltliche Wahrnehmung sei.846 Andere potentiell einschlägige Rechtsgrundlagen, wie etwa die §§ 94 ff. StPO, prüft er nicht.847 Bezüglich der Ermittlung „einer Gerätekennung in einem drahtlosen Netzwerk“, womit wohl die MAC-Adressen gemeint sein dürften (wobei er nicht 840 841 842 843 844 845 846 847
Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 181 f. Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 187. Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 184. Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 187 ff. Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 219. Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 225. Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 226. Im Gegensatz zu Jordan müsste Kleih die entsprechende Rechtsprechung des BVerfG im Nichtannahmebeschluss vom 16.06.2009 bekannt gewesen sein (Abschluss der
III. Überwachung lokaler Funknetzwerke in Lit. und Rspr.
183
zwischen der MAC-Adresse des Access Points und der MAC-Adresse der Endgeräte differenziert), prüft er unter Verweis auf Jordan den § 100i StPO. Er stellt fest, dass § 100i StPO vom Wortlaut her auch auf lokale drahtlose Netzwerke anwendbar sei.848 Allerdings seien, wiederum ausdrücklich entgegen der Rechtsprechung des Bundesverfassungsgerichts, auch „rein maschinell ausgetauschte Daten“ vom Fernmeldegeheimnis geschützt.849 Daher scheide § 100i StPO aus, da er einen solchen Eingriff nicht zu rechtfertigen vermöge. Das Ermitteln der Gerätekennung könne aber auf § 100a I StPO a.F. gestützt werden.850 Für das „Scannen von drahtlosen lokalen Netzwerken“ (erneut unter ausdrücklichem Verweis auf Jordan) stellt er nur kurz fest, dass es ebenfalls nach § 100a I StPO a.F. zulässig sei.851 Damit bleibt, genau wie beo Jordan, leider unklar, welche Vorgänge die Maßnahme eigentlich genau beinhalten soll.
3.
Weitere Erwähnungen
Darüber hinaus lassen sich nur noch zwei Erwähnungen notieren. Graf widmet dem „WLAN-Catcher“ im Beck’schen Online-Kommentar StPO mit RiStBV und MiStra seit der 14. Edition im Juni 2012 zwei Randnummern im Rahmen von § 100a StPO.852 In der ersten Randnummer wird die Maßnahme selbst und vor allem ihre Notwendigkeit kurz beschrieben. Demnach erfasst ein WLAN-Catcher „die über ein Wireless Local Area Network (Funknetzwerk = WLAN) geführte Kommunikation einschließlich der dabei anfallenden verbindungsbegleitenden Daten.“853 In der zweiten Randnummer stellt er lediglich kurz fest, dass eine solche Maßnahme, sofern auf Inhaltsdaten zugegriffen wird, unter den Voraussetzungen von § 100a I StPO a.F. erfolgen kann, sofern lediglich Verkehrsdaten zur Kenntnis genommen werden, jedoch bereits unter den Voraussetzungen des § 100g StPO zulässig sei. Er erläutert dabei allerdings nicht, wie sich die ausschließliche Kenntnisnahme von Verkehrsdaten umsetzen ließe.854 Das bloße Ermitteln des
848 849 850 851 852 853
854
Dissertation im Oktober 2009, vgl. Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 5). Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 227. Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 230. Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 230. Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 230. Graf in: BeckOK, StPO, § 100a, Rn. 223 – 224. Graf in: BeckOK, StPO, § 100a, Rn. 223. Graf greift damit wortwörtlich die Formulierung der Bundesregierung auf, vgl. BT-Drucks. 17/8544, S. 16, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/17/085/1708544.pdf (Stand: Dezember 2017). Zur Problematik der Filterung siehe Abschnitt 4. auf Seite 250.
184
I.
Die Überwachung lokaler Funknetzwerke („WLAN-Catching“)
Namens eines Funknetzwerkes (SSID)855 hingegen sei zulässig (wohl ohne spezielle Eingriffsnorm).856 Singelnstein behandelt ebenfalls kurz den „Zugriff auf WLAN-Netze“ in seinem 2012 erschienen Aufsatz „Möglichkeiten und Grenzen neuerer strafprozessualer Ermittlungsmaßnahmen – Telekommunikation, Web 2.0, Datenbeschlagnahme, polizeiliche Datenverarbeitung & Co“ und stellt zutreffend fest, dass die Thematik rechtlich bislang wenig geklärt ist.857 Aus technischer Sicht geht er im Gegensatz zu den anderen Autoren, und der technischen Realität schon näher kommend, davon aus, dass sich der „WLAN-Catcher bzw. -Sniffer“ zuerst in das betreffende Netzwerk einloggen muss, um so „an dessen Kommunikation teilhaben“ zu können. Konsequenzen für die rechtliche Beurteilung zieht er daraus allerdings keine. Nach Singelnstein stellen sowohl die „Feststellung eines WLANs und der darüber verbundenen Geräte“ als auch „die Überwachung der innerhalb dessen abgewickelten Inhalte“ Eingriffe in Art. 10 GG dar, die sich nach § 100a I StPO a.F. rechtfertigen lassen. Die Feststellung der MAC-Adresse der Endgeräte hingegen könne auf § 100i StPO gestützt werden. Eine Begründung für diese Einschätzung fehlt hier leider aber ebenso wie bei den Feststellungen Grafs. Er verkennt vor allem, dass die Maßnahme mit der Überwachung des gesamten Surfverhaltens einhergeht858, so dass er widersprüchlich im darauffolgenden Absatz gerade für Zugriffe „auf soziale Netzwerke und sonstige Inhalte im WWW“, die mit dem „Überwinden von Sicherungen“ einhergehen, gar keine Rechtsgrundlage in der StPO sieht. Dafür nimmt Singelnstein aber im Zugriff auf „private WLAN-Netze“ eine erhebliche gesteigerte Eingriffsintensität wahr, weil der Nutzer bei einer reinen Kommunikation innerhalb des Netzwerks, ohne Zugang zum InternetNetzwerk, von einer besonderen Vertraulichkeit ausgehen dürfte, die diesen Teil der Kommunikation insgesamt unter den Schutz von Art. 13 GG stellen könnte. Sowohl Zimmermann als auch Valerius registrieren zumindest, wenn auch nur ganz am Rande, die Möglichkeit der „WLAN-Überwachung“859, respektive die „Daten eines Rechners in WLAN-Netzen abzufangen“860, gehen jedoch nicht auf die Zulässigkeit einer solchen Maßnahme ein. Die (Bundes-)Behörden selbst stützen ihr Vorgehen im Bereich der Strafverfolgung ohne weitere Begründung wohl auf § 100a I S. 1 StPO.861 Soweit bekannt, war 855 Wobei es sich um etwas anderes handelt als das Ermitteln der MAC-Adresse des Access Points nach Jordan. 856 Graf in: BeckOK, StPO, § 100a, Rn. 224. 857 Singelnstein, NStZ, 2012, S. 593 ff. (S. 599). 858 Dazu: Abschnitt 2. auf Seite 155. 859 Zimmermann, JA 2014, 321 ff. (S. 323). 860 Valerius, JR, 2007, 275 ff. (S. 278). 861 Vgl. BT-Drucks. 17/8544, S. 16 iVm S. 5, abrufbar unter: http://dipbt.bundestag.de/ dip21/btd/17/085/1708544.pdf (Stand: Dezember 2017).
III. Überwachung lokaler Funknetzwerke in Lit. und Rspr.
185
das „WLAN-Catching“ bisher nicht Gegenstand einer gerichtlichen Auseinandersetzung. 4.
Fazit
Obwohl das „WLAN-Catching“ schon seit mindestens 2007 sowohl von Bundesbehörden als auch von Landesbehörden praktiziert wird,862 vor allem aber angesichts der Schwere der damit einhergehenden Grundrechtsbeeinträchtigungen und der unklaren strafprozessualen Gemengenlage, ist das Echo in der rechtswissenschaftlichen Literatur erstaunlich schwach geblieben bzw. kaum vorhanden. Lediglich zwei begründete Einordnungen, zwei weitere Einordnungen ohne Begründungen und zwei bloße Erwähnungen der Maßnahme ohne jegliche Einordnung lassen sich in zehn Jahren verzeichnen. Eine detaillierte Analyse der tatsächlichen technischen Gegebenheiten und Vorgänge bei der Umsetzung einer solchen Maßnahme fehlt. Entsprechend erfolgen die Betrachtungen dann auch zu wenig differenziert, so dass wichtige (Teil-)Probleme nicht diskutiert werden bzw. de facto höchstens Teilaspekte des gesamten Vorgangs zur Sprache kommen – mit dem Ergebnis der Herausbildung einer problematischen Tendenz.863 Bezüglich des Mitschneidens und Speicherns des Datenverkehrs des betreffenden Funknetzwerks (das Abhören des WLAN selbst) scheint Einigkeit zu herrschen. Nach allen vier Beiträgen lässt sich der Vorgang auf § 100a I StPO a.F. stützen. Auch wenn dabei nicht immer klar ist, von welcher (technischen) Grundannahme der jeweilige Autor ausgegangen ist, welche (Teil-)Maßnahmen mit erfasst sein sollen bzw. welche Daten der jeweiligen Ansicht nach dem Vorgang genau zu Grunde liegen. Bezüglich etwaiger begleitender Maßnahmen, wie etwa der Kenntnisnahme der MAC-Adresse des Access Points/der beteiligten Endgeräte oder etwa der SSID, herrscht sowohl hinsichtlich der Differenzierung als auch hinsichtlich der Einordnung Uneinigkeit.
862 Vgl. Abschnitt II. auf Seite 31. 863 Dazu in der folgenden Untersuchung mehr.
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Im Anschluss an die informationstechnologische Untersuchung wurden in § G auf Seite 142 ff. (Folgerungen für die nachfolgende rechtliche Analyse)864 die einzelnen für die reale Umsetzung der Überwachung eines lokalen Funknetzwerks notwendigen Vorgänge in eine zentrale Primärmaßnahme sowie mehrere Sekundärmaßnahmen eingeteilt. Da die gebildeten Kategorien sich unter anderem in Verfahrensweise, Funktion, Bedeutung, Eingriffstiefe, den tangierten Grundrechten und der Art und Weise des Tangierens unterscheiden, ist es, wie zuvor ausgeführt,865 auch aus rechtlicher Perspektive geboten, jede Handlungskategorie separat auf ihre rechtliche Zulässigkeit zu prüfen. Entsprechend erfolgt der Aufbau dieses Kapitels im Folgenden entlang der Handlungskategorien. Zuerst werden jeweils innerhalb einer Handlungskategorie verfassungsrechtliche, im Anschluss strafprozessuale Fragestellungen behandelt. Ein Aufbau, der sich an den Ermächtigungsgrundlagen der Strafprozessordnung orientiert, würde sehr unübersichtlich werden, da eine Ermächtigungsgrundlage in der Strafprozessordnung mehrere Maßnahmen abdecken kann.866 Begonnen wird die rechtliche Analyse mit der Primärmaßnahme, dem Mitschneiden und Speichern des Datenverkehrs eines lokalen Funknetzwerks (Abhören des WLAN bzw. WLAN-Catching), gefolgt von den korrespondierenden Sekundärmaßnahmen. I. Die Primärmaßnahme: Mitschneiden und Speichern des Datenverkehrs eines lokalen Funknetzwerks (Abhören des WLAN) inkl. Überwachung des Surfverhaltens 1. Erläuterung der Ermittlungsmaßnahme Bei dieser Ermittlungsmaßnahme wird der im lokalen Funknetzwerk anfallende Datenverkehr zu Überwachungszwecken für einen bestimmten Zeitraum auf dem 864 Siehe auch oben in Abschnitt I. auf Seite 152 ff. 865 Abschnitt II. auf Seite 162 ff. 866 So z.B. auch Seitz mit weiteren Beispielen für einen entsprechenden Aufbau, vgl. Seitz, Strafverfolgungsmaßnahmen im Internet, S. 253.
I. Die Primärmaßnahme
187
Übertragungsweg heimlich und von außen mitgeschnitten867 bzw. „gesnifft“868. Es handelt sich bei der Primärmaßnahme um eine rein passive Maßnahme (im Gegensatz zu den meisten Sekundärmaßnahmen). Nach außen dringende elektromagnetische Wellen werden von außen mitgeschnitten (vgl. Abbildung J.1 und Abbildung J.2 auf der nächsten Seite). Ein aktives Eingreifen in den Netzwerkverkehr ist also nicht erforderlich. Die dabei aufgezeichneten Inhaltsdaten können aufbereitet die Kommunikationsvorgänge der Zielperson über das InternetNetzwerk (mittels Laptop, Desktop-PC, Tablet, Smartphone etc.) transparent machen und so neue Ermittlungsansätze liefern bzw. letztlich bei der gerichtlichen Beweisaufnahme als Beweismittel dienen. Vorab (ohne inhaltliche Auswertung zumindest der Header-Informationen der Datenpakete nach Kategorien wie Protokollart oder Serveradresse)869 ist es technisch kaum möglich, den Datenverkehr nach bestimmten Kriterien zu filtern, zum Beispiel in der Art, dass nur der Datenverkehr solcher Anwendungen, die der klassischen, interpersonalen Kommunikation dienen, aufgezeichnet wird (wie z.B. Webmail, E-Mail-Client-Verkehr, Chats oder IP-Telefonie).870 Ausgeleitet und gespeichert wird bei einer solchen Maßnahme grundsätzlich also der gesamte laufende Internetdatenverkehr (z.B. auch das Aufrufen von medialen Webseiten im WWW, Anfragen bei Suchmaschinen oder die Nutzung von Angeboten des Online-Banking oder e-Commerce). Erfasst wird daher das gesamte Surfverhalten des Nutzers. Von einer solchen Maßnahme betroffen sind ebenfalls solche Datenpakete, die lediglich innerhalb des lokalen Netzwerks (ohne Nutzung des Internet-Netzwerks) zirkulieren, auch wenn diese in der Praxis nur eine absolut untergeordnete Rolle spielen dürften. Denkbar wären etwa Druckaufträge an den lokalen Netzwerkdrucker.
2.
Verfassungsrechtliche Vorgaben
Bei der Bestimmung der rechtlichen Zulässigkeit und inhaltlichen Reichweite strafprozessualer Zwangsmaßnahmen (i. e. Grundrechtseingriffen) können nicht allein die prozessrechtlichen Voraussetzungen Berücksichtigung finden, vielmehr 867 Von einem WLAN-Adapter im „Monitor Mode“. Für die technischen Details siehe Abschnitt a) auf Seite 106. 868 Fachjargon nach dem engl. to sniff (schnüffeln, schnuppern). 869 Aber auch daraus ist der Erkenntnisgewinn gering, denn über das HTTP/HTTPsProtokoll werden zum Beispiel sowohl Datenpakete mit Anfragen an Suchmaschinen als auch per Webmail abgerufene E-Mails transportiert. 870 Gleiches gilt auch für die Quellen-TKÜ, die technisch allenfalls auf bestimmte konkrete Anwendungen (wie z.B. Skype) oder einzelne Bauteile (wie z.B. das Mikrofon) begrenzt werden kann. Vgl. auch die Stellungnahme an das Bundesverfassungsgericht zum BKA-Gesetz und zum Einsatz von Staatstrojanern des CCC, S. 8 ff., abrufbar unter: https://www.ccc.de/system/uploads/189/original/BKAG_Stellungnahme.pdf (Stand: Dezember 2017).
188
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Abbildung J.1: Passives Mitschneiden von außen (öffentliche Straße)
Abbildung J.2: Passives Mitschneiden von außen (Nachbargebäude/-wohnung)
I. Die Primärmaßnahme
189
muss immer auch der verfassungsrechtliche Grundrahmen (i.e. Grundrechtsschutz) Beachtung finden.871 Entsprechend soll zunächst untersucht werden, wie und in welches Grundrecht die Primärmaßnahme eingreift. Angesichts der Komplexität und der Reichweite der Maßnahme gestaltet sich die Einordnung alles andere als einfach. Die Nutzung lokaler Funknetzwerke könnte sowohl durch das Telekommunikationsgeheimnis, wegen des Bezugs zur Telekommunikation, als auch durch das neue Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, vor allem aber auch durch das Recht auf Unverletzlichkeit der Wohnung gem. Art. 13 I GG geschützt sein. Schließlich käme, wegen der Verbindung zu Datenverarbeitungsprozessen auch das Recht auf informationelle Selbstbestimmung in Frage. a) Telekommunikationsgeheimnis, Art. 10 I GG aa)
Reichweite des Schutzbereichs des Telekommunikationsgeheimnisses
Begonnen wird mit der letzten der drei Einzelgewährleistungen des Art. 10 I GG, dem Fernmelde- bzw. Telekommunikationsgeheimnis. Das BVerfG definiert in ständiger Rechtsprechung aktuell den Schutzbereich mit folgendem Wortlaut:872 „Die Gewährleistung des Telekommunikationsgeheimnisses nach Art. 10 Abs. 1 GG schützt die unkörperliche Übermittlung von Informationen an individuelle Empfänger mit Hilfe des Telekommunikationsverkehrs.“
Diese Definition lässt sich in eine Transportkomponente („die unkörperliche Übermittlung von Informationen [...] mit Hilfe des Telekommunikationsverkehrs“) und eine Kommunikationskomponente („an individuelle Empfänger“) aufgliedern. Diese beiden Komponenten sollen als Anhaltspunkte dienen, um die existenten Problemkreise nachfolgend separat zu besprechen.873 (1)
Die Übermittlung von Informationen (die Transportkomponente des Telekommunikationsgeheimnisses)
Die Transportkomponente der Definition des BVerfG („die unkörperliche Übermittlung von Informationen [...] mit Hilfe des Telekommunikationsverkehrs“) macht deutlich, dass die Art und Weise der unkörperlichen Übermittlung (Kabel, Funk, 871 Das gilt insbesondere, da das BVerfG den Grundrechtsschutz durch seine Rechtsprechung stetig ausweitet; zum Ganzen ausführlich Böckenförde, Die Ermittlungen im Netz, S. 111 ff. Man denke nur an das neue „Computer-Grundrecht“. 872 BVerfG NJW 2008, 822, Abs. 182; BVerfGE 124, 43, Abs. 43; BVerfGE 115, 166, Abs. 67. 873 Das Bundesverfassungsgericht hat viele der nachfolgend zur Sprache kommenden Kriterien im Bereich der Gefahrenabwehr entwickelt, dennoch beanspruchen sie selbstverständlich auch im Bereich der Strafverfolgung Geltung.
190
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
analog oder digital etc.) und die Ausdrucksform (Sprache, Töne, Zeichen oder Sonstiges) keine Rolle spielen.874 Weniger eindeutig ist hingegen, insbesondere auch im Bezug auf lokale Funknetzwerke, ob der Grundrechtsschutz während des Übermittlungsvorgangs unterbrochen sein kann und wann die Übermittlung „mit Hilfe des Telekommunikationsverkehrs“ und damit der Grundrechtsschutz endet (beginnt). (a)
Beginn/Ende/Unterbrechung des Übermittlungsvorganges (Behandlung der beim Provider zwischengespeicherten E-Mails)
Nach der Mehrheit der rechtswissenschaftlichen Literatur und den verschiedenen darin vertretenen Sphärenmodellen875 weist die Phase der Verarbeitung und damit der (u.U. auch nur sehr kurzen) Zwischenspeicherung der E-Mails auf einem Server des Dienstleistungsanbieters die Besonderheit auf, dass der Prozess der Datenübermittlung in diesem Moment unterbrochen sei, zumindest nicht mehr von „laufender“ oder „dynamischer“ Telekommunikation gesprochen werden könne. Gerade ein solcher „laufender“ Prozess sei aber Voraussetzung für den Schutz von Art. 10 GG, weswegen dessen Schutz in dieser Phase nicht greife.876 Dieser Ansicht erteilt das BVerfG in der Form eine Absage. Mit dem Nichtannahmebeschluss vom 16.06.2009 stellt es klar, dass auch das Stadium der Zwischenspeicherung dem Schutz des Telekommunikationsgeheimnisses unterliegt: „Dem Schutz der auf dem Mailserver des Providers gespeicherten E-Mails durch Art. 10 Abs. 1 GG steht nicht entgegen, dass während der Zeitspanne, während der die E-Mails auf dem Mailserver des Providers „ruhen“, ein Telekommunikationsvorgang in einem dynamischen Sinne nicht stattfindet“.877 Das entscheidende Kriterium (für den Schutz durch Art. 10 GG) sieht das BVerfG vielmehr in der mangelnden Beherrschbarkeit des gesamten (Übertragungs-)Vorganges durch den Kommunikationsteilnehmer gegenüber dem Dienstleistungsanbieter.878 Es lässt sich damit festhalten, dass der Grundrechtsschutz während des Übermittlungsvorgangs nicht unterbrochen werden kann und das BVerfG den Schutzbereich von Art. 10 GG tendenziell weit auslegt. Es betont allerdings im besagten Urteil auch, dass der Schutz des Telekommunikationsgeheimnisses endet, wenn der Übertragungsvorgang beendet ist: „Der Grundrechtsschutz erstreckt sich nicht auf die außerhalb eines laufenden Kommunikationsvorgangs im Herrschaftsbereich 874 BVerfGE 124, 43, Abs. 43. Mit weiteren Nachweisen: Durner in: Maunz/Dürig, Grundgesetz-Kommentar, Art. 10, Rn. 82. 875 Es wird nach drei, vier oder bis zu sieben Phasen unterschieden, vgl. mit weiteren Nachweisen Graf in: BeckOK, StPO, § 100a Rn. 53. 876 Diese Ansicht wurde von Palm/Roy initialisiert, vgl. Palm/Roy, NJW, 1996, S. 1791 ff. (1793). 877 BVerfGE 124, 43, 47. 878 BVerfGE 124, 43, 46.
I. Die Primärmaßnahme
191
des Kommunikationsteilnehmers gespeicherten Inhalte“.879 Schon zuvor hat es ausgeführt, dass der „Schutz des Telekommunikationsgeheimnisses endet [...], in dem die Nachricht bei dem Empfänger angekommen und der Übertragungsvorgang beendet ist“.880
Entgegen dieses sehr eindeutigen Wortlautes scheint der Gesetzgeber jedoch (neuerdings) ein noch weiteres Verständnis des Schutzbereichs von Art. 10 I GG aufzuweisen bzw. den Schutzbereich selbst ausdehnen zu wollen. Ausweislich der Gesetzesbegründung zum Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens mit Wirkung vom 24.08.2017 könne sich Art. 10 I GG sogar auf „Messenger-Nachrichten“ erstrecken, die auf einem Endgerät gespeichert sind.881 Dafür müsse nur technisch sichergestellt sein, dass eine „funktionale Äquivalenz“ (!) zu einer laufenden Telekommunikation bestehe, indem der Zugriff in zeitlicher Hinsicht auf die ab dem Zeitpunkt der Anordnung gespeicherten „Messenger-Nachrichten“ beschränkt wird.882 Dafür sollen die in den „einzelnen Nachrichten hinterlegten Meta-Daten“ ausgewertet werden.883 Diese Ansicht widerspricht der inzwischen ständigen Rechtsprechung des BVerfG deutlich, nach der ausdrücklich generell keine nach Abschluss des Übermittlungsvorganges gespeicherten Inhalte von Art. 10 I GG erfasst sind.884 Die Beschränkung des Telekommunikationsgeheimnisses auf „laufende Telekommunikation“ wird schlichtweg ignoriert. Auch das Kriterium der mangelnden Beherrschbarkeit ist gerade nicht erfüllt, da der Betroffene die auf seinem Endgerät eingegangenen, gespeicherten „Messenger-Nachrichten“ jederzeit beliebig löschen kann. Die in der Gesetzesbegründung geäußerte Ansicht dürfte daher kaum Bestand haben.885
879 BVerfGE 124, 43, 45. 880 BVerfGE 115, 166, Abs. 77, 78. 881 Und damit das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme verdrängen, vgl. BT-Drucks. 18/12785, S. 50, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/18/127/1812785.pdf (Stand: Dezember 2017). Einer anderen Formulierung zufolge könnte auch nur das Recht auf informationelle Selbstbestimmung betroffen sein, wobei dennoch die Hürden des Art. 10 I GG zu beachten seien (ebd. S. 51). 882 Vgl. BT-Drucks. 18/12785, S. 50, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/ 18/127/1812785.pdf (Stand: Dezember 2017). 883 Die freilich als Umstände der Telekommunikation selbst von Art. 10 I GG geschützt sind, vgl. Abschnitt (1) auf Seite 253. 884 So auch Roggan, StV, 2017, S. 821 ff. (S. 824); Blechschmitt, StraFo, 2017, S. 361 ff. (S. 365). 885 Zumal ein solches Verständnis die Abgrenzung von Telekommunikationsgeheimnis und GVIiS noch wesentlich unschärfer werden ließe.
192
(b) (aa)
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Übertragung der Vorgaben auf Daten in lokalen Funknetzwerken (Netzbetreiberlose Telekommunikation) Technologische Aspekte
Ein lokales Netzwerk wird lediglich zwischen den lokalen Endgeräten des Nutzers und dem „DSL-Router“ aufgespannt. Die Daten haben also bereits das Endgerät des Nutzers verlassen, insofern hat der Übermittlungsvorgang bereits begonnen, sie sind aber noch nicht in der vom Netzbetreiber kontrollierten Teilnehmeranschlussleitung („Letze Meile“)886 angekommen oder umgekehrt. Vorliegend hat der Nutzer die tatsächliche Verfügungsgewalt über die Endgeräte und den Router,887 die Geräte befinden sich auf jeden Fall in seinem Hoheitsbereich und er hat vollen Zugriff auf sie.888 Der Nutzer kann bei entsprechender technischer Versiertheit in gewissem Maße selbst festlegen, auf welche Art und Weise das lokale Netzwerk konfiguriert wird, zum Beispiel ob und wie die Daten verschlüsselt werden. Allerdings hat der Nutzer bei dem Betrieb eines lokalen Funknetzwerkes kaum technische Möglichkeiten, das lokale Funknetzwerk vollständig abzuschirmen, so dass die elektromagnetische Strahlung nicht über seinen Hoheitsbereich hinaus emittiert. Er kann das Abhören von außen nicht mit Sicherheit verhindern, wenn etwa entsprechende Sicherheitslücken in den eingesetzten Protokollen, wie im informationstechnischen Teil beschrieben,889 ausgenutzt werden. (bb)
Rechtliche Aspekte
Das Telekommunikationsgeheimnis scheint (früher) auf die Fälle der Übermittlung durch Dritte (typischerweise den Netzbetreiber) beschränkt gewesen zu sein. So führte das BVerfG etwa aus: „Gegenstand des Schutzes sind Kommunikationen, die wegen der räumlichen Distanz zwischen den Beteiligten auf Übermittlung durch Dritte, typischerweise die Post, angewiesen sind“.890 Ähnlich auch in einem Beschluss noch von 2002: „Erfasst sind alle Kommunikationsvorgänge, die sich der Telekommunikationstechnik unter Nutzung einer entsprechenden Anlage und der darauf bezogenen Dienstleistungen eines Dritten bedienen“.891 Im zentralen Urteil des 1. Senats des Bundesverfassungsgerichts zum NWVerfSchG spricht das Gericht nunmehr vom Telekommunikationsgeheimnis und wählt in der hier 886 Die Teilnehmeranschlussleitung (TAL) bezeichnet die Strecke zwischen Ortsvermittlungsstelle und Haustelefonanschluss, bevor mit dem Router das lokale Netzwerk beginnt. 887 In jüngerer Zeit wird der Router oft nicht mehr erworben, sondern nur geleast. Für die Beurteilung der Schutzbedürftigkeit kann es hier aber nicht auf die zivilrechtliche Kategorie ankommen. 888 Auch wenn der Zugriff auf den Router oft nicht exklusiv ist, dazu später in Abschnitt (1) auf Seite 224. 889 Siehe ab § E auf Seite 72 ff. 890 Vgl. BVerfGE 85, 385, Abs. 46. 891 BVerfGE 106, 28, Abs. 26.
I. Die Primärmaßnahme
193
als Grundlage dienenden, oben angeführten892 Definition nunmehr den Terminus „mit Hilfe des Telekommunikationsverkehrs“,893 der bereits auf einen Wandel des Verständnisses hindeutet. Teile der Literatur vertreten schon seit längerem die Ansicht, dass es grundsätzlich unerheblich ist, ob ein Dritter als Informationsmittler eingeschaltet wird894 bzw. wer der Betreiber der Übertragungseinrichtung ist. Auch haus- oder betriebsinterne Computeranlagen seien erfasst,895 lediglich ein „Aus-der-Hand-Geben“ der Information wird verlangt.896 Das BVerfG formuliert inzwischen wie folgt: „Der Grundrechtsschutz erstreckt sich nicht auf die außerhalb eines laufenden Kommunikationsvorgangs im Herrschaftsbereich des Kommunikationsteilnehmers gespeicherten Inhalte“.897
Es ließe sich mit dieser Abgrenzung argumentieren, dass die Datenpakete, solange sie noch nicht über den Router und den Hausanschluss den Hoheitsbereich des Betroffenen verlassen haben, sich noch bzw. schon in seinem Herrschaftsbereich befinden, der Schutzbereich des Fernmeldegeheimnisses also noch nicht begonnen bzw. bereits geendet hat. Allerdings genügt es nach der Definition des BVerfG nicht, dass sich die Daten im Herrschaftsbereich des Maßnahmeadressaten befinden, sie müssen auch dort gespeichert sein, um Art. 10 GG auszuschließen. Die Datenströme des lokalen Netzwerks werden allerdings gerade vom jeweiligen Endgerät zum Router transportiert, so dass man bereits schlechterdings von „gespeicherten Daten“ wird sprechen können. Entscheidender ist aber, wie das BVerfG in besagtem Beschluss ausführt, dass ein „technisch bedingter Mangel an Beherrschbarkeit“ zu Gefahren führt, „die sich gerade aus der Verwendung dieses (Kommunikations-)Mediums ergeben“, weil die Inhalte so einem „staatlichem Zugriff leichter ausgesetzt sind als die direkte Kommunikation unter Anwesenden“.898 Wie oben ausgeführt, hat der Nutzer bei dem Betrieb eines lokalen Funknetzwerkes kaum technische Möglichkeiten, das lokale Funknetzwerk vollständig abzuschirmen und ein Eindringen sicher zu verhindern. Der geforderte „technisch bedingte Mangel an Beherrschbarkeit“ liegt damit gerade bei Daten vor, die im lokalen Netzwerk transportiert werden. Siehe Abschnitt aa) auf Seite 189. BVerfG NJW 2008, 822, Abs. 182. Gusy in: v. Mangoldt/Klein/Starck, Kommentar zum Grundgesetz, Art. 10, Rn. 41. Jarass in: Jarass/Pieroth, GG, Art. 10 GG, Rn. 8; Hermes in: Dreier, Grundgesetz, § 100a, Rn. 37; Meininghaus, Der Zugriff auf E-Mails im strafrechtlichen Ermittlungsverfahren, S. 64. 896 Hermes in: Dreier, Grundgesetz, § 100a, Rn. 38. Zur Notwendigkeit staatlichen Schutzes aufgrund des zunehmenden Verlustes an Kontrolle über die eigenen Daten ausführlich: Hoffmann-Riem, AöR, 2009, S. 512 ff. (S. 524 ff.). 897 Vgl. BVerfGE 124, 43, 45. 898 BVerfGE 124, 43, 46; BVerfGE 115, 166, Abs. 77, 78.
892 893 894 895
194
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Allerdings geht das BVerfG implizit scheinbar davon aus, dass die Daten, wenn sie sich nicht im Herrschaftsbereich des Betroffenen, automatisch im Herrschaftsbereich des Providers befinden („Die auf dem Mailserver des Providers vorhandenen E-Mails sind nicht im Herrschaftsbereich des Kommunikationsteilnehmers, sondern des Providers gespeichert“)899. Wie ist die Situation zu beurteilen, wenn das nicht der Fall sein sollte? Wenn die Sachlage sich derart gestaltet, dass die Daten sich weder im „faktischen Herrschaftsbereich“ des Betroffenen noch des Providers befinden, sondern in einer Art Zwischenstadium? Auch in diesem Zwischenstadium wird das Telekommunikationsgeheimnis, parallel zur Literaturansicht, dem Betroffenen Schutz gewähren, das zeigt die Tendenz des BVerfG, den Schutzbereich weit auszulegen. Entscheidend für Art. 10 GG ist besagte besondere Schutzbedürftigkeit des Maßnahmeadressaten, die sich ergibt, wenn er den Zugriff auf die Daten während des Transports (sobald sie sein Endgerät verlassen haben, wo die Daten gespeichert waren oder erzeugt wurden) nicht (vollständig) kontrollieren kann. Dies gilt unabhängig davon, ob die Daten bereits in den Herrschaftsbereich eines personenverschiedenen Betreibers gelangt sind. Das Fernmeldegeheimnis beginnt folglich in dem Moment, in dem der Betroffene den Zugriff auf die Daten nicht mehr beherrschen kann, weil der Übertragungsvorgang bereits in irgendeiner Form begonnen hat.900 Auch die nur im lokalen Netzwerk zirkulierenden Datenpakete sind demnach in Bezug auf die Transportkomponente durch das Telekommunikationsgeheimnis des Art. 10 GG geschützt.901 (2)
Die Überwachung des gesamten Surfverhaltens (die Kommunikationskomponente des Telekommunikationsgeheimnisses)
Wie im Rahmen der Erläuterung der Primärmaßnahme beschrieben und begründet,902 lässt sich der Datenverkehr im lokalen Funknetzwerk vorab nicht ohne inhaltliche (zumindest Teil-)Auswertung sinnvoll nach bestimmten Kriterien filtern. Eine inhaltliche Auswertung liefe jedoch gerade der zentralen Schutzfunktion von Art. 10 I GG (Vertraulichkeit) zuwider. Tangiert ist von der Primärmaßnahme daher grundsätzlich die gesamte laufende Internetnutzung des Betroffenen. 899 BVerfGE 124, 43, 46. 900 Bzw. endet, wenn die Daten am Endgerät eingetroffen sind und ein Übertragungsvorgang für den Zugriff nicht mehr notwendig ist. 901 Das gilt erst recht für das noch weitere Verständnis des Schutzbereichs von Art. 10 I GG, das der Gesetzgeber in der Gesetzesbegründung zum Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens geäußert hat, vgl. zuvor in Abschnitt (a) auf Seite 190. Erachtete man den Schutzbereich des Art. 10 GG als (noch) nicht eröffnet, würde man intensiv prüfen müssen, ob nicht das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme einschlägig ist, dazu ebenfalls sogleich in Abschnitt b) auf Seite 202. 902 Zuletzt in Abschnitt 1. auf Seite 186.
I. Die Primärmaßnahme
195
Erfasst werden sämtliche über das lokale Netzwerk (und damit auch über das Internet-Netzwerk) ausgetauschten Datenpakete, nicht nur diejenigen der klassischen, interpersonalen Kommunikationsanwendungen, wie E-Mail, Chat oder VoIP. Betroffen ist folglich auch die Nutzung des Internet-Netzwerks etwa für die bloße Informationsrecherche, den Medienkonsum, das Online-Banking, e-Commerce etc. Somit stellt sich die Frage, ob die individuelle Nutzung des gesamten Spektrums des Internet-Netzwerks noch in den Schutzbereich von Art. 10 I GG fällt. Dafür muss unter anderem geklärt werden, wie die Kommunikationskomponente („an individuelle Empfänger“) in der Definition des BVerfG zu verstehen ist. Es fällt auf, dass sich für eine solche, in heutiger Zeit ganz zentrale Fragestellung erstaunlicherweise in der rechtswissenschaftlichen Literatur nur wenige Autoren interessiert haben.903 Es herrscht dabei eine deutliche Uneinigkeit in der Bewertung. Dafür haben sich allerdings in jüngerer Zeit die Gerichte dieser Fragestellung gewidmet.904 (a)
Die Kommunikationskomponente in der Definition des BVerfG
In der Definition des BVerfG („an individuelle Empfänger“) wird deutlich, dass es im Bezug auf die Kommunikationskomponente seiner Definition grundsätzlich zwischen individuell ausgetauschten, nicht-öffentlichen Informationen und der Übermittlung an die Allgemeinheit durch öffentliche (Massen-)Kommunikation unterscheidet. Historisch konnte die Abgrenzung unproblematisch technischformal danach erfolgen, welches Medium für den Informationsaustausch genutzt wurde.905 Eine präzise Differenzierung zwischen beiden Kommunikationsformen wird aber zunehmend schwieriger, weil die technologische Entwicklung (Stichwort: Vernetzung) und gänzlich neu entstehende Kommunikationsformen und Nutzungsmöglichkeiten zu einer Vermischung sowohl von Individual- und Massenkommunikation als auch von dafür gebrauchten Übertragungswegen und Anwendungen führen. Das zeigt sich deutlich auch in der Multifunktionalität der aktuellen Endgeräte (z.B. Smartphones). 903 Ohne Anspruch auf Vollständigkeit: Hieramente, StraFo, 2013, S. 96; Albrecht/Braun, HRRS, 2013, S. 500; Meinicke, in: Taeger, Law as a Service, S. 968 ff.; Braun, jurisPRITR, 18/2013, Anm. 5; Bär, ZD, 2014, S. 33; Schmitt in: Meyer-Goßner/Schmitt, StPO, § 100a, Rn. 7d; Singelnstein, NStZ, 2012, S. 593; Sieber, Straftaten und Strafverfolgung im Internet: Gutachten C zum 69. Deutschen Juristentag, S. C106 f. 904 LG Ellwangen, 1 Qs 130/12, juris; BVerfG, Nichtannahmebeschluss vom 06.07.2016, 2 BvR 1454/13, juris. Den Sachverhalt nur streifend: BGH, StB 7/10, BeckRS 2011, 02332. 905 Ob zum Beispiel die Übermittlung über spezielle Medien zur Verbreitung von Informationen an die Allgemeinheit, wie Fernsehen oder Hörfunk, erfolgte oder nicht, wie etwa bei dem Telefon, vgl. Hermes in: Dreier, Grundgesetz, § 100a, Rn. 39.
196
(b) (aa)
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Abgrenzung von Individual- und Massenkommunikation Subjektives Kriterium
Eine präzise Abgrenzung kann (allerdings nur gedankentheoretisch!) durch die subjektive Adressierung des Absenders erfolgen: Ist die Information an die Allgemeinheit gerichtet oder nur an einen begrenzten Kreis? In der Praxis ließe sich dieser subjektive Sachverhalt aber höchstens, wenn überhaupt, durch Kenntnisnahme der ausgetauschten Informationen oder Analyse des Datenverkehrs in Erfahrung bringen. Das liefe aber der zentralen Schutzfunktion von Art. 10 I GG zuwider, die gerade Vertraulichkeit gewährleisten soll. Aus dem gleichen Grund scheidet offensichtlich auch eine Abgrenzung direkt nach dem Inhalt der ausgetauschten Nachrichten aus. (bb)
Objektives Kriterium
In Medien wie dem Internet-Netzwerk, die für beide Kommunikationsformen genutzt werden, ist es daher zwingend notwendig, ein zusätzliches objektives Kriterium heranzuziehen: Die adressierten Kommunikationspartner lassen sich dann hinreichend individualisieren, wenn etwa die Allgemeinheit durch den Verteilungsmodus der Zugangsbeschränkungen ausreichende Hindernisse bei der Wahrnehmung der übermittelten Information überwinden muss. Lassen sich die Informationen hindernislos und auf dem dafür vorgesehenen Weg wahrnehmen, scheidet ein Schutz des Art. 10 GG aus.906 Wird durch das Zugangshindernis jedoch ein geschlossener Bereich errichtet,907 ist der Adressatenkreis automatisch begrenzt und es liegt gerade keine Massenkommunikation vor. (cc)
Beschränkung auf klassische, interpersonale Kommunikation?
In der Voraussetzung der hinreichenden Individualisierbarkeit wird oft mit unterschiedlicher Begründung eine personale Komponente hineingelesen (sog. „Kommunikationslösung“908). So ziele die Vorschrift „offensichtlich auf die Kommunikation zweier menschlicher Teilnehmer ab“909 bzw. verlange, dass Sender und Empfänger „natürliche Personen“ seien.910 Es sei an dieser Stelle betont, dass das Kriterium des BVerfG individuell bereits vom Wortsinn her nicht zwangsläufig im 906 Präzise herausgearbeitet von Böckenförde, Die Ermittlungen im Netz, S. 191 ff. 907 Der Bereich ist natürlich nicht geschlossen, wenn jeder ohne Prüfung das Zugangshindernis überwinden kann. 908 Vgl. Sieber, Straftaten und Strafverfolgung im Internet: Gutachten C zum 69. Deutschen Juristentag, S. C107. 909 Meinicke, in: Taeger, Law as a Service, S. 968 ff., S. 970 f. 910 Albrecht/Braun, HRRS, 2013, S. 500 ff. (S. 502). Ebenso (beispielhaft für viele): Böckenförde, JZ, 2008, S. 925 ff. (936 f).; Hieramente, StraFo, 2013, S. 96 ff. (S. 99); Soiné, MMR, 2015, S. 22 ff. (S. 23); Schmitt in: Meyer-Goßner/Schmitt, StPO, § 100a Rn. 7d.
I. Die Primärmaßnahme
197
Sinne von menschlich verstanden werden muss; es genügt, individuell im Sinne von einzeln, nicht gemeinschaftlich, nicht öffentlich zu begreifen. Der Definition wird dann damit Genüge getan, dass der Adressatenkreis beschränkt ist, ein menschliches Gegenüber hingegen ist nicht zwangsläufig notwendig (sog. „funktionale Betrachtung“911). So steht nach allgemeiner Ansicht der Schutz des Art. 10 I GG schließlich auch juristischen Personen zu,912 ebenso fallen sowohl Verbindungs-, als auch Standortdaten von Handys unter das Telekommunikationsgeheimnis, obwohl sie nur der technischen Durchführung dienen.913 Bei der Nutzung des Internet-Netzwerks zum Suchen nach Informationen, OnlineBanking, E-Commerce, dem sonstigen Abrufen von Homepages im WWW oder Zugriff auf Daten mittels Cloud Computing steht der (HTTP-)Anfrage oft direkt kein individueller im Sinne von personaler Kommunikationspartner gegenüber, denn die Antwort – das Ausliefern des zuvor erstellten Inhalts – erfolgt automatisiert durch einen Server an jedermann mit der identischen (HTTP-)Anfrage.914 Ein vertiefter Blick zeigt, dass sich selbst diese an sich einleuchtende Aussage so allerdings nicht generell aufrechterhalten lässt, denn auch über E-CommercePlattformen wie amazon.com oder ebay.com lassen sich z.B. über Kontaktformulare oder im Kundenbereich Nachrichten, etwa mit einem Verkäufer, austauschen, im Online-Banking Kontakt zu Service-Mitarbeitern aufbauen oder mittels Cloud Computing Dokumente mit Nachrichteninhalt austauschen. Die Grenze zwischen klassischer, interpersonaler Kommunikation und anderen Formen der Kommunikation wird also immer fließender (die aktuelle Entwicklung und Erprobung von Chat-Bots und Sprachassistenten, bei denen selbst bei klassischen Kommunikationsanwendungen wie Chats das menschliche Gegenüber fehlt, ist dabei noch gar nicht berücksichtigt). Eine Unterscheidung wäre in den genannten Fällen weder nach dem genutzten Übertragungsmedium oder -gerät noch nach dem involvierten Internetdienstleistungsanbieter noch nach der Computeranwendung möglich. Greift man testweise auf das subjektive Kriterium der Adressierung zurück, ergibt sich Folgendes: Im Gegensatz zu dem Bereitstellen von Informationen auf öffent911 Vgl. Sieber, Straftaten und Strafverfolgung im Internet: Gutachten C zum 69. Deutschen Juristentag, S. C107. 912 Mit weiteren Nachweisen: Jarass in: Jarass/Pieroth, GG, Art. 10, Rn. 10. 913 Lepsius in: Roggan, Online-Durchsuchungen: Rechtliche und tatsächliche Konsequenzen des BVerfG-Urteils vom 27. Februar 2008, Das Computer-Grundrecht: Herleitung – Funktion – Überzeugungskraft, S. 21 ff., S. 28. 914 Zwar könnte man argumentieren, dass indirekt sehr wohl ein personaler Kommunikationspartner gegenübersteht, denn der Inhalt der Antwort wird von Personen eingepflegt. Aber auch hier befindet sich alles im Schwimmen und der computer-generierte Content auf dem Vormarsch, vgl. z.B. die computer-generierten Quartalsberichte von Narrative Science für Forbes, vgl. https://www.forbes.com/sites/narrativescience/ (Stand: Dezember 2017) und https://www.narrativescience.com/ (Stand: Dezember 2017)). Allerdings gilt Gleiches auch für unumstrittene Massenkommunikationsmedien wie Fernsehen oder Hörfunk.
198
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
lich zugänglichen Homepages im WWW wird die Tatsache (die Information), dass eine solche öffentliche Webseite von einer individuellen Person wahrgenommen/abgerufen/gedownloadet wurde (und damit das Surfverhalten einer konkreten Person), in der Regel keine Information sein, die von dieser Person an die Öffentlichkeit gerichtet ist. Der Nutzer wird in der Mehrheit nicht die Allgemeinheit darüber informieren wollen, welche Medien er sich anschaut, welche Suchanfragen er stellt oder Einkäufe er tätigt. Zieht man das eingangs erwähnte objektive Kriterium heran, ergibt sich, dass diese Informationen bzgl. des Surfverhaltens nicht ohne Weiteres zugänglich sind, ohne dass Hindernisse überwunden werden müssen (etwa durch das „Knacken“ der WLAN-Verschlüsselung oder den Zugriff auf die Infrastruktur des Internet Service Providers respektive des Dienstleistungsanbieters). Anders verhält es sich natürlich, wenn der Betroffene ein unverschlüsseltes Wireless LAN nutzt, denn dann sind die Informationen sehr wohl ohne Weiteres zugänglich. Hier zeigt sich die Notwendigkeit des weiteren objektiven Kriteriums. Zwar können sämtliche auf Anwendungsebene unchiffrierten Daten von jedem mit dem entsprechenden Fachwissen in räumlicher Nähe ohne Überwindung von Zugangshindernissen mitgelesen werden, allerdings nicht auf dem dafür vorgesehenen Weg, weil die Datenpakete eigentlich nicht an den mitlesenden (sniffenden) WLAN-Adapter adressiert sind. Möchte man dennoch den Schutz von Art. 10 GG auf interpersonale Kommunikation beschränken, wird man spätestens in der Praxis zwangsläufig auf unüberwindbare Abgrenzungsschwierigkeiten stoßen, weil es an einem objektiven (technisch-formalen) Kriterium fehlt, interpersonale Kommunikation von sonstiger Kommunikation zu trennen, und das subjektive Kriterium der Adressierung nicht ohne Zugriff auf den Inhalt zu ermitteln ist. Auch das eingangs angeführte objektive Kriterium der Zugangsbeschränkung ist für diese Art der Differenzierung nicht geeignet, denn es enthält schließlich keine Aussage darüber, wer sie errichtet hat. Die Zugangsbeschränkung kann sich auch aus der technischen Realisierung ergeben und muss nicht von einem menschlichen Kommunikationspartner speziell zur Abschirmung der ausgetauschten Informationen errichtet worden sein. Vieles spricht daher auch eingedenk aktueller und zukünftiger Entwicklungen (man denke nur an die Sprachassistenten Apple Siri und Google Now, die derzeiten Testläufe mit Chat-Bots durch z.B. Microsoft und Facebook, sowie die Fortschritte im Bereich Künstlicher Intelligenz) für ein weites, von interpersonaler Kommunikation gelöstes Verständnis des Schutzbereichs von Art. 10 GG dahingehend, dass sämtliche mit Hilfe des Telekommunikationsverkehrs ausgetauschten Informationen während des Übermittlungsvorgangs von Art. 10 GG geschützt werden,915 915 So auch im Ergebnis: Schwabenbauer, AöR, 137 (2012), S. 1 ff. (S. 20); Singelnstein, NStZ, 2012, S. 593 ff. (S. 599); Kudlich, GA, 2011, S. 193 – 208ff. (S. 199); Graf in: BeckOK, StPO, § 100a, Rn. 20. Früh bereits Sievers, Der Schutz der Kommunikation
I. Die Primärmaßnahme
199
sofern sich nicht objektiv manifestiert, dass sie an die Allgemeinheit adressiert sind. Objektiv manifestiert sich die Adressierung an die Allgemeinheit, wenn die Wahrnehmung der Information nicht in irgendeiner Form Zugangshindernissen ausgesetzt ist und auf dem dafür vorgesehen Weg erfolgt. (c)
Potentielle Betroffenheit von interpersonaler Kommunikation
Möchte man nicht so weit gehen, so muss Art. 10 GG dennoch zumindest in all den Fällen greifen, in denen die bloße Möglichkeit besteht, dass auch klassische, interpersonale Kommunikation betroffen ist und eine Differenzierung vorab nicht möglich ist.916 Dies dürfte allerdings bei der Nutzung des Mediums Internet immer der Fall sein, so dass auch nach dieser Ansicht sämtliche über das Internet-Netzwerk ausgetauschten Datenpakete im Schutzbereich von Art. 10 GG anzusiedeln wären.917 Zu dieser Ansicht scheint auch das BVerfG zu neigen.918 (d)
Nichtannahmebeschluss des BVerfG
In einem neuen (Nichtannahme-)Beschluss setzte sich die 3. Kammer des zweiten Senats des BVerfG nun explizit und ausführlich mit der Thematik des Surfverhaltens auseinander. Verfahrensgegenstand war ein Beschluss des AG Ellwangen (bestätigt durch das LG Ellwangen)919, das (u.a.) konkret die Überwachung und Aufzeichnung der gesamten Internetnutzung des Betroffenen anordnete.920 Das BVerfG folgte darin ausdrücklich nicht der Argumentation des Beschwerdeführers, dass „[e]ntscheidend für Kommunikation sei, dass ein Austausch von
916
917
918
919 920
im Internet durch Art. 10 des Grundgesetzes, S. 129 f. Noch unentschieden: Sieber, Straftaten und Strafverfolgung im Internet: Gutachten C zum 69. Deutschen Juristentag, S. C107. Sievers führt präzise den technischen Aspekt aus, dass sich die Datenpakete nach äußeren Merkmalen eben nicht in Bezug auf Inhalt ausdifferenzieren lassen, vgl. Sievers, Der Schutz der Kommunikation im Internet durch Art. 10 des Grundgesetzes, S. 130. Dazu auch schon in Abschnitt 2. auf Seite 155. Hermes in: Dreier, Grundgesetz, Art. 10 GG, Rn. 40; Gusy in: v. Mangoldt/Klein/Starck, Kommentar zum Grundgesetz, Art. 10 GG, Rn. 44; Seitz, Strafverfolgungsmaßnahmen im Internet, S. 258 f.; Kudlich, GA, 2011, S. 193 – 208ff. (S. 196); Meininghaus, Der Zugriff auf E-Mails im strafrechtlichen Ermittlungsverfahren, S. 64; Mit ausdrücklichem Verweis auf das Surfen und die gesamte Nutzung des Internetverkehrs: Störing, Strafprozessuale Zugriffsmöglichkeiten auf E-Mail-Kommunikation, S. 31. BVerfGE 125, 260, Rn. 192, wenn auch in anderem Kontext: „Da eine Unterscheidung zwischen Individual- und Massenkommunikation ohne eine der Schutzfunktion des Grundrechts zuwiderlaufende Anknüpfung an den Inhalt der jeweils übermittelten Information nicht möglich ist, ist bereits in der Speicherung der den Internetzugang als solchen betreffenden Daten ein Eingriff zu sehen, auch wenn sie Angaben über die aufgerufenen Internetseiten nicht enthalten“. LG Ellwangen, 1 Qs 130/12, juris. BVerfG, Nichtannahmebeschluss vom 06. Juli 2016, 2 BvR 1454/13, juris.
200
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Informationen zwischen Menschen stattfinde“921. Vielmehr geht es auch in dieser Sache von einem weiten Verständnis des Schutzbereichs des Telekommunikationsgeheimnisses aus.922 Es führt aus: „Unabhängig vom Übertragungsweg und der Übermittlungsform ist allein maßgeblich, dass die Informationen körperlos befördert werden und dass sie am Empfangsort wieder erzeugt werden können.“923
Für das Merkmal „Telekommunikation“ (eigentlich Telekommunikationsverkehr) kommt es demnach im Rahmen des Art. 10 I GG weder auf die technische Umsetzung noch auf den Inhalt und Empfängerkreis der Kommunikation an.924 Denn der Schutz der Vertraulichkeit knüpft gerade nicht an die Beteiligten der Kommunikation an, sondern an den Übermittlungsvorgang und das Medium.925 Das BVerfG sieht darüber hinaus das individuelle Element von Kommunikation auch deswegen gegeben, weil „willensgesteuert auf konkrete Kommunikationsinhalte zugegriffen wird“.926 Das ist freilich auch bei anerkannten Massenkommunikationsmitteln wie Radio und Fernsehen der Fall, insofern handelt es sich um ein wertloses Argument.927 Des Weiteren zieht es zur Begründung noch die Kompetenzregeln für „Telekommunikation“ in Art. 73 I Nr. 7 GG, Art. 80 II GG und Art. 87f I, II GG heran. Gegenstand dieses Kompetenzgebietes sei ebenfalls der gesamte Bereich des Internets (inkl. etwa Suchmaschinen und elektronischer Presse), was zusätzlich für ein weites Verständnis von „Telekommunikation“ im (gesamten) Verfassungsrecht spreche.928 (e)
Drohender Wertungswiderspruch
Es gibt allerdings davon abgesehen noch ein weiteres beachtliches Argument dogmatischer Natur, die gesamte Nutzung des Internet-Netzwerks als vom Telekommunikationsgeheimnis geschützt zu begreifen und nicht auf interpersonale Kommunikation zu beschränken. Andernfalls droht nämlich ein erheblicher Wertungswiderspruch. Man nehme an, der Datenaustausch über das Internet-Netzwerk, der nicht klassische, interpersonale Kommunikation betrifft, wie Online-Banking, E-Commerce 921 BVerfG, 2 BvR 1454/13, juris, Rn. 10. 922 Wie auch schon im Nichtannahmebeschluss vom 16.06.2009, nur mit anderer Stoßrichtung, vgl. BVerfGE 124, 43, 47. 923 BVerfG, 2 BvR 1454/13, juris, Rn. 35. 924 BVerfG, 2 BvR 1454/13, juris, Rn. 34. 925 BVerfG, 2 BvR 1454/13, juris, Rn. 36. 926 BVerfG, 2 BvR 1454/13, juris, Rn. 38. 927 Vgl. zu diesem Argumentationsstrang bereits: Abschnitt (cc) auf Seite 196. 928 BVerfG, 2 BvR 1454/13, juris, Rn. 30, 31.
I. Die Primärmaßnahme
201
etc., würde vom Provider quasi „von außen“ auf Verlangen der Strafverfolgungsbehörden herausgefiltert und ausgeleitet (soweit das technisch ohne inhaltliche Überprüfung überhaupt möglich sein sollte!),929 so griffe der Schutz von Art. 10 GG nicht, da es sich nach dieser Ansicht nicht um einen Telekommunikationsvorgang handeln würde. Gleichzeitig wäre das GVIiS nicht einschlägig, da das informationstechnische System des Betroffenen nicht tangiert wird.930 Es bliebe nur der Schutz durch das Recht auf informationelle Selbstbestimmung. Werden die gleichen Daten (erneut unabhängig von der technischen Umsetzbarkeit) aber per Infiltration des Endsystems des Betroffenen erhoben, greift das GVIiS mit Richtervorbehalt und den strengen Voraussetzungen. Auch wenn das Gefahrenpotential bei der Infiltration für den Grundrechtsträger natürlich deutlich höher ist, bliebe das sichtbar unbefriedigende Ergebnis, dass ein und dieselben Daten unter enorm unterschiedlichen Eingriffsvoraussetzungen erhoben werden könnten. (3)
Zusammenfassung: Reichweite des Schutzbereichs des Telekommunikationsgeheimnisses
Es lässt sich daher abschließend festhalten, dass der Schutzbereich von Art. 10 I GG weit und von interpersonaler Kommunikation losgelöst zu verstehen ist. Er umfasst demnach die gesamte Bandbreite der vorstellbaren Nutzung des InternetNetzwerks, soweit sie durch zumindest eine Person wenigstens entfernt initiiert wurde (auch wenn im konkreten Fall automatisiert, ohne aktuellen Willen und aktuelles Wissen des Betroffenen), ebenso wie Daten über die näheren Umstände dieser Nutzung. Es sei denn, es manifestiert sich objektiv, dass die Informationen an die Allgemeinheit adressiert sind. Objektiv manifestiert sich die Adressierung an die Allgemeinheit, wenn die Wahrnehmung der Information nicht in irgendeiner Form Zugangshindernissen ausgesetzt ist und auf dem dafür vorgesehenen Weg erfolgt. Der Schutzbereich von Art. 10 I GG ist auch insofern weit zu verstehen, dass auch die letzte (erste) Teilstrecke des Transportweges, nämlich das lokale Funknetzwerk, erfasst ist. Der Grund dafür liegt vornehmlich in der besonderen Schutzbedürftigkeit des Betroffenen aufgrund des technisch bedingten Mangels an Beherrschbarkeit des Vorgangs durch das notwendige Aus-der-Hand-geben der Informationen, auch wenn sie noch nicht an einen Betreiber übergeben worden sind. 929 Siehe dazu bereits Abschnitt 1. auf Seite 186. Aus technologischer Sicht hätte diese Maßnahme den Nachteil, dass sie kaum in der Lage wäre, mit SSL/TLS-verschlüsselten Datenpaketen umzugehen. 930 Auch wenn man das gesamte Internet-Netzwerk und damit auch den Knoten des Internet Service Providers als Teil des informationstechnischen Systems des Maßnahmeadressaten begreift, wird der Schutzbereich hier nicht verletzt, wenn der Provider die Daten von sich aus freiwillig ausleitet. Der Provider kann nicht die Integrität des (auch) eigenen informationstechnischen Systems verletzen.
202
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Im Ergebnis werden damit alle durch das lokale Netzwerk übermittelten Datenpakete (unabhängig von dem Inhalt) vom Schutzbereich des Fernmelde- bzw. Telekommunikationsgeheimnisses geschützt, soweit sie durch ein Zugangshindernis geschützt sind und/oder die Wahrnehmung nicht auf dem dafür vorgesehenen Weg erfolgt.931 Dieses Ergebnis überzeugt auch eingedenk ansonsten auftretender praktischer Abgrenzungsschwierigkeiten anderer Lösungsansätze und bereits absehbarer Entwicklungen auf dem Feld der Informationstechnologie (Artificial Intelligence, Sprachassistenten, Chat-Bots).
bb)
Eingriff in das Telekommunikationsgeheimnis
Für einen Eingriff in das Telekommunikationsgeheimnis genügt bereits jegliches unbefugte Eindringen staatlicher Behörden in den von Art. 10 I GG geschützten Bereich der unkörperlichen Übermittlung.932 Als unbefugtes Eindringen ist insbesondere „jede Kenntnisnahme, Aufzeichnung und Verwertung von kommunikativen Daten durch [...] staatliche Stellen„933 zu verstehen. Das Mitschneiden bzw. „Sniffen“ des im lokalen Funknetzwerk anfallenden Datenverkehrs durch die Strafverfolgungsbehörden stellt damit offenkundig einen Eingriff das Telekommunikationsgeheimnis dar.
b) Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, Art. 2 I i.V.m. Art. 1 I GG Denkbar wäre zudem, dass lokale Netzwerke bereits als informationstechnische Systeme betrachtet werden müssen. Bei einer derartigen Einschätzung könnte das Abhören lokaler Netzwerke den Schutzbereich des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (GVIiS) verletzen.934 In dem Fall wäre eine gesonderte Abgrenzung zum ebenfalls einschlägigen935 Art. 10 I GG notwendig. 931 Ausgenommen ist freilich die reine Maschine-zu-Maschine-Kommunikation, vgl. Abschnitt c) auf Seite 263 ff. 932 Durner in: Maunz/Dürig, Grundgesetz-Kommentar, Art. 10, Rn. 121; Jarass in: Jarass/Pieroth, GG, Art. 10, Rn. 11. 933 BVerfGE 85, 386, Rn. 51; BVerfGE 100, 313, Rn. 188. 934 Zum allgemeinen Inhalt des Schutzbereichs des GVIiS bereits oben in Abschnitt cc) auf Seite 164. 935 Siehe Abschnitt aa) auf Seite 189 ff.
I. Die Primärmaßnahme
aa)
Lokale Funknetzwerke als IT-Systeme
(1)
Netzwerkkomponenten als informationstechnisches System
203
Zu beantworten ist zunächst die Frage, ob auch lokale Netzwerke, konkreter nur jene Komponenten des Netzwerks, die der Signalübertragung dienen, wie Kabel, WLAN-Adapter oder DSL-Router, und nicht eigentliche Quelle oder Ziel des Datenaustauschs sind, wie Rechner, Smartphones, Sensoren etc., selbständig bereits als informationstechnische Systeme gesehen werden können.936 Eine konkrete Formulierung ganz zu Beginn in Randnummer 4 des BVerfG-Urteils vom 27.02.2008 könnte eine derartige Einschätzung zumindest nahelegen: „Das Internet ist ein elektronischer Verbund von Rechnernetzwerken. Es besteht damit aus informationstechnischen Systemen und kann zudem auch selbst als informationstechnisches System angesehen werden“.937
Allerdings ist diese Aussage des BVerfG im Kontext zu betrachten und kann nicht singulär herausgegriffen werden. Die Aussage findet sich direkt zu Beginn des Urteils und erfolgt lediglich im Zusammenhang mit der Beschreibung der durch die Verfassungsbeschwerde angegriffenen Normen. Bemerkenswert ist, dass im nachfolgenden Urteilstext eine konkrete Definition des Begriffs des informationstechnischen Systems fehlt, der Begriff vielmehr im Rahmen der Erörterung des Schutzbereichs des neuen GVIiS als gegeben vorausgesetzt wird. Festzustellen, was genau der Begriff umfasst, bereitet erhebliche Schwierigkeiten938 und lässt sich nur aus den weiteren Erwähnungen im Urteil schließen. So spricht das BVerfG davon, dass „informationstechnische Systeme zudem selbsttätig zahlreiche weitere Daten“ „erzeugen“, oder etwa, dass sich „im Arbeitsspeicher und auf den Speichermedien solcher Systeme eine Vielzahl von Daten [...] finden.“.939 Dieses Verständnis von informationstechnischen Systemen zieht sich durch das gesamte Urteil. So werden beispielhaft „solche Mobiltelefone [...], die über einen großen Funktionsumfang verfügen und personenbezogene Daten vielfältiger Art erfassen und speichern können“, angeführt.940 Das BVerfG scheint nur solche Systeme im Auge zu haben, die über eine hinreichende Speicher- und Verarbeitungskapazität verfügen.941 Die Bestimmung scheint also nach quantitativen Gesichtspunkten zu erfolgen.942 Mithin kann es sich bei denjenigen Netzwerkkomponenten, die lediglich dem Datentransport dienen, allein nicht um informationstechnische 936 So z.B. Böckenförde, JZ, 2008, S. 925 ff. (S. 928 u. 929). 937 Das vollständige Urteil inklusive Rn. 4 ist online auf der Seite des BVerfG unter https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/DE/2008/ 02/rs20080227_1bvr037007.html (Dezember 2017) einsehbar. 938 Gersdorf in: BeckOK, Informations- und Medienrecht, Art. 2, Rn. 25. 939 BVerfG NJW 2008, 822, Abs. 178. 940 BVerfG NJW 2008, 822, Abs. 203. 941 Eine derartige Vorstellung findet sich folglich auch in der Literatur, bspw. bei Dreier in: Dreier, Grundgesetz, Art. 2 I, Rn. 83. 942 Gersdorf in: BeckOK, Informations- und Medienrecht, Art. 2, Rn. 25.
204
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Systeme handeln. Dieser Befund ist sicherlich richtig für derartige Komponenten – zumindest solange sie isoliert auftreten.
(2)
Rechnernetze als informationstechnisches System
Fraglich ist, ob eine derartige isolierte Betrachtungsweise auch möglich ist, wenn diese Netzwerkkomponenten in ein Netzwerk mit funktionsumfänglicheren Geräten eingebunden sind, oder ob in diesem Fall nicht das Netzwerk in seiner Gesamtheit betrachtet werden muss. Das BVerfG sieht eine besondere Gefahr für den Bürger dann, „wenn solche Systeme miteinander vernetzt werden“,943 weil sie „weitreichende Rückschlüsse auf die Persönlichkeit des Nutzers „zulassen.944 Ferner sind nach dem BVerfG Systeme erfasst, „die allein oder in ihren technischen Vernetzungen personenbezogene Daten des Betroffenen in einem Umfang und in einer Vielfalt enthalten können, dass ein Zugriff auf das System es ermöglicht, einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen [...].“945
Bedenkt man, dass ein erheblicher Anteil personenbezogener Daten über jene Netzwerkkomponenten transportiert wird und sie gleichzeitig zusätzlich eigene personenbezogene Daten erzeugen, sprechen diese Aussagen des BVerfG wiederum deutlich für die Gesamtbetrachtung eines Rechnernetzes inklusive der für den Transport zuständigen Netzwerkkomponenten.946 Folgt man dieser Sichtweise konsequent, müsste sie, wie in der anfänglichen Bemerkung des BVerfG angedeutet, nicht nur für das lokale Netzwerk, sondern für das gesamte Internet-Netzwerk gelten. Demnach wäre bei jedem Zugriff auf die Transportwege des Internet-Netzwerks immer auch das GVIiS betroffen. Eine (zumindest teilweise) Eingrenzung kann dann freilich über das Kriterium der „Eigennutzung“ erfolgen.947 BVerfG NJW 2008, 822, Abs. 174. BVerfG NJW 2008, 822, Abs. 178. Ebenfalls in Abs. 203, BVerfG NJW 2008, 822, Abs. 203. So auch ausdrücklich im Bezug auf lokale Netzwerke: Hauser, Das IT-Grundrecht, S. 90 f.; Hornung, CR, 2008, S. 299 ff. (S. 302 f.). 947 Dazu Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, S. 154 ff. Der Vollständigkeit halber sei noch erwähnt, dass in Abs. 192 des Urteils vom 27.02.2008 das BVerfG ergänzend feststellt, dass bei der Messung der elektromagnetischen Abstrahlung Art. 13 einschlägig sein kann bzw. in Abs. 205 ausführt, dass das GVIiS in Bezug auf Zugangsdaten einschlägig sein kann. Das BVerfG nimmt damit Bezug auf die sogenannte „kompromittierende Abstrahlung“ technischer Geräte, die mittels Van-Eck-Phreaking empfangen werden kann. Bei den von WLAN-Adaptern absichtlich ausgesendeten und empfangenen elektromagnetischen Wellen handelt es sich allerdings nicht um eine derartige kompromittierende Abstrahlung.
943 944 945 946
I. Die Primärmaßnahme
bb)
205
Zwei Schutzrichtungen und Eingriffe in das GVIiS
Das BVerfG beschreibt die beiden unterschiedlichen Schutzrichtungen von ITSystemen, die Vertraulichkeits- und Integritätskomponente, und Eingriffe darin leider nur kurz am Rande und teilweise indirekt. Ein Eingriff in die Vertraulichkeitskomponente liegt vor, wenn das Interesse des Nutzers verletzt wird, dass „die von einem vom Schutzbereich erfassten informationstechnischen System erzeugten, verarbeiteten und gespeicherten Daten vertraulich bleiben.“948
Ein Eingriff in die Integritätskomponente hingegen ist dann anzunehmen, wenn „die Integrität des geschützten informationstechnischen Systems angetastet wird, indem auf das System so zugegriffen wird, dass dessen Leistungen, Funktionen und Speicherinhalte durch Dritte genutzt werden können“.949
Da die Primärmaßnahme von passiver Natur ist und von außen erfolgt, fehlt es jedoch an einem „Zugreifen auf ein IT-System“ in dem Sinne, dass die Leistungen etc. genutzt werden können. Insbesondere kommt es nicht zu irgendwie gearteten Manipulationen, Ergänzungen oder sonstigen Veränderungen der betroffenen Daten. Sie werden lediglich auch empfangen. Daher ist hier nicht die Integritätskomponente950, sondern hauptsächlich die Vertraulichkeitskomponente des Grundrechts betroffen Das Interesse der Behörden, sich durch die Primärmaßnahme gerade Kenntnis von den im lokalen Netzwerk transportierten Daten zu verschaffen und diese der Beweisverwertung zuzuführen, läuft zwangsweise dem Interesse des Betroffenen an der Vertraulichkeit der Daten zuwider. Ein hinreichender Eingriff in die zweite Schutzrichtung liegt somit auf der Hand. Durch das Mitschneiden und Speichern des Datenverkehrs eines lokalen Funknetzwerks wird damit in jedem Falle der Schutzbereich des GVIiS verletzt. Das bedeutet freilich nicht, dass das GVIiS mit seinen höheren Eingriffshürden immer zum Tragen kommt. Es könnte dann nicht einschlägig sein, wenn bereits Art. 10 GG einen hinreichenden Schutz gewährt und damit das GVIiS verdrängt.951 cc)
Abgrenzung von GVIiS zu Art. 10 I GG
Wie in den vorangegangenen Ausführungen zu den Schutzbereichen von Art. 10 I GG und GVIiS deutlich geworden sein dürfte, wird es zu einer vielfachen 948 949 950 951
BVerfGE 120, 274, Rn. 204. BVerfGE 120, 274, Rn. 204. Zur Integritätskomponente ausführlicher nachfolgend in Abschnitt (2) auf Seite 287. Diese Bestimmung des Konkurrenzverhältnisses lässt sich allerdings durchaus nicht einfach mit der Regel des Vorrangs der spezielleren Norm in Einklang bringen, vgl. Sachs, JuS, 2009, S. 1131 ff. (S. 1132).
206
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Überschneidung der Anwendungsgebiete kommen – gerade im Zusammenhang mit der Nutzung moderner Kommunikationsmittel. Eine saubere Abgrenzung der beiden Schutzbereiche wird grundsätzlich erhebliche Schwierigkeiten bereiten und oft von technischen Details abhängen.952 (1)
„Laufender Telekommunikationsvorgang“
Konkret hält das BVerfG zur Abgrenzungsfrage von GVIiS und Art. 10 I GG bereits zentral im Leitsatz des Urteils vom 27.02.2008 fest: „Soweit eine Ermächtigung sich auf eine staatliche Maßnahme beschränkt, durch welche die Inhalte und Umstände der laufenden Telekommunikation im Rechnernetz erhoben oder darauf bezogene Daten ausgewertet werden, ist der Eingriff an Art. 10 Abs. 1 GG zu messen.“953 Art. 10 GG soll sogar dann alleiniger Prüfungsmaßstab sein, wenn das informationstechnische System infiltriert wird, die Überwachungsmaßnahme aber „ausschließlich auf Daten aus einem laufenden Telekommunikationsvorgang beschränkt“ ist.954 Wie zuvor ausführlich begründet wurde, dürfte sämtlicher über das lokale Netzwerk transportierter Datenverkehr sowohl die Transportkomponente („unkörperliche Übermittlung von Informationen mit Hilfe des Telekommunikationsverkehrs“)955 als auch die Kommunikationskomponente („an individuelle Empfänger“)956 der Standarddefinition des BVerfG957 zum Schutzbereich des Telekommunikationsgeheimnisses erfüllen und damit unter den Schutz des Art. 10 I GG fallen. Im zitierten Urteil vom 27.02.2008, in dem das BVerfG erstmalig das GVIiS herleitet, nimmt es bei der Beschreibung des Konkurrenzverhältnisses allerdings gerade kaum Bezug auf seine Standarddefinition, sondern verwendet vor allem den Ausdruck „laufender Telekommunikationsvorgang“ zur Abgrenzung. Nimmt das BVerfG mit diesem speziellen Ausdruck nur Bezug auf seine Standardschutzbereichsdefinition, so dass bei Einschlägigkeit des Fernmeldegeheimnisses automatisch das GVIiS zurücktritt, oder möchte es durch den speziellen Begriff „laufende Telekommunikation“ das GVIiS nur in speziellen Fällen zurücktreten lassen? In dem Urteil lassen sich Hinweise finden, die darauf hindeuten und so im Widerspruch zu dem zuvor gefundenen Ergebnis stehen würden. Anders formuliert: Was bedeutet diese Abgrenzungsformulierung für die Maßnahme des Abhörens lokaler Funknetzwerke? Oder konkreter: Handelt es sich bei der 952 Dazu auch ausführlich im Rahmen der Sekundärmaßnahmen, vgl. insbesondere Abschnitt aa) auf Seite 301 ff. 953 BVerfG NJW 2008, 822. Das mutet angesichts der Regel des Vorrangs der spezielleren Norm freilich merkwürdig an, vgl. Sachs, JuS, 2009, S. 1131 ff. (S. 1132). 954 BVerfG NJW 2008, 822, Abs. 190. 955 Siehe dazu Abschnitt (1) auf Seite 189. 956 Siehe oben Abschnitt (2) auf Seite 194. 957 Vgl. Abschnitt aa) auf Seite 189.
I. Die Primärmaßnahme
207
Nutzung der gesamten Bandbreite des Internet-Netzwerks (auch) um „laufende Telekommunikation“? (2)
Nutzung der gesamten Bandbreite des Internet-Netzwerks als „laufende Telekommunikation“?
In dem Urteil vom 27.02.2008 hält der 1. Senat des BVerfG in Rn. 236 fest: „Zudem ist eine längerfristige Überwachung der Internetkommunikation [...] gegenüber einer einmaligen Erhebung von Kommunikationsinhalten und Kommunikationsumständen gleichfalls ein erheblich intensiverer Eingriff“.958 Diese Aussage lässt sich vom Wortlaut her in dem Zusammenhang dahingehend interpretieren, dass es einen Unterschied zwischen einer allgemeinen Nutzung des Internet-Netzwerks und einer „laufenden Kommunikation“ gibt. Abschwächend kann angeführt werden, dass das Gericht diese Aussage ausschließlich im Rahmen der Prüfung der Verhältnismäßigkeit im engeren Sinne trifft, neben weiteren Punkten zur Begründung der hohen Intensität der angegriffenen Norm des NWVerfSchG. So ist ein weiteres zentrales Argument für die hohe Intensität die Tatsache, dass es laut technischen Sachverständigen einen rein lesenden Zugriff bei der Infiltration des informationstechnischen Systems nicht gibt.959 Genau einem solchen rein lesenden Zugriff kommt allerdings die hier im Blickpunkt stehende Maßnahme des Abhörens des WLAN von außen sehr nahe, weil das Endgerät des Betroffenen gerade nicht vollständig infiltriert wird, sondern lediglich am Übertragungsweg angesetzt wird. Es liegt eben kein Vorgang von vergleichbarer Intensität vor. Man könnte deswegen schlussfolgern, dass aus dieser doch sehr konkreten Aussage des BVerfG nicht zwangsläufig abgeleitet werden kann, dass generell die Überwachung des gesamten Internetverkehrs für einen bestimmten Zeitraum ausschließlich in den Schutzbereich des GVIiS fällt. Lediglich wenn es mit dem längerfristigen Ausspähen des gesamten Endsystems des Betroffenen zusammenfällt, bedürfte es der hohen Hürden des GVIiS. Auch aus Perspektive der Vertraulichkeitserwartung dürfte die Schutzwürdigkeit bei der Infiltration nur des Übertragungsweges geringer sein als bei der Infiltration des Endsystems, weil durch den Vorgang des Sendens oder Empfangens bereits eine willentliche „Öffnung zur Außenwelt“960 erfolgt ist. In einer aktuellen Entscheidung zu den Ermittlungsbefugnissen des BKA zur Bekämpfung des Terrorismus tangiert wiederum der 1. Senat des BVerfG erneut 958 BVerfGE 120, 274, Rn. 236. 959 BVerfGE 124, 43, Rn. 240. Ebenso wenig ist technisch eine Beschränkung auf bestimmte Telekommunikationsvorgänge möglich, vgl. die Stellungnahme an das Bundesverfassungsgericht zum BKA-Gesetz und zum Einsatz von Staatstrojanern des CCC, S. 8 ff., abrufbar unter: https://www.ccc.de/system/uploads/189/original/ BKAG_Stellungnahme.pdf (Stand: Dezember 2017). 960 Britz, DÖV, 2008, S. 411 ff. (S. 414).
208
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
diese Frage, nämlich bei der Prüfung des § 20l BKAG, der die Telekommunikationsüberwachung regelt. Er macht allerdings kaum weitergehende Ausführungen und verwendet neben dem Ausdruck „laufender Telekommunikationsvorgang“ weitgehend den nahezu identischen Term „laufende Telekommunikation“.961 Allerdings enthält das Urteil erneut eine explizite Formulierung, die auf ein Verständnis des 1. Senats des BVerfG von „laufender Telekommunikation“ hindeutet, nach dem die Überwachung der allgemeinen Nutzung des Internets etwas anderes sei als Telekommunikationsüberwachung. So führt das Gericht aus, dass OnlineDurchsuchungen „ [...] unter Umständen durch deren Verknüpfung sowie das Nachoder Mitverfolgen der Bewegungen im Internet auch geheim gehaltene Schwächen und Neigungen erschließen können [...]“, während sich „[...] die Telekommunikationsüberwachung auf einzelne Akte unmittelbarer Kommunikation“ bezieht.962 Das BVerfG trifft diese Aussage allerdings wiederum im Zusammenhang mit dem Kernbereich privater Lebensgestaltung. Bei der Online-Durchsuchung sieht es die besondere Gefahr in der Verknüpfung dieser Informationen mit den äußerst umfangreichen Daten, die zusätzlich offline in den lokalen Speichern des Endgeräts des Betroffenen („gesamthaft über lange Zeit angesammelte Informationen“) zu finden sind. Gerade diese Kombination entfaltet das besondere Gefahrenpotential der Online-Durchsuchung. Es muss also auch daraus nicht zwangsläufig geschlossen werden, dass es sich bei der Nutzung des gesamten Spektrums des Internet-Netzwerks gerade nicht um „laufende Telekommunikation“ handeln kann. Endgültig Klarheit in diese teils widersprüchlichen Aussagen scheint nun der Beschluss der 3. Kammer des 2. Senats des BVerfG vom 06.07.2016 gebracht zu haben. In diesem Nichtannahmebeschluss erklärt das BVerfG ausdrücklich, allerdings ohne weitere Begründung und ohne Bezugnahme auf die zuvor vom ersten Senat getätigten Aussagen, und im Rahmen der Klärung des Konkurrenzverhältnisses, dass bei der Überwachung eines „laufenden Telekommunikationsvorgangs“ auch die Überwachung einer „laufenden Internetkommunikation“ erfasst sei.963 Damit dürfte nun abschließend geklärt sein, dass der Term „laufende Telekommunikation“ und seine Variationen nur Bezug auf die Standardschutzbereichsdefinition des Art. 10 I GG nehmen und insofern Gleichklang herrscht. Damit tritt, sofern das Telekommunikationsgeheimnis einschlägig ist und ausreichenden Schutz gewährt, immer automatisch das GVIiS zurück.964 961 962 963 964
BVerfG NJW 2016, 1781, Rn. 234. BVerfG NJW 2016, 1781, Rn. 238. BVerfG, 2 BvR 1454/13, juris, Rn. 41. Der Vollständigkeit halber soll noch Erwähnung finden, dass Buermeyer einen gänzlich anderen, interessanten Vorschlag im Bezug auf die Frage, ob es sich um laufende Telekommunikation handelt, unterbreitet, vgl. Buermeyer, StV, 2013, S. 470 ff. Er schlägt vor, die Art der Zugangsbeschränkung/Verschlüsselung zur Abgrenzung heranzuziehen. Er differenziert zwischen Inhaltsverschlüsselung (im TCP/IP-Referenzmodell auf Ebene der Anwendungsschicht angesiedelt, vgl. Abschnitt 2. auf Seite 43) und Transportverschlüsselung (im TCP/IP-Referenzmodell auf Ebene der Transportschicht
I. Die Primärmaßnahme
dd)
209
Zusammenfassung: Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, Art. 2 I i.V.m. Art. 1 I GG
Es lässt sich festhalten, dass wohl auch lokale Funknetzwerke (WLAN) als (eigene) informationstechnische Systeme begriffen werden müssen und deshalb grundsätzlich vom Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme geschützt werden. Allerdings wird dieser Schutz nur subsidiär gewährt. Er tritt zurück, soweit das Fernmeldegeheimnis ausreichenden Schutz gewährt. Das Telekommunikationsgeheimnis ist nun, trotz gegenteiliger Andeutungen des 1. Senats des BVerfG, auch ausdrücklich einschlägig, wenn die gesamte laufende Internetkommunikation im Fokus steht. Es bleibt also bis hierher dabei,965 dass das Fernmelde- bzw. Telekommunikationsgeheimnis in Art. 10 I GG alleiniger Prüfungsmaßstab ist für Eingriffe durch die Primärmaßnahme (das Abhören des WLAN) in die Vertraulichkeit der mit Hilfe von lokalen Funknetzwerken transportierten Daten. c)
Unverletzlichkeit der Wohnung, Art. 13 I GG
Der das lokale Funknetzwerk aufspannende Access Point dürfte sich in der Regel in einem umschlossenen Raum befinden, der zum längeren Aufenthalt benutzt wird.966 Daher könnte die Primärmaßnahme obendrein auch in den Schutzbereich von Art. 13 I GG eingreifen, der gerade ein Abwehrrecht zum Schutz der räumlichen Privatsphäre gewährt.967 Die Unverletzlichkeit der Wohnung kann nämlich nicht nur durch physisches Eindringen beeinträchtigt werden, sondern auch durch (unkörperliches) Eindringen in anderer Art und Weise mittels technischer Hilfsmittel, auch wenn sie von außerhalb der Wohnung eingesetzt werden.968 Diese Erweiterung des Schutzbereichs zielt vor allem auf die akustische oder optische Wohnraumüberwachung ab. Dabei wird von außen festgestellt, was innerhalb des schützenden Bereichs der Wohnung vor sich geht. Anders gestaltet sich die Sachlage allerdings bei dem Mitschneiden und Speichern des Datenverkehrs eines lokalen Funknetzwerks (Primärmaßnahme). Denn hierbei werden die Funkwellen des lokalen Netzwerks gerade über die Grenzen
965 966 967 968
angesiedelt). Wird die Verschlüsselung auf Ebene der Transportschicht eingesetzt, hat sie notwendig Bezug zur Kommunikation und es handelt sich um laufende Telekommunikation; erfolgt die Verschlüsselung auf der Ebene der Anwendungsschicht, wird das Endgerät als informationstechnisches System eingesetzt und das GVIiS ist einschlägig. Dieser Vorschlag hat allerdings zu sehr die Ausgangslage der Quellen-Telekommunikationsüberwachung im Auge, um hier relevant zu sein. Zum vorherigen Zwischenergebnis bereits Abschnitt (3) auf Seite 201. Allein schon wegen der Notwendigkeit eines Stromanschlusses sowie einer Verbindung zur Teilnehmeranschlussleitung (TAL) oder ähnlichem. Siehe bereits in Abschnitt dd) auf Seite 165. BVerfGE 109, 279, Abs. 108.
210
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
des geschützten Bereichs hinaus gesendet.969 Es wird also nur etwas von außen festgestellt, was auch außerhalb der Wohnung stattfindet. Dass durch den Mitschneidevorgang von Ereignissen (Daten) außerhalb der Wohnung auch auf Ereignisse (Daten) innerhalb der Wohnung geschlußfolgert werden kann, ist dabei zunächst ohne Belang, da der Schutzbereich von Art. 13 I GG grundsätzlich jenseits des geschützten Raumes endet.970 Der Betroffene verzichtet gewissermaßen auf den Schutz durch Art. 13 I GG, indem er eine Technologie benutzt, die den geschützten Bereich verlässt und in den öffentlichen Raum emittiert. Benutzt der Betroffene eine Technologie, die in den öffentlichen Raum sendet, trifft er eine entsprechende Entscheidung. Vergleichbar dürfen staatliche Stellen auch eine sehr laut geführte, außerhalb hörbare verbale Konversation wahrnehmen (Jedermann-Wahrnehmung ohne technische Hilfsmittel), weil in dem Fall die räumliche Privatsphäre nicht zum Schutz genutzt wird.971 Etwas anderes könnte sich aber durch einen Nebensatz in der Entscheidung des 1. Senats des Bundesverfassungsgerichts zum NWVerfSchG ergeben. Darin trifft der 1. Senat eine Aussage, die den Schutzbereich von Art. 13 I GG nochmals zu erweitern scheint. Demnach erfasst der Grundrechtsschutz des Art. 13 I GG auch „die Messung elektromagnetischer Abstrahlungen, mit der die Nutzung eines informationstechnischen Systems in der Wohnung überwacht werden kann“.972 Auf den ersten Blick könnte man meinen, das BVerfG habe damit ausdrücklich lokale Funknetzwerke, die selbst auch als informationstechnische Systeme qualifiziert werden können,973 im Visier gehabt. Denn ein WLAN transportiert die Informationen ebenfalls mit Hilfe elektromagnetischer Wellen. Allerdings wird an späterer Stelle im Urteil deutlich, welcher Sachverhalt tatsächlich adressiert war, nämlich die „Messung der elektromagnetischen Abstrahlung von Bildschirm oder Tastatur“.974 Das BVerfG spielt damit auf das sogenannte „Van-Eck-Phreaking“ an. Mit dieser Methode kann unbeabsichtigte elektromagnetische Abstrahlung (sog. kompromittierende Abstrahlung) von elektrischen Geräten gemessen und rekonstruiert werden.975 969 Für das „WLAN-Catching“ innerhalb der Wohnung würde damit etwas anderes gelten. Dies wird hier aber nicht betrachtet, da es auch aus technischer Perspektive wenig Sinn macht, vgl. auch Abschnitt 1. auf Seite 152. 970 Mit einer ähnlichen Argumentation bereits Jordan, Kriminalistik, 2005, S. 514 ff. (S. 515). 971 BVerfGE 109, 279, Abs. 171. 972 BVerfG NJW 2008, 822, Abs. 192. 973 Siehe Abschnitt b) auf Seite 202. 974 BVerfG NJW 2008, 822, Abs. 205. 975 Vgl. bspw. Kuhn, Compromising emanations: eavesdropping risks of computer displays, vgl. https://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-577.html (Stand: Dezember 2017). Bzgl. Tastaturen siehe: https://heise.de/-212494 (Stand: Dezember 2017).
I. Die Primärmaßnahme
211
Wie die Definition und auch die Verwendung des Wortes Abstrahlung im Urteil deutlich machen, geht es dabei um das unbeabsichtigte Aussenden von elektromagnetischen Wellen. Es handelt sich also auch hierbei eigentlich um das Erfassen eines Geschehens innerhalb des geschützten Bereichs, wie das Nutzen der Tastatur oder des Monitors in der Wohnung – möglich lediglich mit Hilfe von speziellen technischen Hilfsmitteln, da die Signale ansonsten außerhalb zu schwach für die Wahrnehmung wären. Die Situation gleicht dabei dem Einsatz von Richtmikrofonen von außen, um innen das gesprochene Wort zur Kenntnis zu nehmen. Anders hingegen bei der Verwendung von lokalen Funknetzwerken, hier werden die elektromagnetischen Wellen beabsichtigt und gezielt vom Access Point aus versendet bzw. empfangen (wie bei der lautstarken verbalen Konversation). Aus Gründen des Komforts wird das Aussenden über die Grenzen des Wohnbereichs bewusst in Kauf genommen bzw. sogar gezielt gewünscht.976 Anders ausgedrückt, liegt der Schutz von Art. 13 I GG in der besonderen Abschirmungsfunktion der Wohnung. Der Schutzbereich kann daher nur verletzt werden, wenn die räumlichen Barrieren wie Wände und Decken etc. als Wahrnehmungshindernis überwunden werden, was beim Zugriff auf Funknetzwerke gerade nicht der Fall ist – im Gegensatz zur akustischen oder optischen Wohnraumüberwachung.977 So greift etwa auch die Online-Durchsuchung eines Computers, der sich innerhalb einer Wohnung befindet, gerade nicht in die Unverletzlichkeit der Wohnung ein. Oder wie es das BVerfG explizit formuliert: „Soweit die Infiltration die Verbindung des betroffenen Rechners zu einem Rechnernetzwerk ausnutzt, lässt sie die durch die Abgrenzung der Wohnung vermittelte räumliche Privatsphäre unberührt“.978 Nichts anderes muss auch für jene Daten gelten, die nur innerhalb des lokalen Netzwerks, ohne Zugriff auf das Internet-Netzwerk (denkbar wären Druckaufträge an einen lokalen Netzwerkdrucker), zirkulieren.979 Kleih kommt auf einem anderen Weg zu der Einsicht, dass Art. 13 I GG nicht berührt ist. Nach ihm können die Funkwellen eines WLAN von jedermann ohne Verwendung technischer Mittel aufgefangen werden. Dafür muss er freilich den WLAN-Adapter in den Endgeräten als technisches Gerät begreifen, das „im Hinblick auf das Wohnungsgrundrecht nicht die Qualität eines technischen Mittels“ 976 Man denke nur an die Aufforderung der Provider an ihre Kunden, ihre Router zu teilen, WLAN-Hotspots einzurichten und anderen Kunden außerhalb der eigenen Wohnung zur Verfügung zu stellen, vgl. https://www.welt.de/wirtschaft/article156134793/Wennman-sein-WLAN-ploetzlich-mitaller-Welt-teilen-soll.html (Stand: Dezember 2017). 977 Sehr anschaulich von Böckenförde beschrieben, Böckenförde, JZ, 2008, S. 925 ff. (S. 926). 978 BVerfG NJW 2008, 822, Abs. 194. 979 Anders aber wohl Singelnstein, NStZ, 2012, S. 593 ff. (S. 599), der in diesem Fall von einer besonderen Vertraulichkeit ausgeht.
212
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
habe, weil der Einsatz dieser technischen Geräte gerade nicht den „räumlichgegenständlichen Bereich der Wohnung penetriere“.980 Sollte man dennoch die Ansicht vertreten, dass auch lokale Funknetzwerke noch in den Schutzbereich der Unverletzlichkeit der Wohnung fallen, wäre nicht nur Art. 13 I GG, sondern, wie zuvor festgestellt,981 auch Art. 10 I GG betroffen. Ein Eingriff in den Schutzbereich des Telekommunikationsgeheimnisses dürfte dann allerdings dem Eingriff in die räumliche Privatsphäre im Wege der Spezialität vorgehen.982 d)
Recht auf informationelle Selbstbestimmung, Art. 2 I i.V.m. Art. 1 I GG
Wegen des Bezugs zu personenbezogenen Daten ist ebenfalls das allgemeine Persönlichkeitsrechts in seiner Ausprägung als Recht auf informationelle Selbstbestimmung einschlägig.983 Die genaue Reichweite des Schutzbereichs kann hier dahinstehen, weil bereits Art. 10 I GG betroffen ist: „Das aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG folgende Recht auf informationelle Selbstbestimmung kommt neben Art. 10 GG nicht zur Anwendung. Bezogen auf die Telekommunikation enthält Art. 10 GG eine spezielle Garantie, die die allgemeine Vorschrift verdrängt“.984 Zu beachten ist jedoch, dass, soweit ein Eingriff in das Telekommunkationsgeheimnis eben auch personenbezogene Daten betrifft, die Grundsätze, die für Eingriffe in das Grundrecht auf informationelle Selbstbestimmung gelten (v.a. Normenbestimmtheit und Normenklarheit, Grundsatz der Zweckbindung, Verpflichtung zur Löschung etc.), auch auf Art. 10 I GG zu übertragen sind.985 e)
Zusammenfassung: Verfassungsrechtliche Vorgaben
Für die Primärmaßnahme ergibt sich aus verfassungsrechtlicher Sicht, dass sie durch das Mitschneiden und Speichern des Datenverkehrs eines lokalen Funknetzwerks (Abhören des WLAN) den Schutzbereich des Telekommunikationsge980 Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 224 ff. Genau genommen läuft diese Argumentation auf den identischen Punkt hinaus, dass die Funkwellen den Schutz der Wohnung verlassen. 981 Siehe Abschnitt aa) auf Seite 189. 982 Papier in: Maunz/Dürig, Grundgesetz-Kommentar, Art. 13, Rn. 146; Gornig in: v. Mangoldt/Klein/Starck, Kommentar zum Grundgesetz, Art. 13, Rn. 51. Vertreter einer abweichenden Ansicht, die Idealkonkurrenz annehmen, etwa Baldus in: BeckOK, Grundgesetz, Art. 10 GG, Rn. 73.1, noch in der 30. Auflage, seien auf den Exkurs in Fußnote 1163 auf Seite 242 verwiesen. 983 Für die Schutzbereichsdefinition siehe bereits Abschnitt aa) auf Seite 163. 984 BVerfGE 125, 260, Abs. 191; BVerfGE 124, 43, Abs. 49. 985 Mit weiteren Nachweisen: Gersdorf in: BeckOK, Informations- und Medienrecht, Art. 10, Rn. 45.
I. Die Primärmaßnahme
213
heimnisses verletzt und deswegen einer besonderen Rechtfertigung in Form einer speziellen gesetzlichen Ermächtigungsgrundlage bedarf. Denn der Schutzbereich von Art. 10 I GG ist weit zu verstehen. Geschützt ist der gesamte Übermittlungsweg, soweit eine auf einen technisch bedingten Mangel an Beherrschbarkeit beruhende besondere Schutzbedürftigkeit des Betroffenen besteht, was bei lokalen Funknetzwerken der Fall ist.986 Geschützt ist auch nicht-interpersonale Kommunikation. Umfasst ist demnach die gesamte Bandbreite der vorstellbaren Nutzung des lokalen Funknetzwerks, soweit sie durch zumindest eine Person wenigstens entfernt initiiert wurde (auch wenn im konkreten Fall automatisiert ohne aktuellen Willen und Wissen des Betroffenen). Es sei denn, die Wahrnehmung der übertragenen Informationen ist nicht in irgendeiner Form Zugangshindernissen ausgesetzt und erfolgt auf dem dafür vorgesehenen Weg.987 Die Primärmaßnahme greift auch in den Schutzbereich des Rechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ein, weil auch lokale Funknetzwerke (WLAN) als informationstechnische Systeme begriffen werden müssen. Allerdings tritt im Falle der Primärmaßnahme der Schutz durch das GVIiS hinter dem Schutz durch Art. 10 I GG zurück.988 Gleiches gilt für das Recht auf informationelle Selbstbestimmung. Es ergeben sich daraus allerdings besondere Anforderungen an die Eingriffsnorm.989 Der Schutzbereich der Unverletzlichkeit der Wohnung gem. Art. 13 I GG ist nach hier vertretener Auffassung nicht eröffnet.990 Das Fernmelde- bzw. Telekommunikationsgeheimnis in Art. 10 I GG ist damit alleiniger Prüfungsmaßstab für Eingriffe durch die Primärmaßnahme in der Form des Abhörens des WLAN in die Vertraulichkeit der mit Hilfe von lokalen Funknetzwerken transportierten Daten. Das bloße Abhören des WLAN bzw. WLAN-Catching weist damit als Maßnahme eine entscheidende Besonderheit gegenüber der Quellen-Telekommunikationsüberwachung auf. Weil das Endgerät des Betroffenen nicht infiltriert werden muss, ergibt sich auch nicht das Problem der schwer zu kontrollierenden technischen Umsetzung der Beschränkung der Überwachungsmaßnahme. Es muss also nicht speziell sichergestellt werden (wie auch immer!)991, dass nur ein „laufender 986 Abschnitt (1) auf Seite 189 ff. 987 Abschnitt (2) auf Seite 194 ff. Ausgenommen ist lediglich die reine Maschine-zuMaschine-Kommunikation, vgl. Abschnitt c) auf Seite 263 ff. 988 Abschnitt b) auf Seite 202 ff. 989 Abschnitt d) auf der vorherigen Seite ff. 990 Abschnitt c) auf Seite 209 ff. 991 Es sei hier noch einmal an die Probleme bzw. Unmöglichkeit einer Beschränkung auf bestimmte Telekommunikationsvorgänge erinnert, vgl. die Stellungnahme des CCC an das Bundesverfassungsgericht zum BKA-Gesetz und zum Einsatz von Staatstrojanern,
214
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Telekommunikationsvorgang“ betroffen ist, sondern ein solcher ist bei dieser Maßnahme nach dem hier entfalteten Verständnis des Begriffs per se betroffen.
3.
Strafprozessuale Zulässigkeit der Primärmaßnahme
Nachdem im vorangegangen Abschnitt der verfassungsrechtliche Rahmen für die staatliche Zwangsmaßnahme des Abhörens eines lokalen Funknetzwerkes abgesteckt wurde, kann im Folgenden gezielt anhand von Interpretation und Auslegung konkreter strafprozessualer Normen die Zulässigkeit der Primärmaßnahme geprüft werden. Eine derartig in Art. 10 I GG eingreifende Ermittlungsmaßnahme mit dem Ziel der Strafverfolgung bedarf, wie festgestellt, einer gesetzlichen Ermächtigungsgrundlage und dürfte daher nur dann von den Strafverfolgungsbehörden durchgeführt werden, wenn sie von einer entsprechenden Eingriffsbefugnis in der StPO gedeckt wäre.992 Das BVerfG hat 2009, konträr zur bis dato herrschenden Lehre,993 den Kreis der Normen erweitert, die einen Eingriff in das Fernmeldegeheimnis nach Art. 10 II 1 GG zu rechtfertigen vermögen.994 Es stellt explizit fest, dass es sich bei den Vorschriften des 8. Abschnitts des Ersten Buches der Strafprozessordnung „um Vorschriften über unterschiedliche strafprozessuale Maßnahmen, deren Anwendungsbereiche nicht durchgehend jeweils in spezifischer Weise auf die Reichweite spezieller Grundrechte abgestimmt sind“, handelt.995 Damit kommen als Rechtsgrundlage die Normen §§ 94, 99, 100, 100a I S. 1 StPO, sowie § 100a I S. 2 bzw. S. 3 StPO, aber auch die §§ 102, 110 III StPO996 in Betracht.997 Ebenso könnte § 100b I StPO einschlägig sein. Diese Vorschriften sollen im Folgenden auf ihre Tauglichkeit als Ermächtigungsgrundlage hin untersucht werden.998
992 993 994 995 996 997 998
S. 8 ff., abrufbar unter: https://www.ccc.de/system/uploads/189/original/BKAG_ Stellungnahme.pdf (Stand: Dezember 2017). Zu Gesetzesvorbehalt und Wesentlichkeitstheorie siehe Rudolphi in: Rudolphi/Frisch/Paeffgen/Rogall/Schlüchter/Wolter (Hrsg.), SK-StPO, 64. EL, 2009, Vorbem. § 94, Rn. 14, 17. Mit weiteren Nachweisen: Klein, NJW, 2009, S. 2996 ff. (S. 2998, Fn. 17); Gercke, StV, 2009, S. 624 ff. (S. 625, Fn. 29). BVerfGE 124, 43, Rn. 55 ff. BVerfGE 124, 43, Rn. 57. Vgl. Szebrowski, K & R, 2009, S. 563 ff. (S. 564). Die §§ 100c ff. StPO sind nur relevant, wenn man die Ansicht vertritt, dass durch die Primärmaßnahme Art. 13 I GG betroffen ist, vgl. Abschnitt c) auf Seite 209 und Fußnote 1163 auf Seite 242. Siehe bereits in Abschnitt b) auf Seite 169 zur Einordnung in den rechtlichen Handlungsrahmen und den potentiellen Ermächtigungsgrundlagen.
I. Die Primärmaßnahme
a)
215
Anwendbarkeit der §§ 94 ff. StPO?
Den Strafverfolgungsbehörden ist es gestattet, Gegenstände, die als Beweismittel für die Untersuchung von Bedeutung sein können, in Verwahrung zu nehmen oder in anderer Weise sicherzustellen, vgl. § 94 I StPO. Können die im WLAN transportierten Datenpakete als Gegenstände interpretiert werden, erscheint es auch nicht abwegig, das Mitschneiden und Speichern der Datenpakete als Sicherstellung bzw. Beschlagnahme aufzufassen. aa)
Daten als Gegenstände
In den §§ 94 ff. StPO ist von Gegenständen als Objekt der Eingriffsermächtigung die Rede. Damit fallen nach traditionellem Verständnis körperliche Gegenstände unter die Norm. Ob die hier relevanten unkörperlichen Daten im lokalen Funknetzwerk überhaupt taugliches Objekt dieser Maßnahme sein können, ist nicht ohne Weiteres ersichtlich. Eine körperliche Inbesitznahme der Daten in dem Sinne, dass dem Betroffenen der Gewahrsam entzogen wird, ist jedenfalls nicht möglich, denn für den Betroffenen bleiben die Daten weiter uneingeschränkt nutzbar. In dem hier einschlägigen Szenario werden die im Ziel-Netzwerk transferierten Daten nicht einmal im klassischen Sinn kopiert, sondern von einer weiteren, vom Betreiber des lokalen Netzwerks nicht vorgesehenen Partei (den Strafverfolgungsbehörden) zusätzlich empfangen und gespeichert. Betrachtet man den Speichervorgang näher, stellt man fest, dass auf einer herkömmlichen Festplatte (HDD) ein Magnetkopf über eine hartmagnetisch beschichtete, rotierende Scheibe schwebt und beim Überschweben Bereiche der beschichteten Scheibe unterschiedlich magnetisiert. Auch nachdem sich der Magnetkopf weiterbewegt hat, behalten die Teilchen auf der Scheibe ihre magnetische Orientierung bei. Die Teilchen haben also nach dem Schreibvorgang eine veränderte magnetische Flussdichte. Diese Remanenz (Restmagnetisierung) kann durch Abtasten ausgelesen werden. Bei modernen Solid State Drives (SSD) mit Flash-Speicher999 erfolgt das Schreiben und Lesen durch Herstellen bzw. Auslesen einer elektrischer Ladung in speziellen singulären Speicherzellen.1000 Am ehesten könnte man daher noch von der Schaffung eines neuen Gegenstands1001 als Verkörperung der elektronischen Daten im Herrschaftsbereich der Strafverfolgungsbehörden sprechen.1002 Ein klassischer Fall der Beschlagnahme würde damit allerdings ausscheiden. 999 Wegen der größeren Speicherkapazität in der Regel mit NAND-Flash. 1000 Dabei überwinden Elektronen eine isolierende Oxidschicht durch den nur in der Quantenmechanik, nicht aber in der klassischen Physik erklärbaren sogenannten Tunneleffekt. 1001 Im Sinne von: Neuer Gegenstand = bisheriger Gegenstand mit neuen Eigenschaften. 1002 So Wohlers in: Wolter (Hrsg.), SK-StPO, Band II, 2016, § 94, Rn. 26.
216
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Die inzwischen wohl herrschende Meinung stützt dennoch das Kopieren von Daten auf die §§ 94 ff. StPO mit der Begründung, dass es sich lediglich um ein Minus zu der Befugnis handelt, den Datenträger selbst mit den darauf enthaltenen elektronischen Daten zu beschlagnahmen.1003 Diese Argumentation fruchtet hier freilich nur dann, wenn die (im lokalen Netzwerk regulär transportierten) Daten letztendlich auch tatsächlich auf einem Datenträger gespeichert werden, der beschlagnahmt werden könnte. Vielfach sind die lokalen im Netzwerk transportierten (Inhalts-)Daten aber flüchtig und/oder werden auf dem jeweiligen Endsystem des Betroffenen gar nicht endgespeichert oder sie befinden sich ganz verteilt auf Servern über das Internet-Netzwerk. In einem solchen Fall müsste man die zur Verarbeitung der Daten notwendige, temporäre Zwischenspeicherung der Daten im flüchtigen Arbeitsspeicher des Endsystems gleichsetzen mit dem dauerhaften Speichern auf einem beschlagnahmefähigen Endspeicher. Das erscheint konstruiert, denn oftmals dürfte sich in der Praxis der Arbeitsspeicher nach Beschlagnahme durch die Strafverfolgungsbehörden kaum mit dem gleichen Informationsgehalt auslesen lassen, entweder weil die Daten von Interesse bereits überschrieben worden sind bzw. durch das Kappen der Energieversorgung in der Zwischenzeit gleich ganz verloren gegangen sind oder auch weil die Daten nur auf einem Server, nicht aber auf dem Endgerät des Nutzers gespeichert sind. Die Beschlagnahme des Datenträgers selbst liefert also kaum die gleiche Informationsfülle wie das Aufzeichnen der im lokalen Funknetzwerk transportierten Daten. Daher kann das Mitschneiden der transportieren Daten hier auch nur schwer als ein Minus zur Beschlagnahme des Datenträgers gesehen werden. Das erläuterte Szenario macht auch deutlich, dass diese Ansicht, die Beschlagnahme elektronischer Daten generell unter den Voraussetzungen der §§ 94 ff. StPO zu fassen, auf einer Argumentation fußt, die bei näherer Betrachtung weniger stringent ist, als sie auf den ersten Blick erscheinen mag, und zumindest eine Einschränkung erfordert. Demnach dürften mit diesem Argument präzise formuliert nur persistent gespeicherte elektronische Daten taugliches Objekt einer Beschlagnahme und Sicherstellung sein, nicht aber flüchtige elektronische Daten. Auch das BVerfG hat die Möglichkeit gebilligt, grundsätzlich nichtkörperliche Gegenstände direkt unter den Gegenstandsbegriff von § 94 StPO zu fassen,1004 auch wenn es dabei immer nur von gespeicherten Daten spricht.1005 1003 Exemplarisch: Wohlers in: Wolter (Hrsg.), SK-StPO, Band II, 2016, § 94, Rn. 26; Menges in: Löwe-Rosenberg, StPO, § 94, Rn. 14; jeweils mit weiteren Nachweisen. Teilweise werden elektronische Daten auch bereits direkt als tauglicher Gegenstand der Beschlagnahme betrachtet, vgl. mit einer Aufstellung an Nachweisen Eschelbach in: Satzger/Schluckebier/Widmaier, StPO, § 94, Rn. 7. Ablehnend z.B.: Neuhöfer, JR, 2015, S. 21 ff. (S. 24 ff.) m.w.N. 1004 BVerfGE 113, 29, Rn. 100 und BVerfGE 124, 43, Rn. 63. 1005 Vgl. BVerfGE 113, 29, Rn. 98.
I. Die Primärmaßnahme
bb)
217
Behandlung der beim Provider zwischengespeicherten E-Mails in der Rechtsprechung des BVerfG
In einer der Praxis den Weg weisenden Entscheidung setzt sich das BVerfG am 16.06.20091006 mit der Behandlung von E-Mails auseinander, die während des Übertragungsprozesses vom Sender an den Empfänger protokollgemäß auf einem der Mailserver des E-Mail-Dienstleistungsanbieters zwischengespeichert werden (müssen).1007 Es kommt zu dem überraschenden Schluss, dass die Rechtfertigung eines Eingriffs in das Telekommunikationsgeheimnis des Art. 10 GG nicht nur, wie bisher weitgehend angenommen, über § 100a StPO, sondern auch über die §§ 94 ff. StPO möglich sei. Weil das BVerfG dabei in Fortsetzung seiner bisher verfolgten Linie die Heimlichkeit der Maßnahme als maßgebliches Kriterium für die zur Rechtfertigung heranzuziehende Norm begreift1008 und die §§ 94 ff. StPO nach einhelliger Meinung nur offene (und punktuelle) Maßnahmen gestatten,1009 muss das BVerfG (und der sich in einem weiteren Urteil anschließende BGH)1010 die Beschlagnahme der lediglich zwischengespeicherten E-Mails beim E-Mail-Dienstleistungsanbieter mit (wohl in der Praxis erst anschließender!)1011 Information des Betroffenen noch als offene, punktuelle Maßnahme sehen, um zu einer Anwendung der §§ 94 ff. StPO zu gelangen. In diesem Nichtannahmebeschluss führt das BVerfG aus, dass auf dem Server des Dienstleistungsanbieters zwischengespeicherte E-Mails (ohne Unterscheidung, ob gelesen oder ungelesen) zwar von Art. 10 I GG geschützt seien,1012 eine offene Beschlagnahme aber dennoch unter Durchbrechung des Art. 10 GG auf die §§ 94 ff. StPO gestützt werden könne.1013 Dessen geringe Eingriffsschwelle versucht das BVerfG freilich mit einer Einzelfallprüfung der Verhältnismäßigkeit zu korrigieren (z.B. durch eine Eingrenzung des E-Mail-Bestandes nach Verfahrensrelevanz).1014 1006 1007 1008 1009
1010 1011 1012 1013 1014
Wie bereits der BGH zweieinhalb Monate zuvor. BVerfGE 124, 43. Klein, NJW, 2009, S. 2996 ff. (S. 2998). Exemplarisch: Schmitt in: Meyer-Goßner/Schmitt, StPO, § 94, Rn. 16a; Wohlers in: Wolter (Hrsg.), SK-StPO, Band II, 2016, Vorbem. §§ 94 ff., Rn. 5; Eschelbach in: Satzger/Schluckebier/Widmaier, StPO, § 94, Rn. 1. Der BGH präzisiert zudem die Ausführungen des BVerfG zur Verhältnismäßigkeit und der Benachrichtigungspflicht, vgl. BGH NJW 2010, 1297. Dem entgegen aber: BGH StV 2018, 72, 73. BVerfGE 124, 43, Rn. 42 ff. Vgl. BVerfGE 124, 43, Rn. 69 und Rn. 76. Nunmehr auch: BGH StV 2018, 72, 73. Vgl. BVerfGE 124, 43, Rn. 82 ff. Dieser Beschluss wurde in nicht unerheblichem Maße kritisiert, zum einen wegen der Trennung von Art. 10 GG und der korrespondierenden Eingriffsnorm § 100a StPO, vgl. mit weiteren Nachweisen Krüger, MMR, 2009, S. 680 – 683ff. (682), zum anderen weil die Maßnahme gar nicht mit anderen offenen Maßnahmen vergleichbar sei, da eine Anwesenheit des Betroffenen gerade nicht möglich ist, vgl. z.B. Brunst, CR, 2009, S. 591 ff. (592), und zudem aus den §§ 94 ff. StPO nicht eindeutig hervorginge, dass die Maßnahme auch gegenüber dem Nutzer offen erfolgen muss und nicht nur der E-Mail-Dienstleistungsanbieter als
218
cc)
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Übertragung der Vorgaben auf andere Daten und differente Übertragungsphasen?
So eindeutig dieser Beschluss für den konkreten Fall der Übertragung von EMails vom Ergebnis her ist, bleibt leider unklar, wie das BVerfG dogmatisch auf das gefundene Ergebnis kommt. Entsprechend schwierig gestaltet sich das Ziehen weiterer Schlussfolgerungen für ähnlich gelagerte Fälle von Daten auf dem Übertragungsweg (wie das Abhören des WLAN) aus dem Beschluss. Im Rahmen der Prüfung der Anwendbarkeit von §§ 99, 100 StPO wird der Frage detaillierter nachgegangen (siehe Abschnitt aa) auf Seite 220 ff.). An diesem Punkt genügt es jedoch zu konstatieren, dass es sich bei der in dieser Passage im Mittelpunkt stehenden Primärmaßnahme definitionsgemäß gerade um eine gezielt heimliche und einen bestimmten Zeitraum andauernde Maßnahme handelt, so dass sich das Abhören des WLAN nach der Entscheidung des BVerfG keinesfalls auf die §§ 94 StPO stützen lässt. b)
Anwendbarkeit von § 102 StPO?
Aus dem gleichen Grund wie die §§ 94 ff. StPO scheidet damit auch § 102 StPO von vornherein als einschlägige Ermächtigungsgrundlage für das Abhören des WLAN aus. Denn die Durchsuchung gem. § 102 StPO ist eine offene Ermittlungsmaßnahme, die in nicht unerheblichem Maße von der Anwesenheit der Ermittlungspersonen bestimmt wird, so dass ein verdeckter Zugriff, wie der hier untersuchte, sich nicht auf diese Norm stützen lässt.1015 c)
Anwendbarkeit von § 110 III StPO?
§ 110 III StPO, der die Durchsicht eines elektronischen Speichermediums regelt, könnte vom Wortlaut her auch das Abhören lokaler Funknetzwerke erfassen. Das Verfahren der Durchsicht gem. § 110 StPO dient der Prüfung der Beweisgeeignetheit von Informationen1016 und dehnt dafür die (offene) Durchsuchung um den Zeitraum der Durchsicht aus.1017 Bei der Durchsicht handelt es sich demnach ebenfalls um eine offene Maßnahme.1018 § 110 III StPO erweitert die Durchsicht von „Papieren“ auf räumlich getrennte Speichermedien. Grundüberlegung dabei ist, dass die Auslagerung der Daten
1015 1016 1017 1018
Herausgebender der Betroffene der Maßnahme ist, sondern auch der Nutzer, vgl. Brodowski, JR, 2009, S. 402 ff. (S. 407). Wohlers/Jäger in: Wolter (Hrsg.), SK-StPO, Band II, 2016, § 102, Rn. 16, Schmitt in: Meyer-Goßner/Schmitt, StPO, § 102, Rn. 1, Bär in: v. Heintschel-Heinegg/Bockemühl (Hrsg.), KMR, StPO, § 100a, Rn. 67. Wohlers/Jäger in: Wolter (Hrsg.), SK-StPO, Band II, 2016, § 110, Rn. 1. Wohlers/Jäger in: Wolter (Hrsg.), SK-StPO, Band II, 2016, § 110, Rn. 6. Bruns in: Hanich (Hrsg.), KK-StPO, § 110, Rn. 8, Obenhaus, NJW, 2010, S. 651 ff. (S. 653).
I. Die Primärmaßnahme
219
in die „Cloud“ der lokalen Speicherung gleicht.1019 Daher sind die weiteren Voraussetzungen für einen derartigen Zugriff, dass von einem bei der Durchsuchung vorgefundenen Endgerät auf das externe Speichermedium über den technisch dafür vorgesehenen Weg1020 zugegriffen werden kann und die Auslagerung vom Betroffenen selbst veranlasst wurde.1021 Bei der hier untersuchten Maßnahme wird aber gerade nicht von einem der Endgeräte des Betroffenen und auch nicht auf dem technisch dafür vorgesehenen Weg zugegriffen. Ob bei einem Zugriff im Rahmen des § 110 III StPO eine geschlossene Zugangssperre von den Strafverfolgungsbehörden selbständig überwunden werden darf (z.B. durch ein nicht vorgefundenes, aber durch einen Brute-Force-Angriff1022 erlangtes Passwort), ist umstritten.1023 Einigkeit besteht aber darin, dass die Vorschrift zum einen keinen heimlichen Zugriff auf Datenbestände, zum anderen nur punktuelle Zugriffe, aber keine längerfristige Überwachung erlaubt,1024 und insoweit gerade kein „staatliches Hacking“ gestattet.1025 Damit stellt § 110 III StPO ebenso wenig eine taugliche Anspruchsgrundlage für den Zugriff auf die im lokalen Funknetzwerk transportierten Datenpakete dar.
d)
Anwendbarkeit der §§ 99, 100 StPO?
Die Vorschriften zur Postbeschlagnahme gem. §§ 99, 100 StPO erlauben im Gegensatz zu den zuvor analysierten Vorschriften auch verdeckte Maßnahmen1026 (verdeckt gegenüber dem Beschuldigten als Grundrechtsbetroffenem, offen allerdings gegenüber dem Dienstleistungserbringer)1027. Da sie zudem einen Eingriff in Art. 10 I GG zu rechtfertigen vermögen,1028 kämen sie grundsätzlich als Rechtsgrundlage für die hier untersuchte Primärmaßnahme in Frage. Die Normen gestatten die Beschlagnahme der an den Beschuldigten gerichteten Postsendungen und Telegramme, die sich im Gewahrsam von Personen oder Unternehmen befinden, die geschäftsmäßig Post- oder Telekommunikationsdienste erbringen 1019 1020 1021 1022 1023 1024 1025 1026 1027 1028
Brodowski, JR, 2009, S. 402 ff. (S. 408). Szebrowski, K & R, 2009, S. 563 ff. (S. 564). Brodowski, JR, 2009, S. 402 ff. (S. 408). Siehe Abschnitt 1. auf Seite 62. Dafür z.B. Schmitt in: Meyer-Goßner/Schmitt, StPO, § 110, Rn. 6 mit weiteren Nachweisen, a.A. etwa Brodowski/Eisenmenger, ZD, 2014, S. 119 ff. (S. 123). Schmitt in: Meyer-Goßner/Schmitt, StPO, § 110, Rn. 6, Hegmann in: BeckOK, StPO, § 110, Rn. 13, Brodowski, JR, 2009, S. 402 ff. (S. 408). Szebrowski, K & R, 2009, S. 563 ff. (S. 564). Beispielhaft: Bär in: v. Heintschel-Heinegg/Bockemühl (Hrsg.), KMR, StPO, § 100a, Rn. 29c. Klein, NJW, 2009, S. 2996 ff. (S. 2998). Dazu bereits in Abschnitt 3. auf Seite 214.
220
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
oder daran mitwirken, vgl. § 99 StPO. Wie schon bei § 94 StPO wurde der Anwendungsbereich über den Wortlaut der Norm hinaus auf Daten erweitert.1029 aa)
Behandlung der beim Provider zwischengespeicherten E-Mails in der Rechtsprechung durch das BVerfG und den BGH
An dieser Stelle sei erneut der Nichtannahmebeschluss des Bundesverfassungsgerichts vom 16.06.2009.1030 aufgegriffen.1031 Darin führt es für das Strafprozessrecht allein die Heimlichkeit der Maßnahme als maßgebliches Kriterium für die zur Rechtfertigung heranzuziehende StPO-Norm bei einem Zugriff auf Daten in der Übertragungsphase an.1032 Im Zusammenhang mit dem Abhören lokaler Funknetzwerke ist aber insbesondere das Verhältnis zu „Telekommunikation“ auf strafprozessualer Ebene relevant. Dazu äußert sich das Gericht nicht. Während für die Abgrenzung von §§ 94 ff. StPO und § 100a StPO die Heimlichkeit der Maßnahme als Kriterium herangezogen werden kann (wie hier im Rahmen der Prüfung der Anwendbarkeit von §§ 94 ff.StPO auch getan)1033, versagt dieses Merkmal an dieser Stelle bei der Abgrenzung zwischen § 100a StPO und §§ 99, 100 StPO allerdings völlig. Das BVerfG gibt bezüglich dieser Fragestellung im Beschluss auch keine weiteren Hinweise. Insbesondere lässt es aus dogmatischer Sicht ungeklärt, ob es sich in der ruhenden Phase der Zwischenspeicherung (noch) um „Telekommunikation“ im Sinne der Strafprozessordnung handelt oder in dieser Phase kein Telekommunikationsvorgang (mehr) gegeben ist. Gestattet § 94 StPO (respektive § 99 StPO) mit dem Beschluss also auch den Zugriff auf „Telekommunikation“ (zumindest wenn es sich nicht um „laufende“ handelt) oder sind die §§ 94 ff. StPO überhaupt nur anwendbar, weil der Vorgang unterbrochen ist, also gerade keine „Telekommunikation“ vorliegt? Ist ein Eingriff in einen Telekommunikationsprozess weiterhin wie bisher gemeinhin angenommen ausschließlich über § 100a (§§ 100g, 100h) StPO möglich oder neuerdings eben auch über die §§ 94 ff. StPO bzw. §§ 99, 100 StPO? Die Interpretationen in der auf den BVerfG-Beschluss folgenden Literatur sind entsprechend unterschiedlich. Einige Kommentatoren verneinen das Vorliegen von „Telekommunikation“ in der Phase der Zwischenspeicherung und gelangen so zur Anwendbarkeit von § 94 StPO bzw. § 99 StPO,1034 andere betrachten hingegen auch diese Phase als „Telekommunikation“ und erachten daher andere Kriterien zur 1029 Auf E-Mails: BGH NStZ 2009, 397 ff.; auf Nachrichten in sozialen Netzwerken: AG Reutlingen CR 2012, 193. 1030 BVerfGE 124, 43. 1031 Dazu bereits in Abschnitt bb) auf Seite 217. 1032 BVerfGE 124, 43, Abs. 69. 1033 Siehe Abschnitt cc) auf Seite 218. 1034 Zum Beispiel Graf in: BeckOK, StPO, § 99 Rn. 12; Eschelbach in: Satzger/Schluckebier/Widmaier, StPO, § 99, Rn. 14.
I. Die Primärmaßnahme
221
Abgrenzung zwischen §§ 94 ff. (§§ 99,100) StPO und § 100a StPO als notwendig. Brodowski zum Beispiel grenzt vornehmlich nach Interessenlage, potentiellen Angriffsvektoren und Effektivitätsüberlegungen ab.1035 Nach Hilgendorf/Valerius liegt zwar ein „Telekommunikationsvorgang“ vor, aber in Ermangelung einer Dynamik fehle es am Kriterium der „Überwachung“, so dass deswegen § 100a I S. 1 StPO nicht einschlägig sei.1036 Nach Bär hat in der Phase der Zwischenspeicherung das Unternehmen Gewahrsam begründet.1037 In dieser „Verkörperung“ der E-Mails beim Anbieter sieht er das entscheidende Abgrenzungskriterium zu § 100a I S. 1 StPO. Der 1. Senat des BGH1038 hat sich ebenfalls mit der Behandlung eines heimlichen Zugriffs auf E-Mails in der Übertragungsphase befasst.1039 In seinem Beschluss vom 31.03.2009 gestattete er die heimliche Sicherstellung von E-Mails beim Provider unter den Voraussetzungen der §§ 99, 100 StPO. Zu dem Verhältnis zu Telekommunikation i.S.d. Strafprozessordnung hat sich der Bundesgerichtshof im Gegensatz zum BVerfG in zwei Beschlüssen eindeutiger positioniert. Zweieinhalb Monate vor dem BVerfG und fünf Monate später erneut hat er in seinen Beschlüssen ausdrücklich ausgeführt, dass in der Phase der Zwischenspeicherung aus strafprozessualer Sicht kein Telekommunikationsvorgang mehr gegeben sei.1040 Keine Aussage trifft der BGH allerdings in beiden Beschlüssen dazu, ob die von ihm auf § 99 StPO gestützte (verdeckte) Maßnahme ebenfalls nur einen punktuellen Zugriff betrifft oder ob es sich um eine länger andauernde Maßnahme (wie das Abhören des WLAN) handeln kann. Die Praxis interpretiert das Verdikt dahingehend, dass auch die Überwachung des E-Mail-Accounts über einen gewissen Zeitraum auf § 99 StPO gestützt werden kann.1041 Erfasst wären demnach auch all diejenigen (zukünftigen) E-Mails, die erst nach der entsprechenden richterlichen Anordnung an den Betroffenen versendet werden.1042 Das kann zu dem interessanten Ergebnis führen, dass die Voraussetzungen für den (verdeckten) Zugriff auf einzelne, erwartete (zukünftige) E-Mails höher sind als für das offene (einmalige) Abgreifen des gesamten E-Mail-Bestandes.1043 1035 1036 1037 1038 1039 1040 1041 1042 1043
Brodowski, JR, 2009, S. 402 ff. (407). Hilgendorf/Valerius, Computer- und Internetstrafrecht, S. 231, Rn. 781. Bär in: v. Heintschel-Heinegg/Bockemühl (Hrsg.), KMR, StPO, § 100a Rn. 29c. BGH NStZ 2009, 397 ff. Dass dem Beschluss ein verdeckter Eingriff zu Grunde liegt, geht nicht ohne Weiteres aus dem Wortlaut hervor, siehe aber Szebrowski, K & R, 2009, S. 563 ff. (S. 564) und Brodowski, JR, 2009, S. 402 ff. (S. 402 und 407). BGH NStZ 2009, 397, 398 und BGH NJW 2010, 1297, 1298. Für einen Zeitraum von 3 Monaten: Das AG Hildesheim und dessen ermittlungsrichterliche Anordnung bestätigend das LG Hildesheim, vgl. LG Hildesheim Wistra 2010, 414. Brandt/Kukla, Wistra, 2010, S. 415 ff. (S. 415). Brunst, CR, 2009, S. 591 ff. (S. 592). Eine höchstrichterliche Klarstellung fehlt bis dato, vgl. auch Graf in: BeckOK, StPO, § 99 StPO, Rn. 12.
222
bb)
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Übertragung der Vorgaben auf andere Kommunikationsanwendungen?
Die Bedeutung dieses Beschlusses und die Klärung der Fragestellung, wann ein Telekommunikationsvorgang vorliegt und wann nicht (mehr) bzw. mit welcher Rechtsgrundlage und unter welchen Voraussetzungen der Zugriff auf „Telekommunikation“ erfolgen darf, dürfte weit über den bloßen Anwendungsfall von zwischengespeicherten E-Mail hinausgehen und angesichts der aktuellen Entwicklung hin zu deutlich mehr Anwendungen mit „Zwischenspeicherung“ stetig zunehmen. Denn die Tendenz der Internetdienstleistungsanbieter geht dahin, immer mehr Internetservices (von Kommunikationsanwendungen und sozialen Netzwerken über Dienste zur Foto-/Bilderverwaltung, Services zum gemeinsamen Brainstorming oder Arbeiten an einem Dokument bis hin zu Diensten zur Erstellung von Notizen und To-Do-Listen, von Software as a Service [SaaS] ganz zu schweigen) „cloud-basiert“ mit entsprechender Zwischenspeicherung oder sogar Endspeicherung auf dem Server des Anbieters zur Verfügung zu stellen, um es dem Nutzer zu ermöglichen, jederzeit und von verschiedenen Endgeräten (freilich gesondert zugangsgeschützt, so dass § 110 III StPO oft nicht einschlägig sein dürfte) darauf zugreifen zu können.1044 Einen kleinen Vorgeschmack darauf bietet das AG Reutlingen. Es überträgt die E-Mail-Rechtsprechung auf soziale Netzwerke und stützt in seinem Beschluss vom 31.10.2011 den Zugriff auf die Nachrichten des sozialen Netzwerks „Facebook“ ebenfalls auf § 99 StPO und geht dabei, wie der BGH, davon aus, dass eine „aktuell andauernde Telekommunikation“ im Moment der Zwischenspeicherung nicht vorliegt.1045 Damit ist gezeigt, dass sich grundsätzlich der Zugriff wohl auch auf andere Daten als E-Mails auf die §§ 99, 100 StPO stützen lässt. cc)
Bewertung der von der Rechtsprechung entwickelten Ergebnisse
Betrachtet man dieses maßgeblich von der Rechtsprechung entwickelte Ergebnis (auch Anwendung von §§ 94 ff. StPO bzw. §§ 99,100 StPO zur Durchbrechung von Art. 10 GG, Unterscheidung von dynamischer Übertragungsphase und ruhender Zwischenspeicherungsphase) aus einiger Distanz, werden deutliche Wertungswidersprüche sichtbar. Zwar mag es auf den ersten Blick naheliegend erscheinen, den Zugriff auf Briefe bei Postunternehmen und E-Mails bei den entsprechenden Dienstleistern unter den gleichen Voraussetzungen zu gestatten (die E-Mail als elektronischer Brief),1046 allerdings sprechen bereits die besseren Argumente dafür, körperliche und digitale Kommunikation grundsätzlich unterschiedlich zu behandeln. Denn von den neueren digitalen Kommunikationsformen wird ungleich umfassender Gebrauch gemacht. Sie enthalten mehr Informationen, private und be1044 Die Anbieter haben auch ein eigenes Interesse an dieser Entwicklung, da sie von dem erhöhten Datenaufkommen profitieren können. 1045 AG Reutlingen CR 2012, 19. 1046 So etwa Hilgendorf/Valerius, Computer- und Internetstrafrecht, S. 232.
I. Die Primärmaßnahme
223
rufliche Inhalte werden stärker durchmischt und sie ermöglichen oft den Zugriff auf die angesammelte Korrespondenz der Vergangenheit, insbesondere in Kombination mit einer leichteren Auswertbarkeit durch das (automatisierte) Durchforschen der Nachrichten.1047 Ferner ermöglichen sie das Verknüpfen von vielen Datenpunkten zu gänzlich neuen Informationen, so dass sich insgesamt eine deutlich erhöhte Eingriffstiefe ergibt, gegenüber einem herkömmlichen Zugriff auf die Postsendungen des Betroffenen. Noch fragwürdiger erscheint allerdings die von BGH und auch der Mehrheit der Literaturansichten statuierte Sonderbehandlung der Phase der Zwischenspeicherung, denn der Unterschied beruht letztlich vor allem auf der Zeitkomponente und der technischen Realisierung, nicht auf der unterschiedlichen Intensität des Eingriffs.1048 Das wird vor allem deutlich, wenn man versucht, die Unterscheidung auf andere digitale Kommunikationsformen zu transferieren: Warum sollte das Mitschneiden nicht-zwischenspeichernde Echtzeitkommunikationsformen wie bestimmter Chat-Dienste oder noch offensichtlicher mittels einer Instant-Messenger-App mit Push-Funktion (ohne Zwischenspeicherung) unter anderen Voraussetzungen möglich sein als eine protokolltechnisch-bedingt kurzzeitig zwischengespeicherte E-Mail? So wird die Wahl der Rechtsgrundlage von technischen Zufälligkeiten abhängig, wie Brunst völlig zutreffend feststellt.1049 Die besprochenen Beschlüsse scheinen sehr konkret auf die E-Mail zugeschnitten zu sein, das derzeit noch am weitesten verbreitete Kommunikationsmittel im Internet-Netzwerk. Die Nutzung von E-Mails ist allerdings seit einiger Zeit stark rückläufig, andere Kommunikationsformen wie etwa die Instant-MessagingDienste (z.B. WhatsApp) sind auf dem Vormarsch. Diese arbeiten in der Regel mit einem Store-and-Forward-Prinzip, bei dem die zu übermittelnden Nachrichten nur auf dem Server des Anbieters (zwischen-)gespeichert werden, solange sie noch nicht auf dem Endgerät des Empfängers angekommen sind, danach nicht mehr.1050 Falls eine Weiterleitung an den Empfänger nicht möglich sein sollte, wird die Nachricht nach einem bestimmten Zeitraum1051 ebenfalls gelöscht. Die Menge an beschlagnahmefähigen Nachrichten (im Gewahrsam des Dienstleistungsanbieters) ist also deutlich geringer als bei der E-Mail und tendiert für die Vergangenheit gegen Null.1052 1047 Gaede, StV, 2009, S. 96 ff. (S. 99); Brunst, CR, 2009, S. 591 ff. (S. 593). 1048 Schwabenbauer, AöR, 137 (2012), S. 1 ff. (S. 29 f). 1049 Brunst, CR, 2009, S. 591 ff. (S. 592). Zudem ist § 99 StPO nur auf geschäftsmäßige Dienstleistungserbringer ausgelegt, vgl. § 3 Nr. 10 TKG, so dass eine Anwendung bei nicht-geschäftsmäßigen Dienstleistern ebenfalls ausscheidet. So ist auch hier die Anwendung von § 99 StPO teilweise vom Zufall abhängig. 1050 Beispielhaft für WhatsApp: https://www.whatsapp.com/legal/ (Stand: Dezember 2017). 1051 Bei WhatsApp etwa sind es dreißig Tage, vgl. https://www.whatsapp.com/legal/ (Stand: Dezember 2017). 1052 Es sei denn, der Nutzer speichert seinen Chat-Verlauf gezielt in der „Cloud“ des Anbieters. Diese Option ermöglichen einige Anbieter wie WhatsApp neuerdings.
224
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Es spricht daher angesichts der exponentiell (!) zunehmenden Geschwindigkeit der technischen Entwicklung und den noch zu erwartenden Neuerungen und Veränderungen viel für eine einheitliche Betrachtungsweise der Nutzung von Kommunikationsdiensten über das Internet-Netzwerk (ab dem Zeitpunkt des Verlassens bzw. der Ankunft der Daten auf dem Endgerät), wie sie das BVerfG bereits mit seinen Ausführungen zur mangelnden Beherrschbarkeit und spezifischen Gefährdungslage bei der Ausweitung des Schutzbereichs von Art. 10 GG zumindest auf Verfassungsebene angestoßen hat. Leider hält es diese Ansicht nicht für die Schranken von Art. 10 GG aufrecht. Im Bereich der Strafprozessordnung wäre eine solche Gesamtbetrachtung mit einer einheitlichen Ermächtigungsgrundlage für alle Phasen, unabhängig von (zufälligen) technischen Umsetzungen, ebenfalls wünschenswert.
dd)
Übertragung der Vorgaben auf Daten in lokalen Netzwerken?
Nach Aufarbeitung der einschlägigen Rechtsprechung kann damit nun konkret zur Ausgangsfrage Bezug genommen werden, ob das Abhören des lokalen Netzwerks eventuell auf §§ 99, 100 StPO gestützt werden könnte. Denn folgt man den angeführten Ergebnissen der Rechtsprechung, können diese Normen heimliche, auch länger andauernde Zugriffe auf verschiedenste Daten rechtfertigen, was die Anwendung auch auf das Abhören lokaler Funknetzwerke nahe legt.
(1)
Gewahrsam des Providers an den Daten im lokalen Netzwerk?
Wie zuvor festgestellt,1053 dürfte es dem Nutzer an einem „faktischen Herrschaftsverhältnis“ über die Daten im lokalen Netzwerk fehlen. Zumindest in dem Sinne, dass er kaum in jedem Fall den Zugriff darauf verhindern, sondern höchstens erschweren kann und deshalb den spezifischen Gefahren bei der Nutzung eines Übertragungsmediums ausgesetzt ist. Bedeutet dies im Umkehrschluss, dass die Datenpakete damit bereits in dem Moment, in dem sie das Endgerät des Nutzers verlassen haben, derart in den Herrschaftsbereich des Providers gelangt sind, dass dieser sogar „Gewahrsam“ an ihnen begründet hat? Dann könnte man argumentieren, dass die Situation einer zwischengespeicherten E-Mail gleicht, und die Übertragung der diesbezüglichen Rechtsprechung zumindest denkbar wäre. Dass diese Annahme nicht gänzlich abwegig ist, verdeutlicht eine weitere Überlegung: Viele, vor allem die großen Provider konfigurieren die „DSL-Router“ (Customer Premises Equipments)1054 ihrer Kunden inzwischen automatisch über das TR-0691053 Siehe Abschnitt (b) auf Seite 192. 1054 Zur sogenannten Routerzwang-Diskussion siehe https://ccc.de/system/uploads/139/ original/routerzwang.pdf (Stand: Dezember 2017).
I. Die Primärmaßnahme
225
Protokoll1055 mit Hilfe eines Autoconfiguration Servers.1056 Auf diese Weise kann der Provider, was nutzerseitig weithin unbekannt ist, beliebig Einstellungen auf dem DSL-Router verändern und auch neue Firmware und Updates auf das Gerät spielen, ohne dass der Kunde das einfach verhindern könnte. Der Router liegt also durchaus vielfach bereits im Einflussbereich der Provider. Allerdings sind dessen Zugriffsmöglichkeiten begrenzt, es besteht über das TR-069-Protokoll weder ein direkter Zugriff auf die Daten im lokalen Netzwerk noch auf den im Router gespeicherten Pre-Shared-Key eines WPA/WPA2/WEP-geschützten WLAN. Daher sind die Datenströme des lokalen Netzwerks weder in den Herrschaftsbereich des Providers gelangt, noch hat der Provider „Gewahrsam“ an ihnen begründet.1057 Auf die §§ 99, 100 StPO zur Rechtfertigung des hier in Frage stehenden Eingriffs in Art. 10 I GG (Mitschneiden und Speichern des Datenverkehrs eines lokalen Funknetzwerks) kann daher nicht zurückgegriffen werden.1058 (2)
Daten im lokalen Netzwerk als dynamischer Vorgang
Abschließend ist zudem festzuhalten, dass sich Literatur und Rechtsprechung, wenn auch auf unterschiedlichen Wegen, zumindest dahingehend einig zu sein scheinen, dass die Vorschriften zur Postbeschlagnahme gem. §§ 99, 100 StPO (und die §§ 94 ff. StPO) nur zur Anwendung kommen können, wenn die Daten zumindest für einen kurzen Moment nicht übertragen werden („ruhen“), also gerade kein dynamischer Prozess stattfindet, sondern der Übertragungsprozess auf irgendeine technische Art und Weise zumindest für den Bruchteil einer Sekunde unterbrochen ist (unabhängig von der Frage, ob es sich in diesem Moment nun um „Telekommunikation“ handelt oder nicht).1059 Bei der hier besprochenen Maßnahme ist der Ansatzpunkt aber gerade der Moment, in dem die Daten vom Endgerät an den Router übertragen werden oder umgekehrt, schließlich setzt die Maßnahme am Übertragungsweg an. Ein Speichermedium1060 ist gar nicht Bestandteil der an der Übertragung beteiligten Netzwerkkomponenten. Auch wenn an dieser Stelle deshalb nicht geklärt werden 1055 https://www.broadband-forum.org/technical/download/TR-069_Amendment-3.pdf (Dezember 2017). 1056 Die Authentifizierung erfolgt in der Regel über die Seriennummer des Geräts. 1057 Dass der Provider noch keinen Gewahrsam begründet hat, zeigt auch die Tatsache, dass er technisch gar nicht in der Lage wäre, die Datenpakete des lokalen Netzwerks an die Strafverfolgungsbehörden auszuleiten. Unabhängig davon dürfte sich eine Maßnahme aber auch auf § 99 StPO stützen lassen, bei der der Gewahrsamsinhaber das potenzielle Beweismittel nicht herausgibt, sondern die Strafverfolgungsbehörden die Daten selbstständig staatlicher Herrschaft unterwerfen. Natürlich nur, sofern man Daten mit dem BVerfG grundsätzlich als beschlagnahmefähig erachtet. 1058 Die Frage, ob die Norm auch ein Tätigwerden der Behörden ohne Mitwirkung des Providers gestatten würde, muss damit nicht mehr geklärt werden. 1059 Bspw. mit weiteren Nachweisen: Hilgendorf/Valerius, Computer- und Internetstrafrecht, S. 230. 1060 Abgesehen vom Buffer des Routers.
226
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
muss (wie es die vom BGH vorgenommene Abgrenzung verlangen würde), ob es sich bei den im lokalen Netzwerk transportierten Daten um „Telekommunikation“ handelt (dazu in Abschnitt (c) auf Seite 237), kann konstatiert werden, dass es sich bei den Daten im lokalen Netzwerk nicht um eine ruhende/unterbrochene Phase handelt. Die Anwendung von §§ 99, 100 StPO als Ermächtigungsgrundlage für das Abhören des WLAN scheidet somit auch aus diesem Grund aus.1061 e) Anwendbarkeit von § 100a I S. 1 StPO? Damit verbleibt zunächst § 100a I S. 1 StPO als Ermächtigungsgrundlage für das Mitschneiden und Speichern des Datenverkehrs eines lokalen Netzwerks (Abhören des WLAN bzw. WLAN-Catching). § 100a I S. 1 StPO vermag vornehmlich Eingriffe in Art. 10 GG zu rechtfertigen.1062 Ein Eingriff in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme kann hingegen nicht auf § 100a I S. 1 StPO gestützt werden.1063 Weil zwar alle denkbaren Fallkonstellationen von § 100a I S. 1 StPO in den Schutzbereich von Art. 10 I GG fallen, der Schutzbereich dieses Grundrechts selbst aber weiter ist,1064 muss im Folgenden separat geklärt werden, ob das Abhören des WLAN bzw. WLAN-Catching auf diese Vorschrift gestützt werden kann. Denn die Feststellung, dass eine solche Überwachungsmaßnahme einen Eingriff in Art. 10 GG darstellt, bedeutet gerade nicht automatisch, dass auch die Voraussetzungen von § 100a I S. 1 StPO erfüllt sind. § 100a I S. 1 StPO gestattet unter bestimmten (strengeren als in den bisher analysierten Vorschriften) Voraussetzungen das heimliche Überwachen und Aufzeichnen von Telekommunikation. 1061 Selbst die Anwendung von § 99 StPO nur auf zwischengespeicherte E-Mails in der Ruhephase stößt noch auf einige weitere grundsätzliche Bedenken: So verlangt das BVerfG im Beschluss vom 16.06.2009 ausdrücklich besonders hohe Anforderungen an verdeckte Maßnahmen. Ob diese durch § 99 StPO erfüllt werden, ist umstritten; ablehnend Klein, NJW, 2009, S. 2996 ff. (S. 2998), mit weiteren Nachweisen Hilgendorf/Valerius, Computer- und Internetstrafrecht, S. 232; a.A.: Bär in: v. Heintschel-Heinegg/Bockemühl (Hrsg.), KMR, StPO, § 100a StPO, Rn. 29c, Szebrowski, K & R, 2009, S. 563 ff. (S. 564), Brandt/Kukla, Wistra, 2010, S. 415 ff. (S. 416). Ferner werden Bedenken vorgetragen, dass die Grenzen des Bestimmtheitsgebots überschritten seien, siehe Gercke, StV, 2009, S. 624 ff. (S. 626) und es sich um eine unzulässige Analogie handele, vgl. etwa Eschelbach in: Satzger/Schluckebier/Widmaier, StPO, § 94, Rn. 8. 1062 BGHSt 31, 296, Rn. 14; Bruns in: Hanich (Hrsg.), KK-StPO, § 100a, Rn. 28. 1063 Vgl. exemplarisch: Bär in: v. Heintschel-Heinegg/Bockemühl (Hrsg.), KMR, StPO, § 100a, Rn. 7; Böckenförde, JZ, 2008, S. 925 ff. (S. 935). Das ergibt sich ohne Weiteres aus den vom BVerfG im Urteil zum Verfassungsschutzgesetz Nordrhein-Westfalen (BVerfGE 120, 274, Rn. 207 ff.) aufgestellten hohen Eingriffsvoraussetzungen, die eher den Hürden des Art. 13 GG gleichen, vgl. Hornung, CR, 2008, S. 299 ff. (S. 303). Insofern dogmatisch verfehlt: LG Ellwangen, 1 Qs 130/12, juris, Rn. 61, 65. 1064 Wolter/Greco in: Wolter (Hrsg.), SK-StPO, Band II, 2016, § 100a, Rn. 13.
I. Die Primärmaßnahme
aa)
227
„Telekommunikation“ i.S.v. § 100a I S. 1 StPO
Die zentrale Frage kreist darum, ob die Datenströme des lokalen Netzwerks das Merkmal „Telekommunikation“ i.S.v. § 100a I S. 1 StPO erfüllen. Gleichwohl spielt das zuvor beleuchtete verfassungsrechtliche Verständnis von „Telekommunikation“ auch hier mit hinein, denn die nähere Auslegung des Begriffs muss sich an dem grundrechtlichen Schutz des Betroffenen durch Art. 10 GG orientieren.1065
(1)
Definition von „Telekommunikation“?
Das Tatbestandsmerkmal „Telekommunikation“ erläutert den sachlichen Anwendungsbereich (Eingriffsgegenstand) der Vorschrift und zeigt zugleich deren Grenzen auf. Die Strafprozessordnung selbst kennt keine Legaldefinition. Der Begriff wird jedoch allgemein als entwicklungsoffen betrachtet,1066 um auch noch derzeit unbekannte Technologien einbeziehen zu können, was seine Bestimmung zusätzlich erschwert. Gemeinsam ist vielen Merkmalsbestimmungen deshalb, dass sie in der Legaldefinition des § 3 Nr. 22 TKG (i.V.m § 3 Nr. 23 TKG) ihren Ausgang nehmen.1067 Das wird oft auch damit begründet, dass der Gesetzgeber die Ersetzung des Merkmals „Fernmeldeverkehr“ durch „Telekommunikation“ mit der Anpassung des Sprachgebrauchs der Strafprozessordnung an den Sprachgebrauch des Telekommunikationsgesetzes begründet hätte.1068 Das Telekommunikationsgesetz definiert Telekommunikation als „der technische Vorgang des Aussendens, Übermittelns und Empfangens von Signalen mittels Telekommunikationsanlagen“ und Telekommunikationsanlagen als „technische Einrichtungen oder Systeme, die als Nachrichten identifizierbare elektromagnetische oder optische Signale senden, übertragen, vermitteln, empfangen, steuern oder kontrollieren können“. Diese Definition zeugt von einem ausschließlich technischen Verständnis des Begriffs. Der konkrete Inhalt der als Nachrichten identifizierbaren Signale spielt im TKG 1065 BVerfG, Beschluss vom 06.07.2016, 2 BvR 1454/13, juris, Rn. 32. Mit weiteren Nachweisen: Eckhardt, Effizienzanalyse der Telekommunikationsüberwachung nach § 100a StPO, S. 12 f. Ausführlich: Fezer, NStZ, 2003, S. 625 ff. (S. 627). 1066 Beispielhaft: Graf in: BeckOK, StPO, § 100a StPO, Rn. 3. Mit weiteren Nachweisen: Hauck in: Löwe-Rosenberg, StPO, § 100a, Rn. 29. Zu dieser Sichtweise kritisch und mit Grenzen: Roggan, NJW, 2015, S. 1995 ff. 1067 Mit weiteren Nachweisen: Schmitt in: Meyer-Goßner/Schmitt, StPO, § 100a StPO, Rn. 6. 1068 Hauck in: Löwe-Rosenberg, StPO, § 100a StPO, Rn. 29. Tatsächlich spricht die Gesetzesbegründung nur von einer „Redaktionelle[n] Anpassung an den Sprachgebrauch des TKG“, vgl. BT-Drucks. 13/8016, S. 26, abrufbar unter: http://dip21.bundestag.de/dip21/btd/13/080/1308016.pdf (Stand: Dezember 2017).
228
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
keine Rolle.1069 Wichtig ist allein, dass überhaupt irgendein Datum transportiert wird.1070
(2)
Definition des Bundesgerichtshofs
Auf dieser Linie definiert der Bundesgerichtshof entsprechend, dass der Begriff Telekommunikation „die Vorgänge des Aussendens, Übermittelns und Empfangens von Nachrichten jeglicher Art, also grundsätzlich den gesamten Datenverkehr mittels Telekommunikationsanlagen umfaßt [...]. Er ist insoweit inhaltsgleich mit der Legaldefinition des § 3 Nr. 16 TKG [a.F.]“1071. Allerdings schränkt er sogleich ein, dass nicht jedes Übermitteln von „codierten Daten“, sondern nur „mit dem Versenden und Empfangen von Nachrichten mittels Telekommunikationsanlagen in Zusammenhang stehende[] Vorgänge“ erfasst sind; Voraussetzung sei, dass „eine Person eine Telekommunikationsanlage bedient“ oder „in Betrieb setzt“, jedoch muss sich der Vorgang im konkreten Fall nicht zielgerichtet oder „mit aktuellem Willen oder Wissen der betroffenen Person“ vollziehen.1072 Dieses weite Verständnis zeigte der BGH insbesondere, als er auch Funkzellenabfragen nicht telefonierender Mobiltelefone (stand-by-Daten) zur Ermittlung des Standorts eines Mobiltelefons, also eine reine Maschine-zu-Maschine-Kommunikation, unter den strafprozessualen Telekommunikationsbegriff fasste.1073 Dieser Ansicht ist das BVerfG entgegengetreten. Es sieht die Standortdaten eines Mobilfunkendgerätes nicht durch Art. 10 GG geschützt, sondern lediglich das Recht auf informationelle Selbstbestimmung tangiert.1074 Der BGH deutet Telekommunikation grundsätzlich weit. Er stellt primär auf den formal-technischen Vorgang ab, soweit nur irgendein (entfernter) Zusammenhang zu menschlicher Informationsgewinnung besteht. Er verzichtet auf weitere Einschränkungen funktionaler Natur. 1069 Ricke in: Spindler/Schuster, Recht der elektronischen Medien, § 3 TKG, Rn. 41. 1070 Cornils in: Geppert/Schütz, Beck TKG, § 3 TKG, Rn. 74. 1071 BGH, Urteil vom 14.03.2003, 2 StR 341/02, juris, Rn. 11. Bestätigt durch: BGH, Beschluss vom 31.01.2007, StB 18/06, BGHSt 51, 211, Rn. 18. 1072 In den sogenannten „Raumgespräche“-Entscheidungen, vgl. BGH, Urteil vom 14.03.2003, 2 StR 341/02, juris, Rn. 12; auch BGH, Beschluss vom 24. April 2008, 1 StR 169/08, juris. 1073 BGH, Beschluss vom 21.02.2001, 2 BGs 42/01. Günther spricht insofern von einem „dogmatischen Sündenfall“, der über Jahre das Verständnis von der Reichweite des Schutzbereichs von Art. 10 I GG prägte, vgl. Günther in: MüKo, StPO, § 100i, Rn. 3. 1074 Vgl. BVerfG, Beschluss vom 22.08.2006, 2 BvR 1345/03, NJW 2007, 351. Ausführlich: Demko, NStZ, 2004, S. 57 – 64ff. (S. 59 ff.).
I. Die Primärmaßnahme
229
(3) „Genuin strafverfahrensrechtliche Begriffsbestimmung“ – Beschränkung auf zwischenmenschliche (interpersonale) Kommunikation? Allerdings beansprucht die Legaldefinition in § 3 TKG ausdrücklich nur Gültigkeit für das TKG selbst („im Sinne dieses Gesetzes“), so dass eine „genuin strafverfahrensrechtliche Begriffsbestimmung“ erforderlich wird.1075 Das zeigt sich auch schon daran, dass von Telekommunikation i.S.v. § 3 TKG auch Massenkommunikationsmedien wie Fernsehen und Radio erfasst sind, von Telekommunikation i.S.v. § 100a I S. 1 StPO hingegen aber nach ganz herrschender Meinung nicht.1076 Der strafprozessuale Telekommunikationsbegriff setzt damit zwar einen Telekommunikationsvorgang im Sinne des Telekommunikationsgesetzes voraus, mehr aber zunächst noch nicht.1077 (a)
Einschränkende Auslegung in der Literatur
In der rechtswissenschaftlichen Literatur wird der Telekommunikationsbegriff im Vergleich zum weiten formal-technischen Verständnis vielfach, vor allem unter Verweis auf das Telekommunikationsgeheimnis, einschränkend ausgelegt. Dabei dominiert eine eher funktionale („materielle“) Sichtweise, die eine zwischenmenschliche, interpersonale Kommunikation verlangt und sich an dem allgemeinen Sprachverständnis von Kommunikation orientiert. Sie ist vor allem darauf ausgerichtet, einen Austausch rein technisch oder einseitig technisch generierter Daten aus dem Telekommunikationsbegriff zu exkludieren. So müssten die Inhalte des Datenstroms vom jeweiligen Nutzer intentional an einen anderen (menschlichen) Kommunikationspartner gerichtet sein,1078 denn § 100a I S. 1 StPO sei originär für die Überwachung von Kommunikation zwischen zwei Individuen konzipiert worden.1079 Zur Begründung dieser Sichtweise wird oft auf eine Auslegung verwiesen, die sich nach Art. 10 GG richten solle. Der bloße Austausch von Datenpaketen sei demnach nicht schutzwürdig.1080 Das setzt freilich bereits ein enges Verständnis des Schutzbereichs von Art. 10 GG voraus und verlagert die Diskussion auf diese Ebene. Nicht erfasst ist nach dieser Ansicht auch die passive Nutzung des InternetNetzwerks zur Informationsbeschaffung, das meint vor allem den Konsum von Webseiten jeglicher Art.1081 So wendet sich Hieramente ausdrücklich dagegen, die Kenntnisnahme von Information als Kommunikation i.S.v. § 100a I S. 1 StPO Wohlers/Demko, StV, 2003, S. 241 ff. (S. 243). Günther in: MüKo, StPO, § 100a StPO, Rn. 31. Günther in: MüKo, StPO, § 100a StPO, Rn. 44. Schön, Ermittlungsmaßnahmen über das Internet, S. 101; Meinicke, in: Taeger, Law as a Service, S. 968 ff., S. 970. 1079 Meinicke, in: Taeger, Law as a Service, S. 968 ff., S. 971. 1080 Albrecht/Braun, HRRS, 2013, S. 500 ff. (S. 503). 1081 Ohne Begründung: Schmitt in: Meyer-Goßner/Schmitt, StPO, § 100a StPO, Rn. 7d; Eschelbach in: Satzger/Schluckebier/Widmaier, StPO, § 100a StPO, Rn. 5. 1075 1076 1077 1078
230
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
einzuordnen, mit dem Argument, dass eine soziale Interaktion zwischen Leser und Textverfasser nicht stattfinde.1082 Dass das so nicht grundsätzlich stimmen kann, zeigen schon die mit fast allen medialen Angeboten einhergehenden, unzählig genutzten Kommentarfunktionen, die Kontaktformulare auf vielen Homepages oder die Nachrichtenaustauschmöglichkeit auf vielen e-Commerce-Plattformen. Zudem gibt es kaum noch eine Website, die inzwischen ohne die obligatorischen Social-Media-Buttons („Like-Buttons“) auskommt, die gerade eine explizite Aufforderung1083 zur Kontaktaufnahme darstellen, sei es zu dem Website-Betreiber oder zu einem „Freund“/Follower („Teilen“). Ein weiteres Kernargument für eine Beschränkung besteht darin, dass eine hohe Eingriffsintensität gesehen wird, sollte § 100a I S. 1 StPO auch einen Zugriff auf nicht-interpersonale Kommunikationsdaten und damit auf das gesamte Surfverhalten gestatten. Denn es würde potentiell Einblicke in die berufliche Tätigkeit, politische Orientierung, sexuelle Orientierung oder das körperliches Wohlbefinden des Betroffenen und vieles mehr gewähren.1084 Der Umfang der Informationen könnte für die Erstellung eines umfassenden Persönlichkeitsprofils genutzt werden.1085 Diese Überlegungen sind nicht gänzlich von der Hand zu weisen. Allerdings dürfte die tatsächliche Eingriffsintensität in der Praxis deutlich geringer ausfallen. Zum einen werden vor allem Einzelakte einer doch eher „oberflächlichen“1086 Kommunikation wahrgenommen. Entscheidender ist allerdings die zeitliche Begrenzung einer solchen Überwachungsmaßnahme nach § 100a I S. 1 StPO, üblicherweise auf drei Monate. In diesem engen Zeitfenster dürften die zu erlangenden Informationen kaum ausreichen, um ein umfassendes Persönlichkeitsprofil zu erstellen. Keinesfalls vergleichbar ist die Eingriffsintensität mit der einer Online-Durchsuchung. Die Menge der sich dabei offenbarenden Informationen übersteigt diejenige beim Überwachen des Surfverhaltens für einen gewissen Zeitraum um ein Vielfaches. Nicht nur werden bei der Online-Durchsuchung deutlich mehr Informationen erlangt, sondern vor allem Informationen, die einen wesentlich längeren (nämlich den gesamten) Zeitraum abdecken (Fotoarchive, Tagebuchnotizen, (Versichungs-)Verträge, gesammelte Kontoauszüge). Ein weiterer Unterschied zur Online-Durchsuchung besteht darin, dass bei einer Überwachung des Surfverhaltens nur Informationen erlangt werden, die auch deswegen weniger schutzwürdig sind, weil sie von einer willentlichen Öffnung des Betroffenen nach außen herrühren. 1082 Hieramente, StraFo, 2013, S. 96 ff. (S. 99). 1083 Die Aufforderung zur Kommunikation ist natürlich ebenfalls bereits interpersonale Kommunikation. 1084 Hieramente, StraFo, 2013, S. 96 ff. (S. 100 f.). 1085 Albrecht/Braun, HRRS, 2013, S. 500 ff. (S. 504 f.). 1086 So der genaue Wortlaut des BVerfG, vgl. BVerfG, Beschluss vom 06.07.2016, 2 BvR 1454/13, juris, Rn. 47.
I. Die Primärmaßnahme
231
Unumstritten erfasst ist aber auch nach diesem einschränkenden Verständnis die Nutzung von Diensten, die der klassischen interpersonalen Kommunikation dienen und das Internet-Netzwerk als Transportmedium nutzen, wie zum Beispiel Dienste im Bereich der Internet-Telefonie, E-Mails, Messenger-Apps, Chat-Programme, Austausch von Mitteilungen über soziale Netzwerke o.ä. (b)
Weites Verständnis in der Literatur
Es finden sich aber auch in der rechtswissenschaftlichen Literatur einige (wenige) Stimmen, die eine derartige Einschränkung des Telekommunikationsmerkmals ablehnen und ausdrücklich das Surfverhalten miteinbeziehen, zum Beispiel Kudlich1087 und Singelnstein1088 (leider ohne jegliche Begründung). Ausführlich geht Seitz auf die Thematik ein und zeigt dabei ein sehr weites Verständnis des Anwendungsbereichs von § 100a I S. 1 StPO.1089 Bär sieht in der privaten Nutzung des Internets keinen öffentlichen Informationsaustausch und betrachtet deshalb ebenfalls den Telekommunikationsbegriff als einschlägig.1090 Böckenförde ist in seiner Dissertation zunächst noch unentschieden, aber zweifelnd,1091 später dann jedoch mit einer phänomenologischen Abgrenzung ablehnend.1092 (c)
Rechtsprechung
In der Rechtsprechung hat sich das LG Ellwangen mit der Thematik der Überwachung des Surfverhaltens ausführlicher befasst.1093 Auf einem dogmatisch sehr zweifelhaften Weg1094 kommt es zu dem Schluss, dass das Überwachen des Surfverhaltens sich rechtfertigen lasse. Es setzt ohne weitere Begründung Internetkommunikation mit Telekommunikation gleich und hält deshalb § 100a I S. 1 StPO für einschlägig.1095 In ähnlich ignoranter Weise geht der 3. Strafsenat des Bundesgerichtshofs wie selbstverständlich und nebenbei ohne jegliche Begründung davon aus, dass eine Überwachung des „über den DSL-Kanal [...] geführten Datenverkehrs“ auf § 100a gestützt werden kann.1096 Das BVerfG hat inzwischen dieses Kudlich, GA, 2011, S. 193 – 208ff. (S. 199). Singelnstein, NStZ, 2012, S. 593 ff. (S. 594 f.). Seitz, Strafverfolgungsmaßnahmen im Internet, S. 264 ff. Bär in: v. Heintschel-Heinegg/Bockemühl (Hrsg.), KMR, StPO, § 100a, Rn. 11a, 11b. Unter Berufung auf die herrschende Lehre, wobei seine Verweise die genau gegenteilige Ansicht vertreten. 1091 Böckenförde, Die Ermittlungen im Netz, S. 419 f. 1092 Böckenförde, JZ, 2008, S. 925 ff. (S. 937). 1093 LG Ellwangen, 1 Qs 130/12, juris. 1094 Verletzung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme und Rechtfertigung eines Eingriffs in das GVIiS durch § 100a I S. 1 StPO! 1095 LG Ellwangen, 1 Qs 130/12, juris, Rn. 62. 1096 BGH, StB 7/10, BeckRS 2011, 02332, Rn. 2. 1087 1088 1089 1090
232
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
weite Verständnis von Telekommunikation im Rahmen von § 100a I S. 1 StPO hinsichtlich des Bezugs auf das gesamte Surfverhalten ausdrücklich gebilligt.1097 (4) Schlussfolgerung unter Orientierung am grundrechtlichen Schutz durch Art. 10 GG Zur Klärung der Reichweite des strafprozessualen Telekommunikationsbegriffs sollte auch bei einer „genuin strafverfahrensrechtlichen Begriffsbestimmung“ auf die Festlegung der Reichweite des Telekommunikationsgeheimnisses und die dort angeführten Kriterien zurückgegriffen werden:1098 Erlauben die mittels Telekommunikationsanlagen ausgesendeten, übermittelten oder empfangenen Signale (Telekommunikationsvorgang im Sinne des TKG) auf dem dafür vorgesehenen Weg und durch den Verteilungsmodus der Zugangsbeschränkung (keine Überwindung konkreter Zugangshindernisse)1099 eine Wahrnehmung durch die Allgemeinheit, handelt es sich nicht um Telekommunikation im strafprozessualen Sinn. In allen anderen Fällen der vorstellbaren Nutzung der gesamten Bandbreite des InternetNetzwerks jedoch schon – soweit sie durch zumindest eine Person wenigstens entfernt initiiert1100 wurde (auch wenn im konkreten Fall automatisiert ohne aktuellen Willen und Wissen des Betroffenen).1101 Nicht erfasst ist damit lediglich die reine Maschine-zu-Maschine-Kommunikation, bei der jeglicher Bezug zu einer menschlichen Informationsgewinnung fehlt,1102 sowie bestimmte Phasen der Zwischenspeicherung während des Übermittlungsvorgangs (zumindest nach der Rechtsprechung des BGH, nicht nach der hier vertretener Auffassung).1103 Diese Auffassung läuft auch auf der strafprozessualen Ebene auf ein weites Verständnis des Telekommunikationsmerkmals hinaus und führt insofern zu einem Gleichschritt des Anwendungsbereichs von § 100a I StPO mit dem gegenständlichen Schutzbereich des Telekommunikationsgeheimnisses in Art. 10 I GG.1104 Ein derartiges weites Verständnis erleichtert freilich auch die Handhabung durch die Strafverfolgungsbehörden in der Praxis, weil das in der Mehrheit der Literatur vertretene enge Verständnis sich im Rahmen einer Überwachungsmaßnahme nach § 100a I S. 1 StPO kaum praktisch umsetzen ließe. Ein im Voraus erfolgendes Herausfiltern von bestimmten über das Internet-Netzwerk übermittelten Daten, etwa BVerfG, 2 BvR 1454/13, juris, Rn. 25. Siehe Abschnitt (3) auf Seite 201. Böckenförde, JZ, 2008, S. 925 ff. (S. 936). Dazu ausführlich: Fezer, NStZ, 2003, S. 625 ff. (S. 627 f.). So auch im Ergebnis: Bär in: v. Heintschel-Heinegg/Bockemühl (Hrsg.), KMR, StPO, § 100a, Rn. 11a, 11b. 1102 Wie bei den „stand-by-Daten“, vgl. oben in Abschnitt (2) auf Seite 228. 1103 Siehe Abschnitt aa) auf Seite 220. 1104 a.A. unter Hinweis auf § 94 StPO und den Zugriff auf E-Mails: Wolter/Greco in: Wolter (Hrsg.), SK-StPO, Band II, 2016, § 100a, Rn. 18.
1097 1098 1099 1100 1101
I. Die Primärmaßnahme
233
von interpersonaler Kommunikation, ist derzeit (auch auf Provider-Ebene) ohne Wahrnehmung des Inhalts technisch nicht sinnvoll realisierbar.1105 Ein nachträgliches (nach inhaltlicher Wahrnehmung) Herausfiltern nach dergestaltigen Kriterien ist hingegen im deutschen Rechtsraum wenig sinnvoll, weil der Rechtsgedanke des „fruit of the poisonous tree“ im deutschen Raum nur schwach verankert ist und die Verwertungsverbote nur schwach ausgeprägt sind. Wobei zu beachten bleibt, dass dieses Argument auf strafprozessualer Ebene wenig fruchtbar ist. Während auf verfassungsrechtlicher Ebene die potentielle Betroffenheit interpersonaler Kommunikation aufgrund der Nicht-Trennbarkeit ein wichtiges Argument ist, um im Zweifel dem Betroffenen grundrechtlichen Schutz zu gewähren, kann das gleiche Argument auf StPO-Ebene (im Zweifel einen Eingriff zu gestatten) natürlich keine Schlagkraft entfalten. In der Praxis führt die dargestellte Sichtweise zu einer Differenzierung zwischen der Bereitstellung von Informationen, Angeboten und Dienstleistungen über das Internet-Netzwerk und der individuellen Nutzung bzw. Kenntnisnahme dieser Informationen, Angebote und Dienstleistungen („Surfen im Internet“). Das Bereitstellen an die Allgemeinheit gerichteter Daten, sei es in Form von Webseiten, medialen Internetangeboten, in Webforen oder in sozialen Netzwerken etc. fällt als Massenkommunikation nicht unter § 100a I S. 1 StPO. Es kann von jedermann, auch den Strafverfolgungsbehörden wahrgenommen werden.1106 Die Behörden veranlassen dabei zwar einen eigenen Telekommunikationsvorgang, der aber nicht schutzwürdig ist. Bei der Nutzung, dem Download, dem Aufrufen etc. genau dieser (und welcher) bereitgestellten Daten durch ein konkretes Individuum (Dritter) handelt es sich hingegen um Telekommunikation im Sinne von § 100a I S. 1 StPO, so dass die Wahrnehmung dieser Informationen nur unter den Voraussetzungen von § 100a I S. 1 StPO möglich ist. Denn dabei registrieren die Behörden einen (fremden) Telekommunikationsvorgang von Dritten. Mit dem hier vertretenen weiten Verständnis des Fernmeldegeheimnisses kommt tatsächlich auch eine „genuin strafverfahrensrechtliche Begriffsbestimmung“, die sich am grundrechtlichen Schutz des Betroffenen orientiert, zu einem ähnlich weiten Verständnis des Merkmals „Telekommunikation“ wie der Bundesgerichtshof auf anderem Wege. (5)
„Telekommunikation“ und das Abhören des WLAN (WLAN-Catching)
Was bedeutet nun das im vorherigen Abschnitt entfaltete Verständnis des strafprozessualen Telekommunikationsbegriffs konkret für die Maßnahme des Abhörens 1105 Ausführlich oben in Abschnitt 1. auf Seite 186. 1106 Werden dabei gezielt öffentlich zugängliche Informationen über eine Person zusammengetragen, ist jedoch das Recht auf informationelle Selbstbestimmung betroffen, so dass es wiederum einer speziellen Eingriffsermächtigung bedarf, dazu später in Abschnitt 1. auf Seite 259.
234
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
des WLAN bzw. WLAN-Catching? Erstaunlicherweise wurde diese moderne Variante der Durchführung einer Telekommunikationsüberwachung bisher von der rechtswissenschaftlichen Literatur kaum beachtet, obgleich von der staatlichen Praxis bereits seit Längerem umgesetzt.1107 Lediglich Kleih1108 und mit Abstrichen Jordan 1109 (bereits 2005) widmen sich dem Thema ausführlicher. Graf 1110 und Singelnstein1111 erwähnen diese Methode immerhin ganz kurz.1112 Alle vier kommen (dabei betrachten sie freilich den Vorgang vornehmlich als homogenes technisches Geschehen, ohne auf die Unterschiede der einzelnen Maßnahmen einzugehen)1113 zu dem Schluss, dass sich eine derartige Maßnahme auf § 100a I S. 1 StPO stützen ließe. Unstreitig ist es, dass vom Access Point an den WLAN-Adapter im Endgerät Signale mittels Telekommunikationsanlagen übermittelt werden, weshalb der den rein technischen Vorgang betreffende Teil des Verständnisses erfüllt ist. (a)
Betroffenheit des gesamten Surfverhaltens
Beim WLAN-Catching werden aber grundsätzlich sämtliche über das lokale Netzwerk transportierten Datenpakete als Rohdatenstrom erfasst. Es ist damit das gesamte Surfverhalten des Nutzers betroffen, inklusive aller Inhaltsdaten, unabhängig davon, ob sie verschlüsselt oder im Klartext transportiert werden. Im Falle einer Verschlüsselung hängt der Zugang zum Inhalt von der Fähigkeit des Überwachenden ab, diese Verschlüsselung zu „knacken“.1114 Der BGH mit seiner auf das TKG bezogenen Definition dürfte den gesamten Rohdatenstrom des lokalen Netzwerks unproblematisch als Telekommunikation betrachten.1115 Gleiches wird für die Stimmen in der Literatur mit einem ähnlich weiten formal-technischen Verständnis gelten. Weil die Abtrennung einer passiven Nutzung des Internets oder eine Beschränkung auf interpersonale Kommunikation durch Filtern im Vorfeld ohne inhaltliche Dazu bereits oben ausführlich in Abschnitt III. auf Seite 175. Kleih, Die strafprozessuale Überwachung der Telekommunikation. Jordan, Kriminalistik, 2005, S. 514 ff. Graf in: BeckOK, StPO, § 100a, Rn. 223 f. Singelnstein, NStZ, 2012, S. 593 ff. (S. 599). Dazu ausführlich in Abschnitt III. auf Seite 175. Zu den Nachteilen und Problemen dieses Vorgehens siehe bereits Abschnitt 3. auf Seite 160. 1114 Zu diesem Problemkreis (Methoden und Erfolgsaussichten) wurde anhand der SSL/TLS-Transportverschlüsselung im informationstechnischen Teil ausführlich Stellung genommen, vgl. Abschnitt a) auf Seite 119 ff. Aus juristischer Sicht wird dazu im Rahmen der Sekundärmaßnahmen Stellung genommen, siehe ab Abschnitt II. auf Seite 259. 1115 Wie sich auch im Beschluss vom 23.03.2010 in Bezug auf das Surfverhalten gezeigt hat, vgl. BGH, StB 7/10, BeckRS 2011, 02332.
1107 1108 1109 1110 1111 1112 1113
I. Die Primärmaßnahme
235
Wahrnehmung nicht möglich ist, nimmt dieser Strang der Literaturansicht eine ablehnende Haltung bzgl. der Überwachung des gesamten Surfverhaltens ein und dürfte damit konsequenterweise auch das WLAN-Catching nicht im Rahmen von § 100a I S. 1 StPO gestatten. Es müsste entweder der Schluss gezogen werden, dass zwar der Schutzbereich von Art. 10 GG eröffnet sei, die Voraussetzungen von § 100a I S. 1 StPO aber nicht erfüllt seien und daher, weil keine andere Norm einschlägig wäre, ein solcher Eingriff nicht zu rechtfertigen sei. Oder aber, dass § 100a I S. 1 StPO bereits wegen einer engen Auslegung von Art. 10 I GG nicht zum Zuge käme.1116 Nach der hier vertretenen Variante einer „genuin strafverfahrensrechtlichen Begriffsbestimmung“ mit einem gleichlaufend weiten Verständnis des Schutzbereichs von Art. 10 I GG und des Anwendungsbereichs von § 100a I S. 1 StPO ist der gesamte Rohdatenstrom eines lokalen Netzwerks, ausgenommen eine etwaigen Maschine-zu-Maschine-Kommunikation,1117 sowohl als Telekommunikation im verfassungsrechtlichen als auch im strafprozessualen Sinn zu verstehen. Damit kann ein (passiver) Zugriff auf diese Daten auf § 100a I S. 1 StPO gestützt werden. Die Stärke der hier vertretenen Auslegungskriterien zeigt sich zum Beispiel auch an Sonderfällen wie etwa der Nutzung eines offenen WLAN durch den Betroffenen. In diesem Fall gibt es zwar keine speziellen Zugangsbeschränkungen, da die Daten für jedermann in Reichweite empfangbar sind, aber eine Wahrnehmung der Daten erfolgt nicht auf dem dafür vorgesehenen Weg1118 (sie werden schließlich subjektiv auch nicht an die Allgemeinheit gerichtet sein), so dass die Wahrnehmung des Datenverkehrs eines offenen WLAN ebenfalls nur unter den Voraussetzungen von § 100a I S. 1 StPO gestattet ist. (b)
Übertragungsweg beendet/noch nicht begonnen?
Auf verfassungsrechtlicher Ebene wurde der Schluss gezogen, dass der Schutzbereich von Art. 10 I GG auch das lokale Funknetzwerk erfasst.1119 Der Grund dafür liegt vornehmlich in der besonderen Schutzbedürftigkeit des Betroffenen aufgrund des technisch bedingten Mangels an Beherrschbarkeit des Vorgangs durch das notwendige Aus-der-Hand-geben der Informationen. Auf strafprozessualer Ebene stellt sich nun ebenfalls die Frage, wo Telekommunikation i.S.v. § 100a I S. 1 StPO genau endet (respektive beginnt). Erst wenn die Daten auf dem informationstechnischen Endgerät des Nutzers angekommen sind oder bereits nach der 1116 Sondern unter Umständen der Schutzbereich des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme eröffnet sei und keine Norm in der StPO bisher in der Lage wäre, einen Eingriff in das neue IT-Grundrecht zu rechtfertigen. 1117 Dazu sogleich in Abschnitt 1. auf Seite 259. 1118 Sie sind eigentlich an nur einen speziellen WLAN-Adapter adressiert. 1119 Siehe Abschnitt (b) auf Seite 192.
236
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Teilnehmeranschlussleitung am Router, wenn die Daten in das lokale Netzwerk und damit in den Herrschaftsbereich des Betroffenen eintreten? Telekommunikation i.S.v. § 100a I S. 1 StPO erfasst nach herrschender Meinung nur den technischen Vorgang der Nachrichtenübermittlung, also die Strecke vom Absenden der Signale bis zu deren Empfang durch den Betroffenen.1120 Die Information darf noch nicht beim Empfänger angekommen sein, also an einer beliebigen Speicherstelle zur Entgegennahme zur Verfügung stehen.1121 So sind beispielsweise schon ausgedruckte Nachrichten, auf dem Faxgerät eingegangene Mitteilungen, auf der Festplatte eines Rechners abgespeicherte Daten oder auch vom Anrufbeantworter aufgezeichnete Gespräche und eingegangene SMS-Nachrichten nicht mehr von § 100a I S. 1 StPO erfasst.1122 Wie in den Auffassungen deutlich wird und wie die Beispiele veranschaulichen, erfolgt die Abgrenzung nicht anhand von Herrschaftssphären. Vielmehr wird auf die Handhabung der elektromagnetischen oder optischen Signale Bezug genommen. Werden die Signale noch ausgesendet, übermittelt, übertragen oder empfangen, bzw. sind die Informationen noch in Datenpakete verkapselt,1123 handelt es sich um die Phase der Nachrichtenübermittlung. Erst wenn die Signale auf einem informationstechnischem System endgültig angekommen sind bzw. der Verkapselungsvorgang rückgängig gemacht und die ursprünglichen Daten wieder zusammengesetzt wurden, also die Informationen dort dauerhaft gespeichert oder auch nur zwischengespeichert und dann aber verworfen und nicht weitergesendet werden, ist diese Phase beendet. Entsprechend wird daher in der Regel das Endgerät des Betroffenen zur Abgrenzung herangezogen.1124 Auch wenn die Datenpakete vom Router teilweise kurz zwischengespeichert („gebuffert“) werden, haben sie ihren Bestimmungsort noch nicht erreicht und werden durch das lokale Funknetzwerk noch weitertransportiert. Damit sind auch diese „letzten Meter“ im WLAN Teil des Übertragungsweges und damit Telekommunikation i.S.v. § 100a I S. 1 StPO.1125 Insoweit kommt es auch im Bezug auf diese Fragestellung zum Gleichschritt zwischen Strafprozessrecht und Verfassungsrecht.
1120 Bspw. Graf in: BeckOK, StPO, § 100a, Rn. 21; Bruns in: Hanich (Hrsg.), KK-StPO, § 100a, Rn. 5. 1121 Dazu: Bruns in: Hanich (Hrsg.), KK-StPO, § 100a, Rn. 5; Singelnstein, NStZ, 2012, S. 593 ff. (S. 595). 1122 Graf in: BeckOK, StPO, § 100a, Rn. 23. 1123 Böckenförde, Die Ermittlungen im Netz, S. 439. 1124 BGHSt 42, 139, Abs. 45; Hauck in: Löwe-Rosenberg, StPO, § 100a, Rn. 33; Bär in: v. Heintschel-Heinegg/Bockemühl (Hrsg.), KMR, StPO, § 100a StPO, Rn. 12. 1125 Zu diesem Ergebnis kommt ausdrücklich auch Meininghaus, Der Zugriff auf E-Mails im strafrechtlichen Ermittlungsverfahren, S. 80.
I. Die Primärmaßnahme
(c)
237
Betroffenheit von Datenpaketen, die nur innerhalb des lokalen Netzwerks zirkulieren
Es ist denkbar, wenn auch selten, dass die Primärmaßnahme Daten betrifft, die nicht mit dem Internet-Netzwerk ausgetauscht werden, sondern nur innerhalb des lokalen Funknetzwerks zirkulieren. Etwa wenn vom Endgerät des Betroffenen ein Druckauftrag an den lokalen Netzwerkdrucker gesendet wird. Singelnstein wirft für diese Situation allerdings die Frage auf, ob der Nutzer berechtigterweise von einer besonderen Vertraulichkeit ausgehen darf – wohl weil eine willentliche Öffnung nach außen fehlen könnte, ähnlich der Situation bei einer Online-Durchsuchung. Eine solche besondere, schutzwürdige Vertraulichkeit könnte es erforderlich machen, diese Daten dem Schutz von Art. 13 GG zu unterstellen,1126 mit der Folge dass der Zugriff auf diese Daten nicht im Rahmen von § 100a I S. 1 StPO erfolgen könnte. Auf Ebene des Verfassungsrechts hat die in der rechtswissenschaftlichen Literatur intensiv geführte Diskussion zum Schutzbereich des Rechts auf Unverletzlichkeit der Wohnung im Zusammenhang mit der Online-Durchsuchung allerdings gezeigt,1127 dass Art. 13 I GG Schutz nur aufgrund der besonderen Abschirmungsfunktion der Wohnung gewährt. In den Schutzbereich kann daher nur eingegriffen werden, wenn durch eine Überwachungsmaßnahme die räumlichen Barrieren wie Wände und Decken etc. als Wahrnehmungshindernis überwunden werden. In der hier einschlägigen Situation fehlt es aber bereits an einem derartigen Überwinden. Es sei in Erinnerung gerufen, dass bei dem Überwachen eines WLAN die Primärmaßnahme das passive, heimliche Mitschneiden des Datenstroms eines lokalen Funknetzwerks umfasst. Dabei werden nach außen dringende elektromagnetische Wellen von außen mitgeschnitten. Das bedeutet, dass selbst Datenpakete, die aus informationstechnischer Perspektive nur innerhalb eines lokalen Netzwerks zirkulieren, aus geographischer Perspektive bereits von sich aus den schützenden Bereich verlassen haben (ohne durch die räumlichen Barrieren daran gehindert worden zu sein), indem sie durch den Access Point über die Grenzen der Wohnung hinaus emittiert worden sind.1128 Dabei ist es unerheblich, ob beim Anwender das subjektive Gefühl entsteht, dass die Daten nur innerhalb seines Bereichs bleiben, wenn sie tatsächlich diesen Bereich verlassen.1129 Art. 13 I GG schützt 1126 Leider unternimmt er keinen Versuch der Beantwortung, vgl. Singelnstein, NStZ, 2012, S. 593 ff. (S. 599). 1127 Dazu ausführlicher und mit weiterführenden Literaturhinweisen in Abschnitt (1) auf Seite 269. 1128 Im Rahmen der Sekundärmaßnahme I wird gezeigt, dass selbst von außen in die Wohnung dringende Datenpakete nicht in den Schutzbereich von Art. 13 I GG eingreifen, vgl. Abschnitt (1) auf Seite 269. 1129 Ein ähnliches Gefühl dürfte sich etwa bei einer modernen Einbindung einer „Cloud“ in das eigene Dateisystem einstellen, denn dabei entsteht der Eindruck, die Daten
238
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
demnach also auch solche Datenpakete nicht, die lediglich innerhalb eines lokalen Netzwerks zirkulieren. Aus der Perspektive des Telekommunikationsgeheimnisses ist es hingegen grundsätzlich unerheblich, wer der Betreiber der Übertragungseinrichtung ist. So werden auch haus- oder betriebsinterne Computeranlagen von Art. 10 I GG erfasst.1130 Damit sind, wie bereits oben ausführlich dargestellt,1131 sämtliche Daten innerhalb des lokalen Funknetzwerks vom Telekommunikationsgeheimnis geschützt. Aus strafprozessualer Sicht ist es ebenfalls grundsätzlich für den Telekommunikationsbegriff in § 100a I S. 1 StPO unerheblich, wer die Telekommunikationsanlage1132 betreibt, die die Übertragung der Datenpakete besorgt.1133 Im Ergebnis ergeben sich somit auch für Datenpakete, die nur innerhalb des lokalen Funknetzwerks zirkulieren, keine Besonderheiten. Sie können ebenfalls über § 100a I S. 1 StPO erfasst werden. bb)
„Überwacht und aufgezeichnet“
(1)
Zulässigkeit der selbständigen Durchführung einer Überwachungsmaßnahme durch die Strafverfolgungsbehörden im Rahmen von § 100a I S. 1 StPO
Im Rahmen der Inhaltsbestimmung dieses Merkmals soll zunächst kurz geklärt werden, ob § 100a I S. 1 StPO überhaupt das selbständige Durchführen von Überwachungsmaßnahmen durch die Strafverfolgungsbehörden gestattet, wie es die hier einschlägige Primärmaßnahme vorsieht. Seit dem 24.08.2017 regelt § 100a IV StPO diesen Aspekt des Verfahrens bei der Telekommunikationsüberwachung.1134 Darin wird ausgeführt, dass „jeder, der Telekommunikationsdienste erbringt oder daran mitwirkt, [...] diese Maßnahmen zu ermöglichen und die erforderlichen Auskünfte unverzüglich zu erteilen“ hat. Darin wird, von einer vornehmlich früher durchaus weit verbreiteten Auffassung,1135 eine Obliegenheit gesehen, Maßnahmen i.S.v. von § 100a I S. 1 StPO nur unter Mitwirkung von Telekommunikationsdienstleistungserbringern durchzuführen. Damit würde die Norm lägen auf der eigenen Festplatte, obwohl sie tatsächlich bei einem Cloud-Anbieter gehostet werden, nachdem sie über das Internet-Netzwerk hochgeladen wurden. 1130 Jarass in: Jarass/Pieroth, GG, Art. 10 GG, Rn. 8; Hermes in: Dreier, Grundgesetz, § 100a, Rn. 37. Es wird lediglich ein „Aus-der-Hand-Geben“ der Information verlangt, vgl. Hermes in: Dreier, Grundgesetz, § 100a, Rn. 38. 1131 Dazu in Abschnitt (b) auf Seite 192. 1132 Hier der Access Point im Router. 1133 Siehe Abschnitt (1) auf Seite 227. 1134 Das Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens brachte jedoch keinerlei inhaltliche, sondern lediglich redaktionelle Änderungen, vgl. BT-Drucks. 18/12785, S. 52, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/18/ 127/1812785.pdf (Stand: Dezember 2017). 1135 M.w.N.: Becker/Meinicke, StV, 2011, S. 50 ff. (S. 52).
I. Die Primärmaßnahme
239
den Ermittlungsbehörden nicht die Befugnis einräumen, ohne den Netzbetreiber selbständig tätig zu werden.1136 Begründet wird diese Ansicht vor allem damit, dass so Gefahren für die Infrastruktur der betroffenen Netzbetreiber entstehen, die § 109 TKG zuwiderlaufen, wenn die Ermittlungsbehörden in die Infrastruktur eindringen und dabei Sicherheitslücken ausnutzen.1137 Diese Ansicht ist, unbeschadet der sinnvollen Begründung, insofern erstaunlich, da der Gesetzgeber in der Begründung zum Gesetzesentwurf zur Neuregelung der Telekommunikationsüberwachung ausdrücklich anführt: „Eine Obliegenheit der Strafverfolgungsbehörden, Telekommunikationsüberwachungsmaßnahmen stets unter Mitwirkung eines Telekommunikationsdienstleisters durchzuführen, wird damit allerdings nicht begründet“.1138 Zudem gestattet § 100a I S. 1 StPO selbst, der gerade die Voraussetzungen für die Telekommunikationsüberwachung regelt, grundsätzlich das Überwachen und Aufzeichnen durch den Antragsteller. Das wird mit den neu eingefügten Eingriffsermächtigungen des § 100a I S. 2, 3 StPO noch deutlicher.1139 Eine Obliegenheit zur Beteiligung Dritter statuieren diese Normen gerade nicht. Die dem § 100a I, II StPO nachfolgenden Absätze hingegen regeln nur Modalitäten der Durchführung. Historisch gesehen entstand die Notwendigkeit einer Regelung wie die in § 100a IV StPO auch nur durch die Privatisierung der Deutschen Bundespost.1140 Entsprechend sieht die heute herrschende Meinung auch das selbständige Tätigwerden der Behörden als von § 100a I StPO gedeckt an.1141 Ob § 100a I S. 1 StPO auch das Eindringen in Räumlichkeiten oder Anlagen eines Telekommunikationsdienstleisters ohne dessen Mitwirkung gestatten würde, kann hier allerdings letztlich offen bleiben, da im konkreten Fall des WLAN-Catchings die staatlichen Behörden außerhalb des geschützten Bereichs1142 der Netzbetreiber agieren.1143 Die spezielle Gefahr, die als Grund für die Obliegenheit einer Mitwir1136 Bspw. Buermeyer/Bäcker, HRRS, 2009, S. 433ff. (S. 440). 1137 Eckhardt, CR, 2007, S. 336 ff. (S. 338). 1138 Vgl. BT-Drucks. 16/5846, S. 47, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/ 16/058/1605846.pdf (Stand: Dezember 2017). 1139 Entsprechend spricht die Gesetzesbegründung für das Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens davon, dass die Überwachung und Aufzeichnung nur „in der Regel“ über Dritte erfolgt, vgl. BT-Drucks. 18/12785, S. 52, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/18/127/1812785.pdf (Stand: Dezember 2017). 1140 Dazu bereits: Jordan, Kriminalistik, 2005, S. 514 ff. (S. 516 f.). 1141 Vgl. mit weiteren Nachweisen: Schmitt in: Meyer-Goßner/Schmitt, StPO, § 100a StPO, Rn. 8, Bär in: v. Heintschel-Heinegg/Bockemühl (Hrsg.), KMR, StPO, § 100a, Rn. 31b, Wolter/Greco in: Wolter (Hrsg.), SK-StPO, Band II, 2016, § 100b, Rn. 19, Günther in: MüKo, StPO, § 100b, Rn. 53. 1142 Dazu ausführlich in Abschnitt (b) auf Seite 192. 1143 Hauck in: Löwe-Rosenberg, StPO, § 100a, Rn. 10.
240
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
kungspflicht des Telekommunikationsdienstleistungserbringers angeführt wird, kann sich damit nicht realisieren. (2)
„Überwacht und aufgezeichnet“
§ 100a I S. 1 StPO gestattet das „Überwachen“ und „Aufzeichnen“ von Telekommunikation. Die Überwachung dient dabei der akustischen oder sonstigen Wahrnehmung.1144 Aus dem Zusammenhang mit Telekommunikation ergibt sich, dass sich eine Überwachung nur auf Daten beziehen dürfte, die noch übertragen werden und zu diesem Zeitpunkt gerade nicht dauerhaft gespeichert vorliegen.1145 Aufzeichnung meint die Perpetuierung der erlangten Informationen.1146 Die Verwendung des Terminus „Aufzeichnung“ anstelle von „Aufnahme auf Tonträger“ verdeutlicht, dass auch alle modernen, digitalen Formen der Nachrichtenübertragung einbezogen sind.1147 Mit erfasst ist die Auswertung der aufgezeichneten Inhalte.1148 Insofern ergeben sich für das Mitschneiden und Speichern des Datenverkehrs eines lokalen Funknetzwerks keine Besonderheiten. cc)
„Auch ohne Wissen“
Wie schon in der Erläuterung der Maßnahme1149 angeführt, ist das WLAN-Catching nur sinnvoll, wenn es verdeckt bzw. heimlich durchgeführt wird. § 100a I S. 1 StPO erlaubt ausdrücklich das Überwachen auch ohne das Wissen des Betroffenen und weist damit gesondert auf die besondere Eingriffsintensität der Maßnahme hin.1150 Der Betroffene muss damit weder vor noch während der Durchführung der Maßnahme unterrichtet werden.1151 Sogar nach Beendigung der Maßnahme kann eine Unterrichtung unterbleiben oder zurückgestellt werden, vgl. § 101 IV-VII StPO.1152 dd)
„Betroffene“
Nach § 100a I S. 1 StPO richtet sich die Telekommunikationsüberwachung gegen den Betroffenen, der in § 100a III 1. Var. StPO als Beschuldigter präzisiert wird. Grundsätzlich betrifft die Primärmaßnahme sämtlichen über den betreffenden Access Point ausgetauschten Datenverkehr, daher auch alle das WLAN zum 1144 1145 1146 1147 1148 1149 1150 1151 1152
Wolter/Greco in: Wolter (Hrsg.), SK-StPO, Band II, 2016, § 100a, Rn. 20. Brodowski, ZiS, 2012, S. 474 ff. (S. 476). Günther in: MüKo, StPO, § 100a, Rn. 86, 90. Bär in: v. Heintschel-Heinegg/Bockemühl (Hrsg.), KMR, StPO, § 100a, Rn. 15. Böckenförde, Die Ermittlungen im Netz, S. 442. Siehe Abschnitt 1. auf Seite 186. Bär in: v. Heintschel-Heinegg/Bockemühl (Hrsg.), KMR, StPO, § 100a, Rn. 14. Günther in: MüKo, StPO, § 100a, Rn. 76. Zur Verfassungsmäßigkeit der Regelungen in § 101 IV - VI StPO siehe BVerfG NJW 2012, 833.
I. Die Primärmaßnahme
241
konkreten Zeitpunkt nutzenden Endgeräte. Zwar ließen sich die Daten einzelner Endgeräte durchaus anhand der MAC-Adresse1153 herausfiltern. Im Unterschied zum Herausfiltern etwa der Daten von Anwendungen, die der klassischen interpersonalen Kommunikation dienen,1154 wäre das auch ohne inhaltliche Wahrnehmung möglich.1155 Während der Access Point sich entweder mit Hilfe des Providers oder auch selbständig lokalisieren und zuordnen lässt1156, dürften die Behörden in der Praxis allerdings nur in seltenen Fällen die konkrete MAC-Adresse der Endgeräte des Beschuldigten in Erfahrung bringen können. Zudem lässt sich die an sich weltweit eindeutige MAC-Adresse sehr leicht fälschen und auch permanent verändern. Daher kann es dazu kommen, dass sich die Maßnahme auch gegen Dritte richtet, die den Access Point des Beschuldigten mitnutzen (1. Variante), bzw. gegen Dritte, die, den Access Point betreiben, den der Beschuldigte mitnutzt (2. Variante). Insofern regelt § 100a III 2. Var. StPO (nunmehr auch für IT-Systeme) explizit, dass sich die Anordnung auch gegen Personen richten darf, von denen anzunehmen ist, dass „der Beschuldigte ihren Anschluss oder ihr informationstechnisches System benutzt“. Damit ist die 2. Variante ausdrücklich abgedeckt. Das gilt auch dann, wenn der Betreiber von der Mitbenutzung gar keine Kenntnis hat.1157 Nicht aufgeführt ist jedoch die 1. Variante. Allerdings ist sie mit einer anderen Situation vergleichbar. Nutzt etwa der Beschuldigte öffentliche Fernsprechzellen, ist ihr Abhören zulässig, auch wenn dadurch unbeteiligte Dritte betroffen sind.1158 Entsprechend gestattet die herrschende Meinung auch einhellig die Überwachung von Geräten, auch wenn nicht-beschuldigte (unvermeidbar betroffene) Dritte davon betroffen sind,1159 obschon in § 100a III StPO immer noch eine entsprechende ausdrückliche Regelung, wie sie § 100c II S. 3 StPO (nunmehr auch § 100b III S. 3 StPO) vorsieht, fehlt.1160 In Einklang damit darf das WLAN-Catching auch in einer Situation der 1. Variante durchgeführt werden. Freilich muss zur Wahrung der Verhältnismäßigkeit sichergestellt werden, dass die aufgezeichneten Telekommunikationsdaten Unverdächtiger sogleich gelöscht werden. Zusätzlich 1153 Siehe Abschnitt (e) auf Seite 50. 1154 Siehe Abschnitt 1. auf Seite 186. 1155 Das hängt mit dem Aufbau der Protokolldateneinheiten, respektive mit dem Vorgang der Verkapselung zusammen, bei dem sich die entsprechende Information in einer der äußersten Schichten befindet, vgl. Abschnitt III. auf Seite 52. 1156 Dazu ausführlich in Abschnitt 1. auf Seite 73 ff. 1157 Graf in: BeckOK, StPO, § 100a, Rn. 145. 1158 Bruns in: Hanich (Hrsg.), KK-StPO, § 100a, Rn. 35. 1159 Beispielhaft: Schmitt in: Meyer-Goßner/Schmitt, StPO, § 100a, Rn. 18; Graf in: BeckOK, StPO, § 100a, Rn. 148. 1160 Es greifen aber wohl besondere Beweisverwertungsverbote und entsprechende Verwendungsverbote, vgl. Wolter/Greco in: Wolter (Hrsg.), SK-StPO, Band II, 2016, § 100a, Rn. 53.
242
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
können durch Beobachtung während der Überwachung systematisch Unbeteiligte ausgeschlossen werden.1161 ee)
Sonstige Anordnungsvoraussetzungen von § 100a I S. 1 StPO
Die rechtmäßige Vornahme einer Überwachungsmaßnahme nach § 100a I S. 1 StPO ist noch von dem Vorliegen weiterer Anordnungsvoraussetzungen abhängig. So darf die Maßnahme nur durchgeführt werden, wenn bestimmte Tatsachen den Verdacht begründen, dass der Betroffene eine schwere Straftat gemäß de Anlasstatenkatalog in § 100a II StPO begangen hat, vgl. § 100a I S. 1 Nr. 1 StPO, und die Tat auch im Einzelfall schwer wiegt, § 100a I S. 1 Nr. 2 StPO. Die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes des Beschuldigten muss auf andere Weise nur wesentlich erschwert oder aussichtslos sein, § 100a I S. 1 Nr. 3 StPO, und auch im Übrigen muss der Verhältnismäßigkeitsgrundsatz gewahrt werden. Zudem ist der Kernbereich der privaten Lebensgestaltung zu wahren, § 100d StPO. Der Richtervorbehalt und weitere formelle Voraussetzungen finden sich in § 100e StPO. Da sich im Bezug auf diese Anordnungsvoraussetzungen keine Besonderheiten für die hier untersuchte Primärmaßnahme des Mitschneidens und Speicherns des Datenverkehrs eines lokalen Funknetzwerks ergeben und zudem diese Punkte bereits in zahlreichen Dissertationen,1162 Aufsätzen und Kommentaren ausführlich beleuchtet wurden und werden, wird an dieser Stelle auf eine weitere Erläuterung verzichtet. Liegen die weiteren Anordnungsvoraussetzungen vor, lässt sich damit im Ergebnis die Primärmaßnahme über § 100a I S. 1 StPO rechtfertigen.1163 1161 Graf in: BeckOK, StPO, § 100a, Rn. 146. Beispielsweise indem ihre MAC-Adressen vorab herausgefiltert werden. 1162 Beispielhaft: Eckhardt, Effizienzanalyse der Telekommunikationsüberwachung nach § 100a StPO, S. 11 ff.; Böckenförde, Die Ermittlungen im Netz, S. 417 ff.; Störing, Strafprozessuale Zugriffsmöglichkeiten auf E-Mail-Kommunikation, S. 121 ff.; Meininghaus, Der Zugriff auf E-Mails im strafrechtlichen Ermittlungsverfahren, S. 77 ff. 1163 Exkurs: Sollte man der hier vertretenen Ansicht nicht folgen, dass die Primärmaßnahme ausschließlich in das Fernmeldegeheimnis gem. Art. 10 I GG eingreift, sondern die Auffassung vertreten, dass auch der Schutzbereich von Art. 13 I GG eröffnet ist (ausführlich in Abschnitt c) auf Seite 209 ff.), ließe sich das Abhören lokaler Funknetzwerke nicht auf § 100a I S. 1 StPO stützen. In dem Falle könnte man daran denken, die Maßnahme auf § 100c StPO zu stützen. So wollen etwa Albrecht/Braun den Teilbereich der strafprozessualen Überwachung des (gesamten) Surfverhaltens zumindest übergangsweise über § 100c StPO rechtfertigen, vgl. Albrecht/Braun, HRRS, 2013, S. 500 ff. (S. 507 f.); zweifelnd: Schmitt in: MeyerGoßner/Schmitt, StPO, § 100a StPO, Rn. 7d. § 100c StPO gestattet unter bestimmten Voraussetzungen das Abhören und Aufzeichnen des in einer Wohnung nichtöffentlich gesprochenen Wortes mit technischen Mitteln. Eingriffsobjekt der Norm ist also das gesprochene Wort. Darunter werden gemeinhin alle artikulierten Äußerungen
I. Die Primärmaßnahme
ff)
243
Zusammenfassung: Anwendbarkeit von § 100a I S. 1 StPO für das Mitschneiden und Speichern des Datenverkehrs eines lokalen Netzwerks (Abhören des WLAN) inkl. Überwachung des Surfverhaltens
Die Anwendbarkeit von § 100a I S. 1 StPO als Ermächtigungsgrundlage für die Primärmaßnahme kreist zentral um die Frage, ob die Datenströme des lokalen Netzwerks das Merkmal „Telekommunikation“ im Sinne der Norm erfüllen. Insbesondere bezüglich der Problematik, ob der Begriff auf interpersonale Kommunikation beschränkt ist, herrschen konträre Ansichten vor. Letztlich sollte auch eine verfahrensrechtliche Begriffsbestimmung die verfassungsrechtlichen Vorgaben bezüglich der Reichweite des Telekommunikationsgeheimnisses berücksichtigen, so dass nur solche mittels Telekommunikationsanlagen ausgesendeten, übermittelten oder empfangenen Signale (Telekommunikationsvorgang im Sinne des TKG), die auf dem dafür vorgesehenen Weg und durch den Verteilungsmodus der Zugangsbeschränkung (keine Überwindung konkreter Zugangshindernisse) eine Wahrnehmung durch die Allgemeinheit erlauben, aus dem Anwendungsbereich von § 100a I S. 1 StPO ausgeschieden werden. Damit kommt es grundsätzlich zum Gleichschritt des Anwendungsbereichs von § 100a I StPO in Bezug auf das Telekommunikationskriterium mit dem gegenständlichen Schutzbereich des Telekommunikationsgeheimnisses in Art. 10 I GG. Zu einem sprachlicher Art, nicht aber Töne oder Tonfolgen allein verstanden (Günther in: MüKo, StPO, § 100c, Rn. 18). Die im WLAN übertragene Gesamtmenge an Daten kann auch konkrete menschliche Äußerungen enthalten, allerdings in digitaler Form. Das bedeutet, dass irgendwann zuvor die analoge menschliche Äußerung über einen Sensor (z.B. ein Mikrofon) und einen Analog-Digital-Umsetzer in ein digitales Signal umgewandelt worden ist. Wie der Wortlaut von § 100c StPO aufzeigt, erlaubt die Norm das Abhören und Aufzeichnen des gesprochenen Wortes. Sie bezieht sich damit auf das gesprochene Wort während des aktuellen Sprechvorgangs (ausführlich: Böckenförde, Die Ermittlungen im Netz, S. 225 f.), nicht jedoch auf umgewandelte, zu einem früheren Zeitpunkt gesprochene Worte in Form digitaler Signale, die derart nur von speziellen Geräten wie Computern gelesen und verarbeitet werden können, für Menschen so jedoch unverständlich sind. Eine anderslautende, „technikoffene“ Auslegung würde den vom Wortlaut gezogenen Rahmen deutlich sprengen (zu den Grenzen einer „technikoffenen“ Auslegung: Roggan, NJW, 2015, S. 1995 ff. (S. 1999)). Davon abgesehen betrifft die Primärmaßnahme noch viele weitere Daten, die sich nicht auf menschliche, akustische Äußerungen zurückführen lassen. Ein Filtern nur nach früheren menschlichen Äußerungen ist zudem technisch nicht umsetzbar. § 100c StPO lässt sich daher bereits aus diesem Grund nicht als Rechtfertigungsnorm für die Primärmaßnahme heranziehen. Aus dem genau gleichen Grund schiede von vornherein auch § 100f StPO aus. Genauso wenig käme im Übrigen § 100h StPO in Betracht, weil dort körperlich wahrnehmbare Bewegungen bzw. Bildaufnahmen das Eingriffsobjekt bilden. Vertritt man die Auffassung, dass von der Primärmaßnahme auch Art. 13 I GG betroffen sei, wäre damit das strafprozessuale Abhören lokaler Funknetzwerke insgesamt unzulässig.
244
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Auseinderdriften kommt es nur noch bei bestimmten Phasen der Zwischenspeicherung. Diese Ansicht hat auch das Bundesverfassungsgericht nunmehr ausdrücklich gebilligt. Von 100a StPO nicht erfasst ist damit lediglich die reine Maschinezu-Maschine-Kommunikation, bei der jeglicher Bezug zu einer menschlichen Informationsgewinnung fehlt. Damit ist konkret der gesamte Rohdatenstrom eines lokalen Funknetzwerks, ausgenommen eine etwaige Maschine-zu-Maschine-Kommunikation,1164 sowohl als Telekommunikation im verfassungsrechtlichen als auch im strafprozessualen Sinn zu verstehen. Das gilt auch für ein offen betriebenes WLAN, da eine fremde Wahrnehmung dieser Daten zwar mangels Verschlüsselung sehr einfach möglich ist, aber nicht auf dem dafür vorgesehenen Weg erfolgen kann. Auch ist im lokalen Funknetzwerk aus strafprozessualer Sicht die Nachrichtenübermittlung noch nicht beendet (respektive hat bereits begonnen), da sie noch nicht auf einem informationstechnischen System endgültig angekommen oder von einem solchen System endgültig verworfen worden ist. Weil eine solche heimliche Maßnahme auch von den Behörden selbständig durchgeführt werden kann, lässt sich im Ergebnis das passive Mitschneiden und Speichern des Datenverkehrs eines lokalen Netzwerks (Abhören des WLAN; WLAN-Catching), soweit die übrigen Anordnungsvoraussetzungen erfüllt sind, auf § 100a I S. 1 StPO stützen. Der große Unterschied zur Quellen-Telekommunikationsüberwachung (oder auch zur Online-Durchsuchung) liegt darin, dass bei der Primärmaßnahme kein ITSystem infiltriert werden muss und nahezu alle durch diese Maßnahme erfassten Daten per se nur „Telekommunikation“ betreffen können. Damit bedarf es weder „spezieller technischer Vorkehrungen“, wie sie das BVerfG fordert, die garantieren, dass der Eingriffsgegenstand auf Telekommunikation begrenzt ist, noch besteht eine Missbrauchsgefahr, wenn dies nicht sichergestellt werden kann. f) Anwendbarkeit von § 100a I S. 2 StPO? Nachdem festgestellt wurde, dass § 100a I S. 1 StPO für den mit der Primärmaßnahme einhergehenden Grundrechtseingriff als Rechtfertigung herangezogen werden kann, stellt sich die Frage, ob die Primärmaßnahme auch auf die mit Wirkung vom 24.08.2017 neu eingefügte Ermächtigungsgrundlage1165 des § 100a I S. 2 StPO gestützt werden kann.1166 § 100a I S. 2 StPO vermag ebenso wie § 100a I 1164 Dazu sogleich in Abschnitt 1. auf Seite 259. 1165 Dazu, dass es sich bei § 100a I S. 2 und 3 StPO um eigenständige Ermächtigungsgrundlagen handelt, siehe: BT-Drucks. 18/12785, S. 51, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/18/127/1812785.pdf (Stand: Dezember 2017). 1166 Zielstellung dieser Arbeit kann nicht sein, die Verfassungsmäßigkeit einzelner strafprozessualer Normen zu überprüfen, auch wenn daran durchaus Zweifel bestehen können (insbesondere in Bezug auf § 100a I S. 3 StPO, vgl. etwa in Abschnitt Abschnitt (a) auf Seite 190 am Ende). Daher wird an dieser Stelle von der grundsätzlichen
I. Die Primärmaßnahme
245
S. 1 StPO als Rechtsgrundlage für Eingriffe in das Telekommunikationsgeheimnis dienen.1167 Die zweite Ermächtigungsgrundlage im ersten Absatz von § 100a StPO gestattet nicht eine gänzlich andere Ermittlungsmaßnahme, sondern lediglich, unter den gleichen Anordnungsvoraussetzungen wie § 100a I S. 1 StPO,1168 eine spezielle Modalität, also eine konkrete Art und Weise der Durchführung einer Telekommunikationsüberwachung.1169 Sie soll den Anwendungsbereich der klassische Telekommunikationsüberwachung erweitern.1170 Die Ergänzung war deswegen erforderlich, weil nach umstrittener, aber überwiegender Ansicht die spezielle Ausführungsmodalität der sog. Quellen-Telekommunikation nicht mehr unter § 100a I S. 1 StPO gefasst werden kann.1171 Nach § 100a I S. 2 StPO darf nun Telekommunikation auch in der Weise überwacht und aufgezeichnet werden, „dass mit technischen Mitteln in von dem Betroffenen genutzte informationstechnische Systeme eingegriffen wird“.
§ 100a I S. 2 StPO kann damit hier nur Relevanz entfalten, wenn die Primärmaßnahme, also das passive Mitschneiden und Speichern des Datenverkehrs eines lokalen Netzwerks dieser speziellen Ausführungsmodalität zugeordnet werden kann. Dazu müsste sich das Abhören des WLAN insbesondere unter das Merkmal „Eingreifen in informationstechnische Systeme“ subsumieren lassen. Das wäre dann zumindest denkbar, wenn etwa das „Eingreifen in informationstechnische Systeme“ sehr weit und in dem Sinne zu verstehen wäre, dass jegliche Form des Zugriffs auf Daten eines IT-Systems erfasst sein soll. Zunächst ist daher eine Bestimmung des Begriffs „eingegriffen“ vorzunehmen. aa)
Strafprozessuale Begriffsbestimmung des Merkmals „in informationstechnische Systeme eingegriffen“
Nach Kenntnis des Autors wurde der Begriff „eingegriffen“ bzw. „eingreifen“ durch das Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Vereinbarkeit des § 100a I S. 2, 3 StPO mit dem Grundgesetz ausgegangen. Zu einer unter Umständen notwendigen verfassungskonformen Auslegung von § 100a I S. 2 StPO siehe im Rahmen der Sekundärmaßnahme II in Abschnitt (2) auf Seite 312. 1167 Vgl. BT-Drucks. 18/12785, S. 51, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/ 18/127/1812785.pdf (Stand: Dezember 2017); Graf in: BeckOK, StPO, § 100a, Rn. 109. 1168 Ebd. Vgl. Fußnote 1167, S. 51. Lediglich § 100a V StPO legt besondere technische Voraussetzungen für die Durchführung fest. 1169 Freiling/Safferling/Rückert, JR, 2018, S. 9 ff. (S. 10). 1170 Ebd. Vgl. Fußnote 1167, S. 48. 1171 Zum Meinungsstand siehe BT-Drucks. 18/12785, S. 49, abrufbar unter: http://dipbt. bundestag.de/dip21/btd/18/127/1812785.pdf (Stand: Dezember 2017).
246
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Strafverfahrens neu in die Strafprozessordnung eingeführt und fand bisher keine Verwendung.1172 Die ausführliche Gesetzesbegründung gibt aber deutliche Hinweise darauf, wie der Gesetzgeber den Begriff und die Maßnahme verstanden hat. In den Vorbemerkungen zu den strafprozessualen Änderungen führt der Gesetzgeber aus, dass der grundsätzliche Sinn und Zweck der Einführung der §§ 100a I S. 2, 3, 100b StPO darin besteht, der wichtigen Rolle, welche die zahlreichen neuartigen vernetzten Kommunikationsdienste spielen, Geltung zu verschaffen, wenn es um die Aufklärung von Straftaten geht.1173 Konkret § 100a I S. 2 StPO soll vornehmlich eine Rechtsgrundlage für die „Quellen-Telekommunikationsüberwachung“ schaffen. Die „Quellen-Telekommunikationsüberwachung“ wird direkt im Anschluss definiert als eine Maßnahme, bei der „ein fremdes informationstechnisches System infiltriert [wird], um mit einer eigens für diesen Zweck entwickelten Überwachungssoftware die Kommunikation zwischen den Beteiligten überwachen und aufzeichnen zu können“.1174 Der Gesetzgeber geht in seinem Leitbild für die Schaffung der Norm also erkennbar davon aus, dass bei der Maßnahme in ein IT-System eingedrungen („infiltriert“) und dabei Software auf diesem System installiert wird. In den Vorbemerkungen konkret zu den Änderungen von § 100a StPO heißt es präziser: „Technisch kann die Ausleitung der Kommunikation vor der Verschlüsselung über eine spezielle Software erfolgen, die auf dem Endgerät des Betroffenen verdeckt installiert wird“.1175 Der Gesetzgeber wählt hier die Formulierung „kann“. Eine Installation von Software auf dem Endgerät prägt zwar das Bild, ist aber nicht zwingend. Entscheidend für den Gesetzgeber ist, wie sich im Anschluss, in den konkreten Ausführungen zu § 100a I S. 2 StPO zeigt, dass die „technischen Geräte“ des Betroffenen „infiltriert und damit verändert werden“.1176
Zentrale Voraussetzung für das Vorliegen eines Eingreifens in informationstechnische Systeme gem. § 100a I S. 2 StPO ist demnach, dass in ein IT-System des Betroffenen eingedrungen wird, indem DatenindexDaten@Daten des IT-Systems verändert oder manipuliert werden.1177 Dieses Verständnis entspricht auch dem Wortsinn von „eingreifen“. Eingreifen meint „durch entscheidendes Handeln auf 1172 Auch die Bezeichnung „Eingriff“ findet nur im Zusammenhang mit „körperlichen Eingriffen“ Verwendung und kann somit nicht zur Erhellung beitragen. 1173 Vgl. BT-Drucks. 18/12785, S. 46, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/ 18/127/1812785.pdf (Stand: Dezember 2017). 1174 Ebd. Vgl. Fußnote 1173, S. 46. 1175 Ebd. Vgl. Fußnote 1173, S. 49. 1176 Ebd. Vgl. Fußnote 1173, S. 51. 1177 So auch Freiling/Safferling/Rückert, JR, 2018, S. 9 ff. (S. 16); Roggan, StV, 2017, S. 821 ff. (S. 822). Ein tatsächliches Eindringen in ein IT-System ohne jegliche Veränderung der Daten des Systems ist auch gar nicht denkbar.
I. Die Primärmaßnahme
247
etwas Einfluss nehmen; sich entscheidend in etwas einschalten“.1178 Auch hier tritt die Komponente der Veränderung deutlich zutage.1179 Die Ausführungsmodalität des § 100a I S. 2 StPO ist damit, ausweislich der Gesetzesbegründung, zumindest in dem Sinne begrenzt, dass sich nicht jegliche Form des Zugriffs auf die Daten eines informationstechnischen Systems darunter fassen lässt, insbesondere nicht solche Zugriffe auf Daten, die ohne eine Veränderung von Daten des betreffenden IT-Systems auskommen. Der Wortsinn als äußerste Grenze auch einer „technikoffenen Auslegung“ wäre sonst überschritten.1180 bb)
Ergänzende Anhaltspunkte aus dem Verfassungsrecht?
Da bei der Bestimmung der rechtlichen Zulässigkeit und inhaltlichen Reichweite strafprozessualer Zwangsmaßnahmen (i. e. Grundrechtseingriffen) nicht ausschließlich die prozessrechtlichen Voraussetzungen Berücksichtigung finden können, sondern auch immer der verfassungsrechtliche Grundrahmen (i.e. Grundrechtsschutz) beachtet werden muss,1181 kann bei der Begriffsbestimmung auch ein Blick auf die verfassungsrechtlichen Vorgaben helfen. Diesem Umstand trägt auch die Gesetzesbegründung selbst durch zahlreiche Verweise auf die einschlägigen Urteile des BVerfG Rechnung. Das BVerfG definiert die Quellen-Telekommunikationsüberwachung als einen Vorgang, bei dem „ein komplexes informationstechnisches System zum Zweck der Telekommunikationsüberwachung technisch infiltriert“ wird.1182 Nachfolgend gibt es Hinweise, was es unter einer Infiltration versteht, nämlich, dass „auf das System so zugegriffen wird, dass dessen Leistungen, Funktionen und Speicherinhalte durch Dritte genutzt werden können“.1183 Die Termini sind nahezu wortgleich, was insofern nicht verwunderlich ist, weil sich die Gesetzesbegründung nicht nur erkennbar am Urteil des BVerfG zum NWVerfSchG orientiert, sondern ganze Passagen im Wortlaut übernommen hat. Das verfassungsrechtliche Verständnis des Vorgangs ist demzufolge deckungsgleich mit dem Verständnis des Gesetzgebers. 1178 Vgl. http://www.duden.de/rechtschreibung/eingreifen (Stand: Dezember 2017). 1179 Graf sieht ausdrücklich etwa das Installieren von Entschlüsselungs- und Übertragungssoftware erfasst, vgl. Graf in: BeckOK, StPO, § 100a, Rn. 112. 1180 Vgl. zu der vom Wortlaut gezogenen Grenze ausführlich: Roggan, NJW, 2015, S. 1995 ff. (S. 1995) und BVerfG NJW 2008, 3627, Rn. 10. Eingehender dazu nachfolgend im Zusammenhang mit dem Begriff „Funkzelle“ aus § 100g III StPO in Abschnitt (c) auf Seite 255. 1181 Dazu bereits in Abschnitt b) auf Seite 166 und Abschnitt 2. auf Seite 187. 1182 BVerfGE 120, 274, Rn. 188. 1183 BVerfGE 120, 274, Rn. 204.
248
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
cc) Ergänzende Anhaltspunkte durch die Begriffsbestimmung in § 20l II BKAG? Grundsätzlich kann das Verständnis der präventiven Ermittlungsbefugnisse im BKAG freilich nicht einfach für die Auslegung von strafprozessualen Normen herangezogen werden. Da allerdings der genaue Wortlaut nahezu identisch ist und zudem sowohl die Gesetzesbegründung ausdrücklich darauf verweist, dass die Polizeibehörden im Bereich der Gefahrenabwehr bereits seit längerer Zeit über die entsprechenden Eingriffsbefugnisse verfügen,1184 als auch auf konkrete Normen des BKAG direkt Bezug nimmt,1185 könnte die Begriffsbestimmung in § 20l II BKAG zumindest auch Anhaltspunkte für die Begriffsbestimmung in § 100a I S. 2 StPO liefern. Die Anmerkungen zu § 20l II BKAG in der Gesetzesbegründung für das Gesetz zur Abwehr von Gefahren des internationalen Terrorismus durch das Bundeskriminalamt sind jedoch denkbar knapp gehalten. Demnach schafft die Norm schlicht „eine Rechtsgrundlage für den heimlichen, technischen Eingriff in ein informationstechnisches System zum Zweck der Telekommunikationsüberwachung (sog. Quellen-Telekommunikationsüberwachung)“.1186 Was genau unter einem solchen technischer Eingriff in ein IT-System zu verstehen ist, wird darin leider nicht weiter ausgeführt. Auch die einschlägigen Kommentierungen geben keine weiterführenden Hinweise.1187 Gleiches gilt für die weitere rechtswissenschaftliche Literatur in diesem Bereich. Lediglich Piltz/Pfister führen etwas weiter aus, dass die Erhebung der Daten „mittels eines Programms, das auf dem Zielsystem installiert wird“, erfolgt.1188 Auch wenn diese Hinweise insgesamt nicht zu einem tieferen Verständnis beizutragen vermögen, unterstützten sie doch die bisherige Betrachtungsweise. dd)
Übertragung auf die Primärmaßnahme
Bei dem passiven Mitschneiden und Speichern des Datenverkehrs eines lokalen Netzwerks werden nach außen dringende elektromagnetische Wellen von außen mitgeschnitten. Ein aktiver Eingriff in den Datenverkehr des betroffenen IT1184 Vgl. BT-Drucks. 18/12785, S. 46, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/ 18/127/1812785.pdf (Stand: Dezember 2017). 1185 Teilweise ist in der Gesetzesbegründung sogar von Parallelvorschriften im BKAG die Rede, vgl. ebd. in Fußnote 1184, etwa S. 53 und 58. 1186 BT-Drucks. 16/10121, S. 29, abrufbar unter: https://dip21.bundestag.de/dip21/btd/16/ 101/1610121.pdf (Stand: Dezember 2017). 1187 Sowohl Kugelmann in: Kugelmann, BKA-Gesetz, § 20l Rn. 10, als auch Schenke in: Schenke/Graulich/Ruthig, Sicherheitsrecht des Bundes, § 20l Rn. 22 unternehmen keinen Versuch der Begriffsbestimmung, sondern geben lediglich die zuvor zitierte Formulierung der Gesetzesbegründung wieder. 1188 Piltz/Pfister, Recht und Politik, 2009, S. 4 ff. (S. 3). Diese Erläuterung erfolgt zwar im Zusammenhang mit § 20k BKAG, auf die aber die Ausführungen zu § 20l BKAG ausdrücklich verweisen.
I. Die Primärmaßnahme
249
Systems ist dabei gerade nicht erforderlich. Die Besonderheit der Maßnahme liegt darin, dass die ausgesendeten Daten nicht einmal kopiert, sondern lediglich zusätzlich auch von einem weiteren, dem staatlichen WLAN-Adapter empfangen werden. Insbesondere kommt es nicht zu irgendwie gearteten Veränderungen, Ergänzungen oder sonstigen Manipulationen der betroffenen Daten.1189 Daher lässt sich die Primärmaßnahme auch nicht unter das Merkmal „eingegriffen“ subsumieren. § 100a I S. 2 StPO vermag somit auch nicht als Rechtsgrundlage für das Mitschneiden und Speichern des Datenverkehrs eines lokalen Netzwerks dienen.1190 g)
Anwendbarkeit von § 100a I S. 3 StPO?
Die Ermächtigungsgrundlage in § 100a I S. 3 StPO soll ebenso wie § 100a I S. 2 StPO eine spezielle Modalität der Durchführung einer Telekommunikationsüberwachung gestatten. Allerdings soll § 100a I S. 3 StPO nicht nur die Art und Weise der Durchführung ausdehnen, sondern zusätzlich auch den Eingriffsgegenstand erweitern. So soll den Strafverfolgungsbehörden ermöglicht werden, auch bestimmte „auf dem informationstechnischen System des Betroffenen gespeicherte Inhalte und Umstände der Kommunikation“
zu überwachen und aufzuzeichnen.1191 § 100a I S. 3 StPO kommt aber allein schon deswegen nicht als Ermächtigungsgrundlage für die Primärmaßnahme in Betracht, weil diese ausschließlich Daten während des (dynamischen) Übertragungsprozesses betrifft.1192 Da ein Speichermedium gar nicht Bestandteil der, an der Übertragung beteiligten Netzwerkkomponenten ist, können entsprechend auch keine gespeicherten Inhalte und Umstände von Kommunikation Gegenstand der Maßnahme sein. 1189 Für mehr Details siehe in der Erläuterung der Ermittlungsmaßnahme in Abschnitt 1. auf Seite 186. 1190 Es sei noch angemerkt, dass § 100a I S. 2 StPO ohnehin nur subsidiär zur herkömmlichen Telekommunikationsüberwachung in § 100a I S. 1 StPO zur Anwendung kommen soll, vgl. BT-Drucks. 18/12785, S. 51, abrufbar unter: http: //dipbt.bundestag.de/dip21/btd/18/127/1812785.pdf (Stand: Dezember 2017); Graf in: BeckOK, StPO, § 100a, Rn. 111. 1191 Diese Erweiterung des Eingriffsgegenstandes erscheint bereits in Bezug auf ihre Merkmale widersprüchlich. Der Term „Überwachen“ bezieht sich eigentlich auf zukünftige Daten, die noch übertragen werden und gerade noch nicht dauerhaft gespeichert sind, dazu bereits in Abschnitt bb) auf Seite 238. „Überwacht“ werden können damit gerade nicht gespeicherte Inhalte und Umstände; zu der Problematik auch in Abschnitt (2) auf Seite 291. 1192 Siehe Abschnitt (2) auf Seite 225.
250
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
h)
Anwendbarkeit von § 100b I StPO?
Die ebenfalls mit Wirkung vom 24.08.2017 durch das Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens neu eingefügte Befugnis zur sog. „Online-Durchsuchung“ in § 100b I StPO scheidet als Ermächtigungsgrundlage für die Primärmaßnahme bereits aus dem gleichen Grund aus wie die Befugnis zur Quellen-Telekommunikationsüberwachung in § 100a I S. 2 StPO. Denn auch sie gestattet als Art und Weise der Durchführung nur ein „Eingreifen in informationstechnische Systeme“, worunter sich die Primärmaßnahme, wie aufgezeigt, nicht subsumieren lässt.1193 Diesbezüglich ist in § 100b I StPO nicht von einem anderen Begriffsverständnis auszugehen als in § 100a I S. 2 StPO.1194 Zudem passt § 100b I StPO auch regelungssystematisch schlecht, da er überwiegend Eingriffe in das GVIiS und nicht in Art. 10 I GG rechtfertigen soll,1195 die Primärmaßnahme aber allein am Telekommunikationsgeheimnis zu messen ist.1196 Damit lässt sich im Ergebnis für das Mitschneiden und Speichern des Datenverkehrs eines lokalen Netzwerks (Abhören des WLAN; WLAN-Catching) ausschließlich § 100a I S.1 StPO als Rechtfertigungsgrundlage heranziehen. 4.
Exklusive Wahrnehmung von WLAN-Verkehrsdaten
Die im lokalen Netzwerk zirkulierenden Datenpakete (Daten-Frames)1197 enthalten neben dem eigentlichen Inhalt1198 zusätzlich auch technische Informationen im Zusammenhang mit der Übermittlung.1199 Denkbar wäre es, diese ebenfalls von Art. 10 I GG geschützten Informationen1200 zusätzlich oder anstelle der inhaltlichen Wahrnehmung zu erfassen. a)
Technologische Einzelheiten
Aus technischer Perspektive kann zwischen den Frames der Netzzugangsschicht und den Datagrammen und Segmenten der Internet- bzw. Transportschicht unterschieden werden. Auf der Ebene der Netzzugangsschicht enthalten die Daten-Frames1201 1193 Vgl. Abschnitt f) auf Seite 244 ff. 1194 Freiling/Safferling/Rückert, JR, 2018, S. 9 ff. (S. 13). Vgl. auch BT-Drucks. 18/12785, S. 54, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/18/127/1812785.pdf (Stand: Dezember 2017), insofern ohne abändernde Erläuterungen. 1195 Ebd. Vgl. Fußnote 1194, S. 48. Dazu noch ausführlich im Rahmen der Sekundärmaßnahme II in Abschnitt (c) auf Seite 299. 1196 Siehe Abschnitt 2. auf Seite 187 ff. 1197 Nicht betroffen ist somit eine reine Maschine-zu-Maschine-Kommunikation. 1198 Die Payload. 1199 Im Header der jeweiligen Protokolldateneinheit, vgl. dazu Appendix B, Abschnitt II. auf Seite 390. 1200 Beispielhaft: Singelnstein, NStZ, 2012, S. 593 ff. (S. 595). 1201 Es ist zu beachten, dass es an dieser Stelle nicht um Management- oder Control-Frames geht, dazu im Rahmen der Sekundärmaßnahme in Abschnitt c) auf Seite 263.
I. Die Primärmaßnahme
251
zum Beispiel Angaben zum Zeitpunkt des Versendens1202 der jeweiligen Frames und zu den Adressen der beteiligten Geräte.1203 Auf Ebene der Internetschicht enthalten die IPv4-Datagramme etwa Angaben zur Quell- und Ziel-IP-Adresse und in der Regel ebenfalls einen Zeitstempel.1204 Auf Ebene der Transportschicht könnten in den TCP-Segmenten unter anderem noch Informationen wie die Nummer des Quell- und Zielportes erfasst werden.1205 Unter Verkehrsdaten1206 werden gemeinhin sämtliche Daten verstanden, „die bei der Erbringung eines Telekommunikationsdienstes erhoben, verarbeitet oder genutzt werden“, vgl. § 3 Nr. 30 TKG.1207 Dieses Verständnis ist sehr weit, erfasst sind alle technisch generierten Daten im Zusammenhang mit einem inhaltlichen Austausch,1208 nicht aber eine reine Maschine-zu-Maschine-Kommunikation.1209 Daher sind auch die angeführten, im lokalen Funknetzwerk anfallenden weiteren Informationen unproblematisch als Verkehrsdaten zu qualifizieren (WLANVerkehrsdaten). Diese Daten könnten bei entsprechend sorgfältiger technischer Umsetzung auch durchaus aus dem lokalen Datenstrom gefiltert werden, ohne Informationen inhaltlicher Natur wahrzunehmen. Das liegt an dem beschriebenen Verkapselungsprozess1210 und ist möglich, indem nur die äußeren Protokolldateneinheiten1211 betrachtet werden. Eine Filterung nach Art des genutzten Telekommunikationsdienstleisters wiederum ist ohne Wahrnehmung auch inhaltlicher Informationen nicht möglich.1212 Allerdings sei angemerkt, dass ist es fraglich ist, welche Bedeutung diese Informationen hätten. Es ließe sich etwa über die Adressen festhalten, wann welches Endgeräte wie lange mit dem Access Point Inhaltsdaten ausgetauscht hat. Neben der Frage nach dem Wert dieser Information ist zu beachten, dass MAC-Adressen, die für die Adressierung der Datenpakete an die WLAN-Adapter in den End1202 Im Time stamp. 1203 Zum genauen Aufbau der IEEE 802.11-Daten-Frames siehe Appendix B, Abschnitt 6. auf Seite 398. 1204 Zum genauen Aufbau siehe Appendix B, Abschnitt 4. auf Seite 394. 1205 Zum genauen Aufbau siehe Appendix B, Abschnitt 3. auf Seite 393. 1206 Übernahme der Bezeichnung „traffic data“ aus der Richtlinie 2002/58 EG, anstelle des bis dato geläufigen Begriffs „Verbindungsdaten“, vgl. Bär in: v. HeintschelHeinegg/Bockemühl (Hrsg.), KMR, StPO, Vorbem. zu §§ 100a-100j StPO, Rn. 14. 1207 In der StPO gilt das gleiche Verständnis, siehe Graf in: BeckOK, StPO, § 100a, Rn. 33. 1208 Günther in: MüKo, StPO, § 100a, Rn. 50. 1209 Daher auch der ursprüngliche Begriff „Verbindungsdaten“, also nur im Falle einer Verbindung. Ausführlich zur reinen Maschine-zu-Maschine-Kommunikation im Rahmen der Sekundärmaßnahme I in Abschnitt c) auf Seite 263. 1210 Siehe Abschnitt III. auf Seite 52. 1211 Bzw. präziser ihre Header. 1212 Bereits in Abschnitt 2. auf Seite 155.
252
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
geräten notwendig sind,1213 zwar weltweit für jeden WLAN-Adapter eindeutig vergeben werden, sich aber zum einen sehr leicht verändern und beliebig wählen lassen,1214 zum anderen keiner konkreten Person zuordenbar sind. Ebenso könnte über das IPv4-Datagramm die IP-Adresse des Servers festgestellt werden, an den das Datenpaket im Internet-Netzwerk adressiert war. Allerdings wird hier nur ein sehr kleiner Abschnitt des Transportweges betrachtet, so dass etwa keine Aussage darüber getroffen werden kann, ob das jeweilige Datenpaket auch tatsächlich bei dem Server angekommen ist. Aussagen in der Art, dass zu einem bestimmten Zeitpunkt ein konkreter Telekommunikationsdienst genutzt wurde oder in dem Zeitraum mit Person X kommuniziert wurde, lassen sich diesen Daten gerade nicht sicher entnehmen. Generell muss daher festgehalten werden, dass den Verkehrsdaten im lokalen Funknetzwerk nach Einschätzung des Autors tendenziell wenig Aussagekraft zukommt, so dass eine Erhebung wohl von eher geringem Nutzen sein dürfte. b) aa)
Rechtliche Einordnung
Erhebung zusätzlich zu der inhaltlichen Wahrnehmung nach § 100a I S. 1 StPO
Denkbar wäre es zum einen, die Verkehrsdaten zusätzlich im Rahmen der Primärmaßnahme des Mitschneidens und Speicherns des Datenverkehrs eines lokalen Funknetzwerks mit zu erheben. Genau genommen sind die WLAN-Verkehrsdaten ohnehin Teil des von der Primärmaßnahme betroffenen Rohdatenstroms. Die Überwachung von Telekommunikation gem. § 100a I S. 1 StPO mit seinen strengeren Voraussetzungen im Vergleich zu § 100g StPO erlaubt entsprechend nicht nur die Wahrnehmung von Telekommunikationsinhalten, sondern nach einhelliger Ansicht auch die Erfassung der Umstände der (inhaltlichen) Telekommunikation,1215 also alle verkehrsbegleitenden Informationen, damit auch die Verkehrs- bzw. Nutzungsdaten.1216 Das ergebe sich schon aufgrund der Höhe der Eingriffsschwelle von § 100a I S. 1 StPO aus dem Grundsatz „a maiore ad minus“.1217 Während § 100g StPO durch den Verweis auf § 96 I TKG und § 113b TKG die Erhebung bestimmter Verkehrsdaten abschließend regelt, gelten diese Beschränkungen für § 100a I S. 1 StPO nicht, so dass der Kreis der 1213 Siehe Abschnitt (e) auf Seite 50. 1214 In macOS etwa mit dem Terminalbefehl sudo ifconfig en1 lladdr 00:28:6d:46:11:08. Gleiches gilt allerdings für die IMEI bei Einsatz eines IMSI-Catchers. 1215 Beispielhaft: Hauck in: Löwe-Rosenberg, StPO, § 100a, Rn. 57; Bruns in: Hanich (Hrsg.), KK-StPO, § 100a, Rn. 24; Singelnstein, NStZ, 2012, S. 593 ff. (S. 601). 1216 Bär in: v. Heintschel-Heinegg/Bockemühl (Hrsg.), KMR, StPO, Vorbem. zu §§ 100a-100jStPO, Rn. 14 ff. 1217 Günther in: MüKo, StPO, § 100a, Rn. 33.
I. Die Primärmaßnahme
253
erhebungsfähigen Verkehrsdaten hier theoretisch sogar weiter ist.1218 Das gilt freilich nur für Verkehrsdaten vor Abschluss des Übertragungsvorganges,1219 was bei WLAN-Verkehrsdaten jedoch unproblematisch ist. Im Rahmen von § 100a I S. 1 StPO können daher die WLAN-Verkehrsdaten unbedenklich neben den Inhaltsdaten mit erfasst werden. bb)
Separate Erhebung anstelle der inhaltlichen Wahrnehmung
Statt der zusätzlichen Erfassung der WLAN-Verkehrsdaten im Rahmen der Primärmaßnahme des Mitschneidens und Speicherns des Datenverkehrs ist es zum anderen auch vorstellbar, diese Daten separat zu erheben. Als Rechtsgrundlage für eine solche separate Erhebung dieser WLAN-Verkehrsdaten anstelle einer inhaltlichen Wahrnehmung käme § 100g StPO in Frage.1220 § 100g StPO wurde zum 18.12.2015 maßgeblich durch das Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten geändert.1221 (1)
Verfassungsrechtliche Vorgaben
Aus verfassungsrechtlicher Sicht fallen nicht nur Kommunikationsinhalte, sondern auch die Umstände konkreter Telekommunikationsvorgänge1222 unter das Telekommunikationsgeheimnis, also Informationen über Ort, Zeit sowie Art und Weise der Telekommunikation, ebenso wie Informationen darüber, ob, wann und wie oft zwischen Fernmeldeanschlüssen Fernmeldeverkehr stattgefunden hat.1223 Die soeben angeführten WLAN-Verkehrsdaten, die Bestandteil der Daten-Frames sind, und welche daher nur entstehen, wenn tatsächlich Daten im lokalen Netzwerk übermittelt werden, dürften daher problemlos auch durch das Fernmeldegeheimnis geschützt sein. § 100g StPO wiederum vermag Eingriffe in Art. 10 I GG zu rechtfertigen.1224 1218 Hauck in: Löwe-Rosenberg, StPO, § 100a, Rn. 59; Günther, NStZ, 2005, S. 485 ff. (S. 492). 1219 Nach Abschluss des Übertragungsvorganges und Speicherung im Herrschaftsbereich des Kommunikationsteilnehmers werden die Verkehrsdaten nicht mehr durch Art. 10 I GG, sondern durch das Recht auf informationelle Selbstbestimmung und gegebenenfalls durch Art. 13 I GG geschützt, vgl. BVerfGE 115, 166. 1220 So ohne nähere Begründung Graf in: BeckOK, StPO, § 100a, Rn. 224, vgl. oben in Abschnitt 3. auf Seite 183. 1221 Basisinformationen zum Vorgang: http://dipbt.bundestag.de/extrakt/ba/WP18/672/ 67296.html (Stand: Dezember 2017). 1222 Gersdorf in: BeckOK, Informations- und Medienrecht, Art. 10, Rn. 15. 1223 Bspw.: BVerfG, Urteil vom 14. Juli 1999, 1 BvR 2226/94, juris, Abs. 163. Zuletzt: BGH StV 2018, 72, 73. 1224 Durner in: Maunz/Dürig, Grundgesetz-Kommentar, Art. 10, Rn. 191; m.w.N. Gercke, StV, 2009, S. 624 ff. (S. 625).
254
(2)
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Strafprozessuale Zulässigkeit
(a) Strafprozessuale Zulässigkeit der selbständigen Erhebung von Verkehrsdaten Genau wie im Rahmen von § 100a I S. 1 StPO1225 stellt sich auch hier die Frage, ob die Strafverfolgungsbehörden im Rahmen von § 100g StPO Maßnahmen zur Erhebung von Verkehrsdaten ohne Mitwirkung der Telekommunikationsdienstleistungserbringer durchführen dürfen. Der ebenfalls zum 18.12.2015 eingeführte § 101a StPO enthält nunmehr die verfahrensrechtlichen Einzelregelungen zu § 100g StPO. § 101a I S.1 StPO verweist u. a. auf § 100a IV StPO, der die Mitwirkungspflicht der Erbringer von Telekommunikationsdienstleistern statuiert. Damit dürfte sich hier die Diskussion parallel zu § 100a I S. 1 StPO entspannen.1226 § 100g StPO selbst, der die Voraussetzungen der Erhebung regelt, formuliert nunmehr gerade passiv: Verkehrsdaten „dürfen [...] erhoben werden“.1227 Eine konstitutive Mitwirkungspflicht besteht deshalb auch hier nicht. Die Behörden sind nicht verpflichtet, Verkehrsdaten ausschließlich unter Mitwirkung der Telekommunikationsdienstleistungserbringer zu erheben. Wenn sie im konkreten Einzelfall auch eigenständig in der Lage sein sollten, die Verkehrsdaten zu erheben, wird auch dieses Vorgehen bei Vorliegen der weiteren Voraussetzungen von § 100g StPO erfasst.1228 (b)
Erhebung nicht beim Erbringer öffentlich zugänglicher Telekommunikationsdienste, § 100g V StPO
Absatz 5 in § 100g StPO hält fest, dass die Erhebung von Verkehrsdaten, wenn sie nicht beim Erbringer öffentlich zugänglicher Telekommunikationsdienste erfolgt, sich nach Abschluss des Kommunikationsvorgangs nach den allgemeinen Vorschriften bestimmt. Nach der Formulierung dieses Absatzes gäbe es nur zwei Varianten: Verkehrsdaten können entweder beim Telekommunikationsdienstleister oder nach Abschluss des Kommunikationsvorganges erhoben werden. Wie im konkreten Fall der WLAN-Verkehrsdaten sichtbar wird, kann aber auch eine dritte Variante möglich sein. Die Erhebung erfolgt nicht bei einem Dienstleister, aber dennoch während des Kommunikationsvorganges.1229 1225 Dazu in Abschnitt (1) auf Seite 238. 1226 Für eine ausführliche Begründung siehe Abschnitt (1) auf Seite 238. An dieser Stelle sollen die Argumente nicht erneut angeführt werden. 1227 Im Gegensatz zur alten Fassung: „darf angeordnet werden, dass diejenigen, die geschäftsmäßig Telekommunikationsdienste erbringen oder daran mitwirken, unverzüglich Auskunft [...] zu erteilen haben“. 1228 Noch zur insofern inhaltsgleichen alten Fassung Günther in: MüKo, StPO, § 100g, Rn. 47. 1229 Zur ähnlich gelagerten Problematik eines nicht bedachten weiteren Stadiums zwischen Herrschaftsbereich des Providers und Herrschaftsbereich des Betroffenen siehe Abschnitt (b) auf Seite 192.
I. Die Primärmaßnahme
255
§ 100g V StPO hat allein deklaratorischen Charakter.1230 Der Absatz soll sich laut Gesetzgeber allein auf nach Ende eines Telekommunikationsvorganges gespeicherte Verkehrsdaten beziehen, für die Art. 10 I GG gerade keinen Schutz (mehr) entfaltet.1231 Damit wird klargestellt, dass § 100g StPO nur Eingriffe in Art. 10 I GG zu rechtfertigen vermag und nicht mehr einschlägig ist, sobald das Telekommunikationsgeheimnis nicht tangiert ist. Eine Begrenzung der Erhebung ausschließlich auf solche Verkehrsdaten, die bei einem Erbringer öffentlich zugänglicher Telekommunikationsdienste anfallen, sollte hierdurch nicht festgeschrieben werden. (c)
Kategorien von Verkehrsdaten, § 100g I - III StPO
Geklärt werden muss damit, ob die im lokalen Funknetzwerk anfallenden Verkehrsdaten sich unter eine der drei Kategorien von Verkehrsdaten in § 100g I - III StPO subsumieren lassen. § 100g I StPO erlaubt das Erheben von Verkehrsdaten im Sinne von § 96 I TKG. § 96 I TKG wiederum regelt das Erheben von Verkehrsdaten durch Diensteanbieter.1232 Gem. § 3 Nr. 6 TKG ist ein Diensteanbieter „jeder, der ganz oder teilweise geschäftsmäßig a) Telekommunikationsdienste erbringt oder b) an der Erbringung solcher Dienste mitwirkt“. Absatz 1 bezieht sich damit ausdrücklich nur auf solche Verkehrsdaten, „die aus geschäftlichen Gründen bei den Erbringern öffentlich zugänglicher Telekommunikationsdienste gespeichert werden“,1233 und zwar ausschließlich1234. Die WLAN-Verkehrsdaten fallen aber nur im lokalen Funknetzwerk an (also der Teilnehmeranschlussleitung des Betreibers vorgelagert) und werden dort weder gespeichert noch aus geschäftlichen Gründen von Erbringern öffentlich zugänglicher Telekommunikationsdienste erhoben. Insofern handelt es sich bei den WLAN-Verkehrsdaten nicht um Daten i.S.d. § 100g I StPO. § 100g II StPO erlaubt das Erheben von nach § 113b TKG gespeicherten Verkehrsdaten unter sehr engen Voraussetzungen. § 113b TKG wiederum verpflichtet (nur) Erbringer öffentlich zugänglicher Telekommunikationsdienste, spezielle Verkehrsdaten (e.g. 1230 Zum insofern inhaltsgleichen § 100g III a.F. StPO Günther in: MüKo, StPO, § 100g, Rn. 13. 1231 So die ausdrückliche Begründung im Entwurf des Gesetzes zur Neuregelung der Telekommunikationsüberwachung noch zum insofern inhaltsgleichen § 100g III a.F. StPO, vgl. BT-Drucks. 16/5846, S. 55, abrufbar unter: http://dipbt.bundestag.de/dip21/ btd/16/058/1605846.pdf (Stand: Dezember 2017). 1232 § 100g StPO verweist ausdrücklich auf das TKG, insofern ist eine Begriffsbestimmung mit Hilfe des TKG hier unproblematisch. 1233 So die explizite Formulierung in der Begründung des Gesetzesentwurfs zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten, vgl. BT-Drucks. 18/5088, S. 27, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/16/058/1805088. pdf (Stand: Dezember 2017). 1234 Vgl. BT-Drucks. 18/5088, S. 31, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/ 16/058/1805088.pdf (Stand: Dezember 2017).
256
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Standortdaten) zu speichern. Somit scheidet § 100g II StPO aus dem gleichen Grund aus wie § 100g I StPO. § 100g III StPO erlaubt hingegen unter bestimmten weiteren Voraussetzungen die Erhebung aller in einer „Funkzelle“ angefallenen Verkehrsdaten. Es handelt sich hierbei ebenfalls um einen Eingriff in Art. 10 I GG.1235 Ausweislich der Gesetzesbegründung soll durch diese Maßnahme festgestellt werden, welche Mobilgeräte zu einer bestimmten Zeit der betreffenden Funkzelle zugeordnet waren.1236 Auch wenn der Gesetzgeber damit erkennbar das Mobilfunknetz und seine technische Infrastruktur im Auge hatte, verwendet § 100g III StPO vom Wortlaut her lediglich den Ausdruck „Funkzelle“. Der Begriff verweist grundsätzlich nur auf eine (technische) Einheit (Zelle), die drahtlos mittels elektromagnetischer Wellen Informationen überträgt (Funk). Nichts anderes tut ein Wireless Access Point, lediglich als Teil eines lokalen Funknetzwerkes und nicht als Teil des Mobilfunknetzes. Vom Wortlaut her lassen sich daher die an einem Access Point anfallenden Verkehrsdaten unter Absatz 3 subsumieren. Zumal im lokalen Funknetzwerk die Gefahr von „Kollateralschäden“ grundsätzlich deutlich geringer sein dürfte, da der Kreis der betroffenen Unbeteiligten wesentlich kleiner ist als im Falle einer klassischen Funkzellenabfrage bei Mobilfunknetzen.1237 Für ein diesbezüglich weites Verständnis einer Funkzelle spricht auch, dass der Gesetzgeber in der Begründung zum Entwurf des Gesetzes zur Neuregelung der Telekommunikationsüberwachung im Abschnitt zu § 100g StPO explizit formuliert: „ Darüber hinaus ist der Bereich der Telekommunikation von einem rasanten technischen Fortschritt gekennzeichnet, so dass es sich schon aus diesem Grund empfiehlt, die Erhebungsbefugnis [...] technikoffen zu gestalten, um der fortschreitenden Entwicklung im Bereich der Telekommunikation folgen zu können.1238 Insofern kann man von einer bewussten gesetzgeberischen Entscheidung zur Technikoffenheit sprechen. So erkennt selbst Roggan bei der Auslegung existierender Ermächtigungsnormen grundsätzlich die Annahme einer Technikoffenheit an. Die Grenze werde erst übertreten, wenn der vom Wortlaut gezogene Rahmen überschritten wird.1239 Der Wortsinn stellt insofern die „äußerste Grenze zulässiger richterlicher 1235 Singelnstein, JZ, 2012, S. 601 ff. (S. 602). 1236 Vgl. BT-Drucks. 18/5088, S. 32, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/ 16/058/1805088.pdf (Stand: Dezember 2017). 1237 Allein schon wegen der geringeren Reichweite von einigen Dutzend Metern im Vergleich zu einer Reichweite von mehreren Kilometern. Damit dürfte hier auch auch nicht die Gefahr bestehen, dass „das grundrechtlich geschützte Interesse einer Vielzahl von Bürgern an vertraulicher Kommunikation den Ermittlungs- und Fahndungsinteressen der Strafverfolgungsbehörden geopfert wird“, wie es Wohlers/Demko, StV, 2003, S. 241 ff. (S. 247) zur klassischen Funkzellenabfrage formulieren. 1238 Vgl. BT-Drucks. 16/5846, S. 51, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/ 16/058/1605846.pdf (Stand: Dezember 2017). 1239 Roggan, NJW, 2015, S. 1995 ff. (S. 1995).
I. Die Primärmaßnahme
257
Interpretation dar“.1240 Das dürfte im Falle der Funkzelle, wie erläutert, noch nicht der Fall sein. Dementsprechend wird hier vertreten, dass sich auch das Erheben von WLAN-Verkehrsdaten auf § 100g III StPO stützen lässt. Damit kann, soweit die weiteren Voraussetzungen vorliegen, der Eingriff in Art. 10 I GG durch das separate Erfassen von Verkehrsdaten durch § 100g III StPO gerechtfertigt werden.1241 Zu beachten bleibt allerdings, dass es sich bei § 100g StPO nunmehr, entsprechend den Vorgaben des BVerfG,1242 grundsätzlich nicht mehr um eine heimliche Maßnahme handelt.1243 Vielmehr sind die Betroffenen von der Erhebung der Verkehrsdaten zu benachrichtigen, vgl. § 101a VI StPO. Die Erhebung darf aber dann heimlich durchgeführt werden, wenn die Durchführung im Einzelfall erforderlich und richterlich angeordnet ist.1244 Da eine offene Erhebung keinen Sinn macht, weil die WLAN-Verkehrsdaten nur bei aktiver Nutzung des Netzwerks durch den Betroffenen anfallen, bedeutet das, dass die Voraussetzungen für eine heimliche, separate Erhebung von WLANVerkehrsdaten angesichts der ohnehin schon hohen Anforderung von § 100g III StPO, zusätzlich erweitert durch § 101a VI StPO, sehr hoch sind. Für die Praxis dürfte dieser Umstand, in Kombination mit dem eher geringen Aussagegehalt der WLAN-Verkehrsdaten, heißen, dass eine solche separate Erhebung, wenn auch zulässig, so doch wenig sinnvoll ist. 5. Zusammenfassung: Zulässigkeit des Mitschneidens und Speicherns des Datenverkehrs eines lokalen Funknetzwerks (Abhören des WLAN) inkl. Überwachung des Surfverhaltens Damit lässt sich abschließend festhalten, dass die Primärmaßnahme des Abhörens des WLAN den Betroffenen ausschließlich in seinem Grundrecht auf Bestand des Telekommunikationsgeheimnisses verletzt. Denn der Schutzbereich von Art. 10 I GG ist weit zu verstehen. Geschützt ist der gesamte Übermittlungsweg, soweit eine auf einem technisch bedingten Mangel an Beherrschbarkeit beruhende besondere Schutzbedürftigkeit des Betroffenen besteht, was bei lokalen Funknetzwerken der 1240 BVerfG NJW 2008, 3627, Rn. 10. 1241 Sollte man hingegen die Auffassung vertreten, dass sich § 100g III StPO allein auf Komponenten des Mobilfunknetzes bezieht, käme die Norm hier nicht zur Anwendung. In diesem Fall wäre das separate Erheben von Verkehrsdaten in lokalen Funknetzwerken durch die Strafverfolgungsbehörden nur unter den Voraussetzungen von § 100a I S. 1 StPO zulässig. 1242 BVerfGE 125, 260, Abs. 243. 1243 Durch die Streichung der Worte „auch ohne Wissen des Betroffenen“ in § 100g seit der Fassung vom 10.12.2015, vgl. auch BT-Drucks. 18/5088, S. 31, abrufbar unter: https://dip21.bundestag.de/dip21/btd/18/050/1805088.pdf (Stand: Dezember 2017). 1244 Vgl. BT-Drucks. 18/5088, S. 34, abrufbar unter: https://dip21.bundestag.de/dip21/ btd/18/050/1805088.pdf (Stand: Dezember 2017).
258
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Fall ist. Das ebenfalls betroffene Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme sowie das Recht auf informationelle Selbstbestimmung treten auf dem Wege der Spezialität zurück. Der Schutzbereich der Unverletzlichkeit der Wohnung gem. Art. 13 I GG ist hingegen nach hier vertretener Auffassung nicht eröffnet. Auf strafprozessualer Ebene lässt sich die Primärmaßnahme selbständig durch die Strafverfolgungsbehörden durchführen und der so verursachte Eingriff in Art. 10 I GG ausschließlich über § 100a I S. 1 StPO rechtfertigen. Dabei dürfen neben Inhaltsdaten auch etwaige Verkehrsdaten mit erfasst werden. Das selbständige, isolierte Erheben von Verkehrsdaten ließe sich auf § 100g III StPO stützen, wenn man der hier vertretenen weiten Auslegung der Norm folgen mag. Eine Anwendbarkeit der §§ 94 ff. StPO, §§ 99, 100 StPO, § 102 StPO oder auch § 110 III StPO mit ihren jeweils niedrigeren Hürden scheidet aus unterschiedlichen Gründen aus. Gleiches gilt für die mit Wirkung vom 24.08.2017 durch das Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens neu eingefügten Ermächtigungsgrundlagen in den §§ 100a I S. 2, 3 StPO und § 100b I StPO. Es soll an dieser Stelle noch einmal betont werden, dass diese Einordnung allein für die Primärmaßnahme gilt, also das passive, heimliche Mitschneiden des Datenstroms eines lokalen Funknetzwerks von außen, ohne aktives Eingreifen in den Netzwerkverkehr oder sonstige Daten eines IT-Systems.
II. Sekundärmaßnahmen
II.
259
Sekundärmaßnahmen
Die Sekundärmaßnahmen sind in ihrer Zahl mannigfaltig und kommen optional zum Einsatz. Wie bereit erwähnt,1245 müssen die jeweils verwendeten Sekundärmaßnahmen auf den konkreten Einzelfall zugeschnitten werden und sind abhängig von den vorgefundenen Umständen. Im praktischen Regelfall dürften aber fast immer zumindest einige der Sekundärmaßnahmen Anwendung finden. Sie umfassen all diejenigen Maßnahmen, die als notwendiger Zwischenschritt durchgeführt werden müssen, um die Primärmaßnahme selbst realisieren zu können. Ihnen kommt daher besondere Bedeutung zu. Denn in den allermeisten praktischen Fällen wird zumindest eine, oft mehrere der Sekundärmaßnahmen zwingend erforderlich sein, um die Primärmaßnahme (das Überwachen des lokalen Funknetzwerks) überhaupt sinnvoll, also mit inhaltlicher Wahrnehmung, durchführen zu können. Das rein passive Mitschneiden des Datenverkehrs eines WLAN würde in der Praxis, wenn isoliert durchgeführt, in der Regel lediglich uninterpretierbaren „Zeichensalat“ ergeben.1246 Die Art der zur Anwendung kommenden Sekundärmaßnahmen ist dabei abhängig von der jeweils im betroffenen Funknetzwerk vorgefundenen technologischen Ausgangskonfiguration und dem Ziel der Überwachungsmaßnahme. 1.
Sekundärmaßnahmen I: Maßnahmen ohne Überwindung von Sicherheitsvorkehrungen a) Erläuterung der Ermittlungsmaßnahmen
Die Sekundärmaßnahmen I eint, dass bei der Wahrnehmung der betroffenen Daten keine speziellen technologischen Sicherheitshürden überwunden werden müssen, die gerade diese Maßnahme verhindern sollen. Vielmehr wird das lokale Funknetzwerk auf genau die Art und Weise angesprochen, wie es seine Konfiguration vorsieht, bzw. es werden lediglich solche Datenpakete wahrgenommen, die das WLAN protokollgemäß derart versendet, dass die Wahrnehmung jedermann in Reichweite möglich ist. Darunter fallen Maßnahmen wie das Lokalisieren und Zuordnen des Access Points,1247 das Erfassen der MAC-Adresse des Access Points1248 oder das Erstellen einer Übersicht über die assoziierten Endgeräte von außen, ohne mit dem betroffenen Netzwerk verbunden zu sein1249 Beim passiven Scannen etwa werden lediglich Datenpakete ausgewertet, die der WLAN-Access Point ohnehin (protokollgemäß 1245 1246 1247 1248 1249
Siehe Abschnitt 1. auf Seite 152. Siehe Abschnitt 3. auf Seite 160. Siehe Abschnitt 1. auf Seite 73. Als Grundlage einer etwaigen Überwachungsanordnung. Etwa im Voraus der Durchsuchung einer Wohnung, um die Anzahl der zu beschlagnahmenden IT-Endgeräte festzustellen. Zum Beispiel mit dem Tool Kismet über
260
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
unverschlüsselt)1250 in den öffentlichen Raum aussendet und mit den Endgeräten austauscht. Beim aktiven Scannen hingegen wird eine Anfrage an den Access Point gestellt, die dieser allerdings ebenfalls protokollgemäß automatisch, ohne gesonderte Prüfung sämtlichen Anfragenden beantwortet. Sollte die Ziel-Person ein offenes WLAN1251 betreiben oder nutzen, ist es jedermann möglich, ohne dass ein spezieller Überprüfungsmechanismus vorgeschaltet wäre, sich beim Access Point anzumelden und derart Zugang zum Funknetzwerk zu erhalten. Hier sei nochmals aus dem technischen Teil in Erinnerung gerufen,1252 dass das SichAssoziieren mit dem Ziel-WLAN dann als erster (Zwischen-)Schritt notwendig sein kann, wenn z.B. Maßnahmen zum Aufbrechen von Verschlüsselung oberhalb der Netzzugangsschicht (Sekundärmaßnahmen II) umgesetzt werden sollen.1253 Auch wenn die Sekundärmaßnahmen I gemeinsam haben, dass dabei keine speziellen technologischen Sicherheitshürden überwunden werden müssen, erscheint es hier aus rechtlicher Sicht geboten, weitere Unterkategorien zu bilden. b) WLAN lokalisieren und zuordnen; Ermittlung der MAC-Adresse des Access Points Soll eine Anordnung (in Form eines Beschlusses) der Telekommunikationsüberwachung ergehen, bedarf es der Angabe einer eindeutigen Kennung des zu überwachenden Endgerätes bzw. im Falle eines Eingriffs die möglichst genaue Bezeichnung des informationstechnischen Systems, vgl. § 100e III S. 2 Nr. 5 StPO. Dafür eignen sich alle telekommunikationstechnischen Adressierungen.1254 Im Zusammenhang mit der Überwachung lokaler Funknetzwerke bietet sich die MAC-Adresse des Access Points an, weil sie der Adressierung der Datenpakete und damit der Verbindungsaufnahme dient. aa)
Technologische Einzelheiten
In einem lokalen Funknetzwerk muss zunächst eine Verbindung zwischen einem Access Point und dem WLAN-Adapter eines Endgerätes hergestellt werden (Assoziierung), um Daten überhaupt austauschen zu können.1255 Um eine Verbindung
1250 1251 1252 1253 1254 1255
protokollgemäß unverschlüsselte Datenpakete, wie bestimmte Management-Frames, siehe dazu in Abschnitt b) auf Seite 75. Zu den technologischen Einzelheiten siehe Abschnitt 1. auf der vorherigen Seite. Offene Funknetzwerke sind gegenwärtig z.B. als besonderer Service in Cafés anzufinden. Siehe Abschnitt c) auf Seite 121. Für das bloße Abhören eines offenen WLAN ist es hingegen nicht notwendig. Günther in: MüKo, StPO, § 100b, Rn. 19. Der Verzicht auf einen physikalischen Träger und die ersatzweise Nutzung elektromagnetischer Wellen als Übertragungsmedium führt nämlich zu diversen Besonderheiten. So existieren keine fest definierten Grenzen zwischen den Empfangsbereichen. Die verschiedenen Signale können sich überlappen und jeder in Reichweite einer Funkzelle
II. Sekundärmaßnahmen
261
herstellen zu können, muss der WLAN-Adapter zunächst wissen, dass der Access Point in der Nähe ist, und verschiedene Parameter (Name des Netzwerks, Art der Verschlüsselung, die MAC-Adresse des Access Points etc.)1256 in Erfahrung bringen. Zu diesem Zweck sieht der technische Standard vor, dass die Access Points (in der Regel alle 100 ms) einen sogenannten Beacon-Frame mit den entsprechenden Informationen versenden.1257 Diese Beacon-Frames werden von jedem WLAN-Adapter in Reichweite empfangen und verarbeitet. Auf diese Weise zeigt etwa ein Laptop oder Smartphone in einer (neuen) Umgebung alle verfügbaren WLAN an, mit denen der Nutzer sich dann verbinden kann. Die Signalstärke der jeweiligen Beacon-Frames (Received Signal Strength) lässt sich messen und darüber das Ziel-Netzwerk lokalisieren und zuordnen (wenn dies nicht bereits auf anderem Weg, etwa über den Namen des Netzwerks, erfolgt ist).1258 Meist besteht die Möglichkeit, das Versenden der Beacon-Frames auszuschalten (Hidden Networks), wenn auch in der Praxis kaum jemand davon Gebrauch macht. In einem solchen Fall sei auf die nachfolgende Unterkategorie verwiesen.1259 bb)
Rechtliche Einordnung
(1)
Verfassungsrechtliche Vorgaben
Das passive Empfangen (und unter Umständen Auswerten) der regelmäßig versendeten Beacon-Frames scheint prima facie unkompliziert, weil sie sich zielgerichtet an jedermann (in Reichweite) richten. Der Access Point möchte gerade mittels der Beacon-Frames auf sich aufmerksam machen. Adressat der Frames ist damit auch ein etwaiger WLAN-Adapter der Strafverfolgungsbehörden. Allerdings könnten die Informationen in den Beacon-Frames auch als Umstände der Kommunikation von Art. 10 I GG mit erfasst sein. Geschützt sind jedoch nur solche Umstände, die einen Bezug zu konkreten Kommunikationsvorgängen aufweisen.1260 Darin besteht auch der Unterschied in den zusätzlichen Informationen in den Daten-Frames (u.a. auch die MAC-Adresse der beteiligten Geräte) und den Informationen in den Beacon-Frames. Während erstere nur entstehen, wenn tatsächlich Daten im Netzwerk versendet werden (und es sich deswegen um von Art. 10 I GG geschützte Verkehrsdaten handelt1261), werden letztere als Management-Frames völlig unabhängig von konkreten Kommunikationsvorgängen (dem Datenaustausch im Netzwerk) versendet. Die Informationen in den Beacon-Frames sind daher nicht als Umstände der Kommunikation geschützt.
1256 1257 1258 1259 1260 1261
kann sie empfangen. Deshalb muss eine Zuordnung der einzelnen Teilnehmer erfolgen; vgl. mit weiteren technischen Einzelheiten: Abschnitt (b) auf Seite 48. Für den Aufbau der Frames siehe Anhang A, Abschnitt a) auf Seite 355 f. Per Broadcasting, siehe Abschnitt aa) auf Seite 74. Zur Vorgehensweise ausführlich in Abschnitt d) auf Seite 77. Siehe Abschnitt c) auf Seite 263. Gersdorf in: BeckOK, Informations- und Medienrecht, Art. 10, Rn. 15. Zur Behandlung von Verkehrsdaten siehe oben in Abschnitt 4. auf Seite 250 ff.
262
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Möchte man so weit gehen, das Empfangen von Beacon-Frames durch staatliche Organe als eigenen, selbständigen Kommunikationsvorgang zu begreifen, bedeutet das dennoch nicht automatisch den Schutz durch Art. 10 I GG. Das Bundesverfassungsgericht hat in seiner Entscheidung zum NWVerfSchG diesbezüglich eine eindeutige Abgrenzung vorgezeichnet. Es führt zwar aus, dass auch Informationen (Inhalte), die auf dem dafür technisch vorgesehenen Weg zur Kenntnis genommen werden, in das Telekommunikationsgeheimnis eingreifen können.1262 Allerdings liegt nur dann ein Eingriff in Art. 10 I GG vor, wenn die staatliche Stelle hierzu nicht durch Kommunikationsbeteiligte autorisiert ist.1263 „Das heimliche Aufklären des Internets greift danach dann in Art. 10 Abs. 1 GG ein, wenn die [...]behörde zugangsgesicherte Kommunikationsinhalte überwacht, indem sie Zugangsschlüssel nutzt, die sie ohne oder gegen den Willen der Kommunikationsbeteiligten erhoben hat“.1264 Insbesondere schützt das Grundrecht nicht davor, dass eine staatliche Stelle selbst eine Telekommunikationsbeziehung zu einem Grundrechtsträger aufnimmt.1265 Im Falle der Wahrnehmung der Beacon-Frames wird gerade keine Zugangssicherung überwunden, vielmehr nimmt der Access Point des Betroffenen selbst Kontakt zu dem WLAN-Adapter in Reichweite auf. Damit kann auch auf diesem Weg das Fernmeldegeheimnis nicht greifen. Die Kenntnisnahme öffentlich zugänglicher Informationen ist dem Staat grundsätzlich nicht verwehrt, sogar dann, wenn im Einzelfall dabei personenbezogene Informationen erhoben werden.1266 Abweichend beurteilt das Gericht die Situation nur dann, wenn gezielt öffentlich zugängliche Informationen über eine Person zusammengetragen werden, so dass sich daraus eine besondere Gefahrenlage für die Persönlichkeit des Betroffenen ergibt und dabei schutzwürdiges Vertrauen ausgenutzt würde.1267 Denn darin läge ein Eingriff in das allgemeine Persönlichkeitsrecht aus Art. 2 I i.V.m. Art. 1 I GG in seiner Ausprägung als Recht auf informationelle Selbstbestimmung. Bei der MAC-Adresse des Access Points könnte es schon fraglich sein, ob es sich um ein personenbezogenes Datum handelt;1268 in jedem Fall dürfte aus der bloßen Wahrnehmung dieses Datums durch die Behörden (ebenso wie aus der Messung der Signalstärke) noch keine besondere Gefährdungslage für die Persönlichkeit des Betroffenen entstehen. BVerfGE 120, 274, Rn. 289. BVerfGE 120, 274, Rn. 291. BVerfGE 120, 274, Rn. 292. BVerfGE 120, 274, Rn. 290. BVerfGE 120, 274, Rn. 308. BVerfGE 120, 274, Rn. 309, 310. Dazu ausführlich im Rahmen der Sekundärmaßnahme III, vgl. Abschnitt bb) auf Seite 324. 1268 Es sei denn, man folgt der Ansicht, dass kein „belangloses“ Datum (mehr) existiert, vgl. Di Fabio in: Maunz/Dürig, Grundgesetz-Kommentar, Art. 2 Abs. 1, Rn. 174, die aber durch das Urteil des BVerfG zum NWVerfSchG überholt sein könnte, vgl. Fußnote 1583 auf Seite 330.
1262 1263 1264 1265 1266 1267
II. Sekundärmaßnahmen
263
Art. 13 I GG ist hier aus dem gleichen Grund wie bei der Primärmaßnahme nicht betroffen.1269 Bei der Ermittlung der MAC-Adresse des Access Points bzw. bei der Lokalisierung und Zuordnung des WLAN fehlt es somit an einem konkreten Grundrechtseingriff. (2)
Strafprozessuale Zulässigkeit
Da es bereits an einem konkreten Grundrechtseingriff fehlt, bedarf es auch keiner speziellen strafprozessualen Rechtfertigungsnorm. Auch der Rückgriff auf die Ermittlungsgeneralklausel ist entbehrlich.1270 Die Vornahme dieser Ermittlungshandlung ist ohne Befugnisnorm zulässig.1271 Das Gesagte gilt für sämtliche in den Beacon-Frames enthaltenen Informationen, also nicht nur für die MAC-Adresse des Access Points, sondern etwa auch für den Namen des Netzwerks (SSID) oder die Art der im Netzwerk verwendeten Verschlüsselung. c)
aa)
Maschine-zu-Maschine-Kommunikation: Ermittlung der MAC-Adressen der assoziierten Endgeräte mittels passiver Scanner; Hidden Networks Technologische Einzelheiten
Es kann durchaus von Interesse sein, in Erfahrung zu bringen, wieviele1272 und sogar welche1273 Endgeräte mit dem Zielnetzwerk verbunden sind.1274 Dafür muss ein passiver Scanner (von außen) nur darauf warten, dass eines der teilnehmenden Endgeräte sich mit dem Access Point verbinden möchte. Dafür wird es unter anderem ein sogenanntes Probe-Request-Frame an den Access Point senden. Dieser spezielle Datenaustausch zwischen Access Point und Endgerät wird protokollgemäß unverschlüsselt übertragen und kann daher von jedermann in Reichweite ausgelesen 1269 Siehe Abschnitt c) auf Seite 209. Das GVIiS scheidet bereits deshalb aus, weil weder Integrität noch das Vertrauen (von einem IT-System) verletzt wird, da das IT-System selbst gewollt die Information aussendet. 1270 Umkehrschluss daraus, dass die Ermittlungsgeneralklausel nur Anwendung findet, wenn ein Eingriff in die dem staatlichen Zugriff grundsätzlich entzogene, grundrechtlich geschützte Privatsphäre erfolgt, vgl. Wohlers in: Wolter (Hrsg.), SK-StPO, Band III, 2016, § 161, Rn. 13. 1271 So auch Graf in: BeckOK, StPO, § 100a, Rn. 224, unter Annahme falscher technischer Gegebenheiten („da [...] auch keine Daten ausgelesen werden“). 1272 Etwa im Voraus einer Durchsuchung der Wohnung, um die Anzahl der zu beschlagnahmenden IT-Endgeräte festzustellen. 1273 Sollte die MAC-Adresse nicht gefälscht sein, lassen die ersten drei Bytes Rückschlüsse auf den Hersteller zu, vgl. Anhang B, Abschnitt bb) auf Seite 387. 1274 Unter Umständen auch um eine Access Control List zu umgehen, vgl. Abschnitt bb) auf Seite 79.
264
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
werden.1275 Das Frame beinhaltet auch die MAC-Adresse des jeweiligen Endgerätes. Über einen gewissen Zeitraum kann man derart diejenigen Endgeräte ermitteln, die das Ziel-WLAN nutzen. Der Access Point wird daraufhin, ebenfalls unverschlüsselt, mit einem sogenannten Probe-Response-Frame antworten. Das Probe-Response-Frame beinhaltet die nahezu identischen Informationen wie der Beacon-Frame (Name des Netzwerks, MAC-Adresse des Access Points etc.)1276 aus dem vorherigen Abschnitt. Sollte das betroffene Ziel-Netzwerk also so konfiguriert sein, dass es keine Beacon-Frames versendet (Hidden Network),1277 lassen sich die entsprechenden Informationen aus den Probe-Response-Frames herauslesen.1278 Die Aufgabe dieser Art von Management-Frames, das gilt im Übrigen auch für Control-Frames,1279 besteht, wie der Name schon andeutet, lediglich darin den eigentlichen Datenaustausch zu ermöglichen, aufrechtzuerhalten oder zu unterstützen. Ein solcher Austausch rein zwischen den beteiligten Geräten erfolgt unabhängig von dem eigentlich angestrebten Datenaustausch der Nutzer des Netzwerks. bb)
Rechtliche Einordnung
(1)
Verfassungsrechtliche Vorgaben
Die Maßnahmen dieser Unterkategorie unterscheiden sich von der vorherigen wie folgt: Während die Beacon-Frames sich an jedermann in Reichweite (damit auch an den WLAN-Adapter der Behörden) richten, wird bei der Ermittlung der MACAdressen der assoziierten Endgeräte mittels passiver Scanner der Datenaustausch zwischen Dritten (Access Point und assoziiertem Endgerät) wahrgenommen. Im Rahmen der Untersuchung der Primärmaßnahme wurde festgestellt, dass im Ergebnis grundsätzlich alle durch das lokale Netzwerk übermittelten Datenpakete vom Schutzbereich des Fernmelde- bzw. Telekommunikationsgeheimnis geschützt werden, soweit sie durch ein Zugangshindernis geschützt sind und/oder die Wahrnehmung nicht auf dem dafür vorgesehenen Weg erfolgt.1280 Ein selbständiger Eingriff in Art. 10 I GG könnte danach hier deswegen vorliegen, weil die Management-Frames unzweifelhaft auch über das WLAN transportiert werden und ihre Wahrnehmung gerade nicht auf dem dafür technisch vorgesehen Weg erfolgt. 1275 Auch wenn seit 2014 der IEEE 802.11w-Standard nunmehr verschlüsselte Management-Frames (Protected Management Frames) vorsieht, betrifft das (aufgrund ihrer Funktion logischerweise) nicht die Beacon- und Probe-Frames. 1276 Für den Aufbau der Frames siehe Anhang A, Abschnitt a) auf Seite 355 f. 1277 Siehe Abschnitt b) auf Seite 260. 1278 Mit weiteren Details: Abschnitt c) auf Seite 75. 1279 Wie zum Beispiel Request-to-Send-Frames (RTS) oder Clear-to-Send-Frames (CTS), vgl. auch Appendix B, Abschnitt 6. auf Seite 398. 1280 Siehe Abschnitt (3) auf Seite 201.
II. Sekundärmaßnahmen
265
Die Probe-Request- und Probe-Response-Frames sind nicht an jedermann adressiert (wie die Beacon-Frames), sondern an ganz spezifische Endgeräte. Nur weil sie nicht verschlüsselt übertragen werden, kann ein WLAN-Adapter der Strafverfolgungsbehörden, der so eingestellt ist, dass er sämtliche Datenpakete in Reichweite verarbeitet, nicht nur diejenigen empfangen, die an ihn adressiert sind,1281 sondern eben auch den Austausch zwischen Dritten mitlesen. Aus dem gleichen Grund ist auch das Wahrnehmen des Datenverkehrs von offenen Funknetzwerken (im Rahmen der Primärmaßnahme)1282 durch das Fernmeldegeheimnis geschützt, obwohl auch dabei keine speziellen Zugangsbeschränkungen überwunden werden müssen. Allerdings besteht ein deutlicher Unterschied zwischen dem Abhören des Datenverkehrs von offenen Funknetzwerken und dem bloßen Mitlesen von Management-Frames.1283 Die erstgenannte Maßnahme betrifft die Daten-Frames, damit ganz eindeutig (auch) und primär Inhaltsdaten. Die letztgenannte hingegen berührt bloß die für die technische Umsetzung des von den Nutzern angestrebten Datenaustauschs notwendigen Mangagment- und Control-Frames. Bezüglich solcher „Kommunikation“ von ausschließlich technischen Geräten, ohne einen menschlich veranlassten Kommunikationsvorgang, der sich auf Kommunikationsinhalte bezieht, sondern die ausschließlich zur Sicherung der Betriebsbereitschaft notwendig ist (technische Signale zur Gewährleistung der Kommunikationsbereitschaft), hat das BVerfG (im Bezug auf den „IMSI-Catcher“) entschieden, dass sie nicht den Schutz von Art. 10 I GG genießen.1284 Da dieser technische Austausch keinen Rückschluss auf Kommunikationsbeziehungen und -inhalte zulässt, weist er nicht das spezifische Gefahrenpotential auf, vor dem Art. 10 I GG schützt.1285 Damit fallen nicht alle von IT-Systemen generierten Daten in den Schutzbereich des Telekommunikationsgeheimnisses. Weil auch die hier betroffenen Management- und Control-Frames, genau wie die Beacon-Frames, wiederum nicht als Umstände der Kommunikation geschützt sind, da sie sich gerade nicht auf einen konkreten Kommunikationsvorgang beziehen, sondern unabhängig davon dafür zuständig sind, die Verbindung aufrecht zu erhalten,1286 ist es notwendig, die bei der Primärmaßnahme getroffene Feststellung dahin gehend zu präzisieren, dass alle durch das lokale Netzwerk übermittelten Datenpakete von Art. 10 I GG geschützt sind, es sei denn, es handelt sich um eine reine Maschine-zu-Maschine-Kommunikation. 1281 Im sogenannten „Monitor Mode“. 1282 Siehe Abschnitt (5) auf Seite 233. 1283 Aus technologischer Sicht ist eine Differenzierung/Filterung vorab, ohne inhaltliche Wahrnehmung, problemlos möglich, da es sich gerade um unterschiedliche FrameTypen handelt. 1284 BVerfG, Beschluss vom 22.08.2006, 2 BvR 1345/03, juris, Abs. 57. Ausdrücklich entgegen der zuvor geäußerten Ansicht des BGH, vgl. BGH, Beschluss vom 21.02.2001, 2 BGs 42/01, juris. Ausführlich: Demko, NStZ, 2004, S. 57 – 64ff. (S. 59 ff). 1285 BVerfG, Beschluss vom 22.08.2006, 2 BvR 1345/03, juris, Abs. 59. 1286 Für Einzelheiten zur Abgrenzung siehe gerade zuvor in Abschnitt (1) auf Seite 261.
266
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Da lokale Funknetzwerke als IT-Systeme qualifiziert werden müssen,1287 könnte von dieser Maßnahme auch das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (GVIiS) berührt sein. Allerdings sind laut BVerfG solche Systeme nicht geschützt, die lediglich Daten mit punktuellem Bezug zu einem bestimmten Lebensbereich des Betroffenen enthalten (wie Steuerungsanlagen der Haustechnik), und keine Daten betreffen, die in Umfang und in Vielfalt einen Einblick in wesentliche Teile der Lebensgestaltung einer Person ermöglichen.1288 Zwar ist ein WLAN insgesamt vom Informationsgehalt her ein deutlich umfangreicheres System als eine schlichte Steuerungsanlage, hingegen weist inhaltlich die bloße technische „Kommunikation“ in einem WLAN keine Unterschiede zu dem Datenaustausch in einer Steuerungsanlage der Haustechnik auf. Die notwendige Gefährdungslage beim Mitschneiden der bloßen technischen Kommunikation für die personenbezogenen Daten fehlt, weil vom Umfang und der Vielfalt dieser Daten kein Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen ist. Daher greift auch das GVIiS hier nicht. Art. 13 I GG scheidet wiederum aus dem gleich Grund wie bei der Primärmaßnahme aus.1289 Letztlich genügt laut BVerfG in einer solchen Konstellation das allgemeine Persönlichkeitsrecht aus Art. 2 I i.V.m. Art. 1 I GG in seiner Ausprägung als Recht auf informationelle Selbstbestimmung, um die berechtigten Geheimhaltungsinteressen des Betroffenen vor einer Wahrnehmung der Maschine-zu-Maschine-Kommunikation seiner Geräte zu schützen.1290 Zusammenfassend lässt sich festhalten, dass die Kenntnisnahme öffentlich zugänglicher Informationen in IT-Systemen auf einem nicht dafür vorgesehen Weg, die nur punktuellen Bezug zu einem bestimmten Lebensbereich aufweisen, selbständig (nur) das Recht auf informationelle Selbstbestimmung tangiert. (2)
Strafprozessuale Zulässigkeit
Da die Maßnahme in das Recht auf informationelle Selbstbestimmung eingreift, bedarf sie einer strafprozessualen Norm zur Rechtfertigung. (a)
§ 100i StPO?
Zuerst wäre an § 100i StPO zu denken, der einen Eingriff in das Recht auf informationelle Selbstbestimmung zu rechtfertigen vermag1291 und der gerade geschaffen wurde, um auf eine reine Maschine-zu-Maschine-Kommunikation zugreifen zu Mit ausführlicher Begründung oben in Abschnitt b) auf Seite 202 ff. BVerfGE 120, 274, Abs. 202 und 203. Siehe Abschnitt c) auf Seite 209. BVerfGE 120, 274, Abs. 202; aber auch BVerfG, Beschluss vom 22.08.2006, 2 BvR 1345/03, juris, Abs. 60. 1291 Wolter/Greco in: Wolter (Hrsg.), SK-StPO, Band II, 2016, § 100i, Rn. 3.
1287 1288 1289 1290
II. Sekundärmaßnahmen
267
können.1292 Bei der Anwendung von § 100i StPO auf die technische „Kommunikation“ von lokalen Funknetzwerken ist man mit dem Problemen konfrontiert, dass die Vorschrift ganz augenscheinlich für das Mobilfunknetz und seine technische Infrastruktur konzipiert wurde. Während sich die betroffene MAC-Adresse unproblematisch als Gerätenummer i.S.v. § 100i II Nr. 1 StPO verstehen lässt,1293 liegt die Einordnung der Endgeräte im lokalen Funknetzwerk als Mobilfunkendgeräte weniger auf der Hand. Auch wenn der Begriff vom Wortlaut her nicht zwangsläufig auf Mobiltelefone reduziert werden muss, ebenso wenig wie Mobilfunk allein auf das klassische Mobilfunknetz für Mobiltelefone beschränkt werden muss, lässt sich das Merkmal „mobil“ nur schwerlich leugnen. Ein Mobilgerät ist beweglich und (leicht) transportierbar. Daher ließen sich womöglich Smartphones, Tablets oder sogar Laptops (mit WLAN-Adapter) noch als Mobilfunkendgeräte qualifizieren, spätestens ein Desktop-Computer allerdings kaum.1294 Die vom Wortlaut gezogene Grenze selbst einer technikoffenen Auslegung der Norm dürfte damit überschritten sein.1295 Die Anwendung von § 100i StPO scheidet aus diesem Grund nach hier vertretener Ansicht aus.1296 (b)
Ermittlungsgeneralklausel gem. §§ 161, 163 StPO?
Allerdings bietet sich ein Rückgriff auf die Ermittlungsgeneralklausel in §§ 161, 163 StPO an, mit der gerade für die Erhebung von (personenbezogenen) Daten eine adäquate Rechtsgrundlage geschaffen wurde.1297 Sie ermächtigt zu grundrechtsrelevanten Ermittlungsmaßnahmen, die eine minder intensive Eingriffswirkung aufweisen und in der StPO nicht anderweitig speziell normiert sind.1298 Beispiele für solche Ermittlungsmaßnahmen sind Erkundigungen im Umfeld einer gesuchten Person, das Sammeln und Auswerten am Tatort hinterlassener Spuren, das Aufzeichnen von Bild und Ton von Verhalten in der Öffentlichkeit oder eben die bereits zuvor erwähnte Online-Streife.1299 In diese Art von Maßnahmen dürfte sich auch die außerhalb des geschützten Bereichs von Art. 13 I GG wahrgenommene und nicht gesondert gesicherte 1292 Hauck in: Löwe-Rosenberg, StPO, § 100i, Rn. 1. 1293 International Mobile Station Equipment Identity (IMEI) und MAC-Adresse haben die gleiche Funktion (Identifizierung im Netzwerk), werden beide weltweit eindeutig vergeben (und können beide gut gefälscht werden). 1294 So aber Kleih, Die strafprozessuale Überwachung der Telekommunikation, S. 226 f. 1295 Vgl. BVerfG NJW 2008, 3627, Rn. 10; Roggan, NJW, 2015, S. 1995 ff. (S. 1995), dazu bereits oben in Abschnitt (c) auf Seite 255. 1296 Unschlüssig: Singelnstein, NStZ, 2012, S. 593 ff. (S. 599). Jordan plädiert für eine analoge Anwendung von § 100i StPO, vgl. Jordan, Kriminalistik, 2005, S. 514 ff. (S. 517 f.). 1297 Erb in: Löwe-Rosenberg, StPO, § 161, Rn. 3b. 1298 Kölbel in: MüKo, StPO, § 161, Rn. 7. 1299 Wohlers in: Wolter (Hrsg.), SK-StPO, Band II, 2016, § 161, Rn. 14 ff.
268
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
technische „Kommunikation“ eines lokalen Funknetzwerkes einreihen;1300 auch angesichts der geringen Intensität eines Eingriffs in das Recht auf informationelle Selbstbestimmung, die eine derartige Wahrnehmung von Maschine-zu-MaschineKommunikation aufweist.1301 Insbesondere ist durch diesen Vorgang auch kein Strafgesetz erfüllt,1302 namentlich § 202a StGB1303 und § 202b StGB1304 scheiden aus. Nach hier vertretener Auffassung kann damit die Maschine-zu-MaschineKommunikation in lokalen Funknetzwerken, insbesondere die Ermittlung der MAC-Adressen der assoziierten Endgeräte mittels passiver Scanner, sowie das Feststellen der MAC-Adresse des Access Points in sog. Hidden Networks auf §§ 161, 163 StPO gestützt werden. d)
aa)
Das Senden von Datenpaketen an den Access Point: Verwendung aktiver Scanner; Einloggen in offenes WLAN
Technologische Einzelheiten
Statt der in den beiden vorherigen Unterkategorien beschriebenen Nutzung passiver Scanner, könnten auch aktive Scanner eingesetzt werden. Sie hätten in der Regel den Vorteil, schneller Ergebnisse zu liefern. Solche Scanner erfassen nicht passiv den Austausch zwischen Access Point und anderen Endgeräten, sondern senden selbst aktiv besagte Probe-Request-Frames an die Access Points in Reichweite, die wiederum protokollgemäß mit einem Probe-Response-Frame antworten, das die entsprechenden Informationen enthält. Betreibt der Betroffene ein offenes WLAN, kann sich jeder in Reichweite (damit auch die Strafverfolgungsbehörden) mit dem Access Point verbinden. Dazu muss der sich verbindende WLAN-Adapter lediglich zwei Datenpakete (AuthenticationRequest- und Association-Request-Frame) an den Access Point senden.1305 Betont sei hier noch einmal, dass es an dieser Stelle nur um das „Einloggen“ in das 1300 A.A.: wohl Wohlers in: Wolter (Hrsg.), SK-StPO, Band II, 2016, § 161, Rn. 13, nach dem die Ermittlungsgeneralklausel tendenziell nur offene Maßnahmen zu rechtfertigen vermag. 1301 Hauck in: Löwe-Rosenberg, StPO, § 100i, Rn. 21. 1302 Eine staatliche Handlung, die den Tatbestand eines Strafgesetzes erfüllt, könnte freilich nicht mehr durch §§ 161, 163 StPO gerechtfertigt sein, vgl. bspw. Böckenförde, Die Ermittlungen im Netz, S. 113. 1303 Es fehlt offensichtlich bereits am Tatbestandsmerkmal „gegen unberechtigten Zugang besonders gesichert“. 1304 Bei dem unverschlüsselten WLAN-Datenverkehr handelt es sich nicht um eine „nichtöffentliche Datenübermittlung“, vgl. etwa Weidemann in: BeckOK, StGB, § 202b, Rn. 6. 1305 Die Assoziierung erfolgt über die sog. Open System Authentication, vgl. Abschnitt a) auf Seite 79.
II. Sekundärmaßnahmen
269
WLAN als etwaigen Zwischenschritt für weitere Maßnahmen geht (das Abhören der Datenströme eines offenen WLAN ist hingegen Teil der Primärmaßnahme). Das Besondere an diesen Maßnahmen ist, dass dabei der WLAN-Adapter der Behörden aktiv Datenpakete zum Access Point (Router) des Betroffenen schickt, der sich womöglich in einer Wohnung oder einem ähnlichen geschützten Bereich befindet. Auch wenn des Versenden dieser konkreten Datenpakete keinen Angriff darstellt, sondern genau auf diese Weise vom Protokoll (IEEE 802.11)1306 und damit vom Betreiber so vorgesehen ist. bb)
Rechtliche Einordnung
(1)
Verfassungsrechtliche Vorgaben
Im Unterschied zu der vorherigen (zweiten) Unterkategorie wird hier nicht der (technische) Datenaustausch zwischen Dritten mitgelesen. Vielmehr nimmt die staatliche Stelle selbst aktiv eine Telekommunikationsbeziehung (auf dem technisch dafür vorgesehenen Weg) zu dem Access Point des Betroffenen auf. Daher gleicht die Verwendung aktiver Scanner bzw. das Einloggen in ein offenes WLAN diesbezüglich der ersten Unterkategorie, bei der allerdings ausschließlich umgekehrt der Access Point des Betroffenen einseitig Informationen an die passive staatliche Stelle geschickt hat. Da aber dennoch nur öffentlich zugängliche, nicht zugangsgesicherte Informationen auf dem technisch dafür vorgesehenen Weg wahrgenommen werden, scheidet hier ein selbständiger Eingriff in Art. 10 I GG ebenso aus wie zuvor bei der Ermittlung der MAC-Adresse des Access Points.1307 Hinsichtlich des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (GVIiS) könnte durch das Ansteuern des Access Points, anders als bei den beiden vorherigen Unterkategorien, dessen Integritätskomponente betroffen sein. Jedoch ist das GVIiS aus dem einfachen Grund hier nicht einschlägig, weil es nicht durch Maßnahmen berührt wird, die der Inhaber des Systems genau auf diese Weise vorgesehen hat. „Für solche Datenerhebungen hat der Betroffene selbst sein System technisch geöffnet“.1308 Im Bezug auf das Grundrecht auf Unverletzlichkeit der Wohnung ist die Sachlage komplexer. Insbesondere ist die Problematik hier anders gelagert als bei der Primärmaßnahme oder den beiden vorhergehenden Unterkategorien. Dort ging es um das Mitschneiden von nach außen dringenden elektromagnetischen Wellen 1306 Siehe Abschnitt (1) auf Seite 47. 1307 Siehe oben in Abschnitt (1) auf Seite 261. Zu denken wäre auch an einen Grundrechtsverzicht, da diese Informationen hier freiwillig ohne Täuschung preisgegeben werden. Darin besteht auch der Unterschied zu einem Vorgehen im Rahmen der Sekundärmaßnahme III, vgl. dazu Abschnitt aa) auf Seite 322. 1308 BVerfGE 120, 274, Abs. 306.
270
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
von außen.1309 Die Besonderheit bei dieser Unterkategorie liegt hier darin, dass dabei der staatliche WLAN-Adapter unter Umständen, etwa wenn sich der Access Point (Router) in einer Wohnung befindet, elektromagnetische Strahlen direkt in einen von Art. 13 I GG geschützten Bereich sendet. Die Unverletzlichkeit der Wohnung kann nun aber nicht nur durch physisches Eindringen beeinträchtigt werden, sondern auch durch (unkörperliches) Eindringen in anderer Art und Weise mittels technischer Hilfsmittel, auch wenn sie von außerhalb der Wohnung eingesetzt werden.1310 Die damit einhergehende Diskussion, ob der Zugriff über Netzwerke auf IT-Endgeräte, die sich u.U. im von Art. 13 I GG geschützten Bereich befinden, das Recht auf Unverletzlichkeit der Wohnung berührt, wurde jedoch bereits an anderer Stelle ausführlich geführt – nämlich im Zusammenhang mit der Online-Durchsuchung.1311 Dort ist die Ausgangskonstellation ganz ähnlich, nur freilich deutlich eingriffsintensiver. Denn bei der Online-Durchsuchung wird nicht nur die Netzwerk-Infrastruktur, sondern ein IT-Endgerät über das InternetNetzwerk infiltriert (das lokale Netzwerk stellt dabei in der Regel die letzte Teilstrecke dar). Ziel der Online-Durchsuchung ist es letztlich, den Speicher des betroffenen Gerätes auszulesen. Es gab zahlreiche Stimmen, die in dem Zugriff über Netzwerke ein Eindringen in geschützte Räume sahen,1312 und ebenso zahlreiche, die das ablehnten.1313 Das BVerfG beendete die Diskussion kurzerhand und ausdrücklich: „Soweit die Infiltration die Verbindung des betroffenen Rechners zu einem Rechnernetzwerk ausnutzt, lässt sie die durch die Abgrenzung der Wohnung vermittelte räumliche Privatsphäre unberührt“.1314 Es erkennt ausdrücklich eine Schutzlücke von Art. 13 I GG und führt aus: „Art. 13 Abs. 1 GG schützt zudem nicht gegen die [...] Erhebung von Daten [...] eines informationstechnischen Systems [...], das in einer Wohnung steht.“1315 Anders formuliert liegt der Schutz von Art. 13 I GG in der besonderen Abschirmungsfunktion der Wohnung. Der Schutzbereich kann daher nur verletzt werden, wenn die räumlichen Barrieren wie Wände und Decken etc. als Wahrnehmungshindernis überwunden werden. Ein Auslesen der Daten kann nur durch gänzlich 1309 Dabei bereitete lediglich das Verständnis eines Nebensatzes in der Entscheidung des BVerfG zum NWVerfSchG zum sog. Van-Eck-Phreaking Probleme, vgl. Abschnitt c) auf Seite 209. 1310 BVerfGE 109, 279, Abs. 108. Zur genauen Schutzbereichsdefinition siehe oben in Abschnitt dd) auf Seite 165. 1311 Weiterführend zum Beispiel: Gudermann, Online-Durchsuchung im Lichte des Verfassungsrechts, S. 93 ff.; Schneider, Rechtliche Rahmenbedingungen für die Vornahme von Online-Durchsuchungen, S. 49 ff.; Kohlmann, Online-Durchsuchungen und andere Massnahmen mit Technikeinsatz, S. 101 ff. 1312 Nur beispielhaft: Valerius, JR, 2007, 275 ff.; Rux, JZ, 2007, S. 285 ff.; Hornung, DuD, 2007, S. 575 ff. 1313 Bspw.: Bär, MMR, 2008, S. 215 ff.; Gercke, CR, 2007, S. 245 ff. 1314 BVerfGE 120, 274, Abs. 194. 1315 BVerfGE 120, 274, Abs. 195. Mit einer ausführlichen Begründung: Böckenförde, Die Ermittlungen im Netz, S. 223 f.
II. Sekundärmaßnahmen
271
andere Arten von Barrieren auf Ebene von Hard- und Software, etwa durch Verschlüsselung, verhindert werden.1316 Das gilt gerade auch beim bloßen Zugriff auf lokale Funknetzwerke, denn Wände stellen für elektromagnetische Wellen kein Hindernis dar – im Gegensatz zur akustischen oder optischen Wohnraumüberwachung. Solange ein informationstechnisches System nicht als etwa optischer oder akustischer Sensor verwendet wird, findet durch den Zugriff auf Daten gerade keine Überwachung von Vorgängen innerhalb der Wohnung statt, die auch laut der Betonung des BVerfG nur als physischer Rückzugsbereich geschützt ist und nicht als informationeller Rückzugsbereich.1317 Oder wie es Böckenförde prägnant auf den Punkt bringt: „Die Firewall ist keine Wohnungswand“.1318 Dass dieser Sichtweise zuzustimmen ist, zeigt eine andere Parallele. Letztlich wird auch bei dem Aufrufen von Homepages (etwa im Rahmen der sog. Online-Streife) nichts anderes gemacht. Dabei wird von staatlicher Seite ein Datenpaket (HTTP GET) an einen Server gesendet, der sich in der Regel in einem von Art. 13 I GG geschützten Raum befinden dürfte, woraufhin der Server mit der Auslieferung der Homepage antwortet. Auch hierin müsste von der ablehnenden Meinung bereits ein Eingriff in Art. 13 I GG gesehen werden (in den freilich von Seiten des Betroffenen eingewilligt wurde, da er die Homepage gerade zum Abruf bereitstellt). Das ginge zu weit. Die Überzeugungskraft dieses Ansatzes zeigt noch eine weitere Parallele. Auch bei der Sprachtelefonie über ein klassisches, schnurloses Festnetztelefon zirkulieren Daten auf der letzten Teilstrecke innerhalb der geschützten Räumlichkeit in Form von elektromagnetischen Wellen. Dennoch würde diesbezüglich nicht der Schutz von Art. 13 I GG diskutiert, vielmehr käme eindeutig ausschließlich Art. 10 I GG zum Tragen.1319 Damit bliebe wiederum nur das allgemeine Persönlichkeitsrecht aus Art. 2 I i.V.m. Art. 1 I GG in seiner Ausprägung als Recht auf informationelle Selbstbestimmung. Denn der „Schutzumfang des Rechts auf informationelle Selbstbestimmung beschränkt sich dabei nicht auf Informationen, die bereits ihrer Art nach sensibel sind und schon deshalb grundrechtlich geschützt werden“.1320 Genau wie bei der ersten Unterkategorie stellt sich damit die Frage, ob die bei dieser Teilmaßnahme zusammengetragenen Informationen bereits eine besondere Gefahrenlage für die Persönlichkeit des Betroffenen bilden. In Hinblick auf die Probe-Response-Frames lässt sich das im Gleichklang mit der ersten Unterkategorie verneinen, weil sie nicht mehr Informationen enthalten als ein Beacon-Frame. Der Vorgang des Einloggens in ein offenes WLAN gibt auch keine zusätzlichen Informationen über den Betroffenen preis und auch das Einloggen selbst ermöglicht isoliert nicht den 1316 1317 1318 1319 1320
Gercke, CR, 2007, S. 245 ff. (S. 250). Gudermann, Online-Durchsuchung im Lichte des Verfassungsrechts, S. 107. Böckenförde, JZ, 2008, S. 925 ff. (S. 926). Gudermann, Online-Durchsuchung im Lichte des Verfassungsrechts, S. 105. BVerfGE 120, 274, Abs. 198.
272
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Zugriff auf weitere personenbezogene Informationen.1321 Damit dürfte sowohl das aktive Scannen als auch das bloße Einloggen in ein offenes WLAN durch staatliche Stellen ebenfalls noch keinen selbständigen Eingriff in die Grundrechte des Betroffenen darstellen. (2)
Strafprozessuale Zulässigkeit
Da es bereits an einem konkreten Grundrechtseingriff fehlt, ist auch hier keine spezielle strafprozessuale Rechtfertigungsnorm erforderlich. Die Vornahme dieser Ermittlungshandlung ist damit ohne Befugnisnorm zulässig. Mag man der hier vertretenen Auffassung des Fehlens eines Eingriffs in das Recht auf informationelle Selbstbestimmung nicht folgen, böte sich jedoch ein erneuter Rückgriff auf die Ermittlungsgeneralklausel an. e) Zusammenfassung: Sekundärmaßnahmen I: Maßnahmen ohne Überwindung von Sicherheitsvorkehrungen Zusammenfassend lässt sich damit für Sekundärmaßnahmen der ersten Kategorie Nachfolgendes festhalten: Maßnahmen in Bezug auf lokale Funknetzwerke, die keine Sicherheitsvorkehrungen überwinden und auf dem technisch dafür vorgesehen Weg erfolgen, insbesondere wenn die staatliche Stelle zudem als „Gegenüber des Datenaustauschs“ auftritt, greifen nicht selbständig in Grundrechte des Betroffenen ein, wenn dabei (nur) Daten betroffen sind, die keinen Bezug zu konkreten inhaltlichen Kommunikationsvorgängen im Netzwerk aufweisen und in ihrer Qualität und/oder Menge keine besondere Gefährdungslage für die Persönlichkeit des Betroffenen ergeben. Damit bedarf es auch keiner strafprozessualen Rechtfertigungsnorm für diese Maßnahmen. Sie sind ohne Weiteres zulässig. Beispiele für solche Maßnahmen sind z.B. das Lokalisieren und Zuordnen eines WLAN oder die Ermittlung der MAC-Adresse des Access Points mittels passiver Scanner. Gleiches gilt auch, wenn für diesen Zweck staatliche Stellen elektromagnetische Wellen in einen von Art. 13 I GG geschützten Raum senden, soweit dies ebenfalls auf dem technisch dafür vorgesehenen Weg erfolgt und sich das betroffene ITSystem dafür geöffnet hat – etwa bei Verwendung eines aktiven Scanners oder dem Einloggen in ein offenes WLAN. Wird in einem lokalen Funknetzwerk der Datenaustausch zwischen Dritten (etwa zwischen dem Access Point und dem assoziierten Endgerät) zwar ohne Überwindung einer Sicherheitsvorkehrung, aber nicht auf dem technisch dafür vorgesehenen 1321 Es ermöglichte nur die Mitbenutzung des Internet-Anschlusses des Betroffenen, um selbst im Internet zu surfen, nicht aber den Zugriff auf dessen Internetnutzung.
II. Sekundärmaßnahmen
273
Weg wahrgenommen, so ist lediglich das Grundrecht auf informationelle Selbstbestimmung betroffen, solange es sich um eine rein „technische Kommunikation“ (Maschine-zu-Maschine-Kommunikation) handelt. Eine solche Maßnahme, wie zum Beispiel bei der Ermittlung der MAC-Adressen der assoziierten Endgeräte oder der MAC-Adresse des Access Points in einem „Hidden Network“, kann auf die Ermittlungsgeneralklausel in §§ 161, 163 StPO gestützt werden. 2.
Sekundärmaßnahmen II: Maßnahmen zur Überwindung von Sicherheitsvorkehrungen (insb. Verschlüsselung) a) Erläuterung der Ermittlungsmaßnahmen
Die Sekundärmaßnahmen II eint, dass sie anstreben, spezielle informationstechnologische Sicherheitsvorkehrungen (insbesondere Verschlüsselungs- und Authentifizierungsverfahren) zu überwinden, die gerade darauf abzielen, die Daten besonders vor fremder Kenntnisnahme abzuschirmen und damit (indirekt) auch die Durchführung der Primärmaßnahme zu verhindern. Die hier betrachteten Sicherheitsvorkehrungen schützen zum einen auf der Ebene der Netzzugangsschicht das Zielnetzwerk in seiner Gesamtheit gegen Zugriffe und ein Mitlesen von außen. Ist ein Funknetzwerk derart abgesichert, muss ein Angreifer den jeweiligen (Verschlüsselungs-)Schutz des Netzwerks knacken, etwa durch einen direkten Angriff auf Wired Equivalent Privacy (WEP) oder durch das Ausnutzen einer PSK-Schlüssel-, WPS- bzw. Router-Remote-Management-Schwachstelle bzw. einen Brute-Force-Angriff bei Wi-Fi Protected Access (WPA/WPA2).1322 Solche Maßnahme gehen fast immer mit Eingriffen in den Datenverkehr einer Netzwerkinfrastruktur des Betroffenen einher. Unter diese Kategorie von Maßnahmen fällt zum Beispiel das Re-injizieren von Datenpaketen in das Netzwerk1323 oder das Fälschen und Senden von Disassociation-Frames an einen Host.1324 Des Weiteren können die konkret zu überwachenden Anwendungen auf den ITEndgeräten zusätzliche, ihre Kommunikationsdaten abschirmende Verschlüsselung oberhalb der Netzzugangsschicht einsetzen, wie etwa die Verschlüsselung der Verbindung zwischen Client und Server (Transportverschlüsselung) durch den Browser mit Hilfe des hier beispielhaft betrachteten HTTPs-Protokolls.1325 Angriffe auf diese zusätzliche Verschlüsselung erfordern regelmäßig Eingriffe, die sich auch auf die Software des informationstechnischen Ziel-Endsystems auswirken, jedoch ohne dieses Endsystem (wie ein Trojaner) zu infiltrieren. Zu denken ist etwa an das konkrete Ausnutzen der POODLE-Sicherheitslücke mit Hilfe 1322 Im informationstechnologischen Teil ab Abschnitt b) auf Seite 80 bzw. ab Abschnitt c) auf Seite 87. 1323 Bei der Replay-Attack zum Brechen von WEP, vgl. Abschnitt (4) auf Seite 86. 1324 Im Rahmen einer Deauthentication Attack bei einem Angriff auf WPA/WPA2, siehe Abschnitt (e) auf Seite 94. 1325 Im informationstechnologischen Teil ab Abschnitt 1. auf Seite 119.
274
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
von einer Java-Schwachstelle oder die Änderung der Systemzeit des anvisierten Endsystems über das Network Time Protocol.1326 Allerdings müssen Maßnahmen zur Überwindung der Transportverschlüsselung nicht zwangsläufig das Endgerät betreffen. Sie können auch lediglich Auswirkungen auf die Netzwerkinfrastruktur haben, wie etwa beim SSL-Stripping oder bei bestimmten Formen des SSL/TLSSession-Cookie-Hijacking durch das Manipulieren von Redirect-Nachrichten.1327 All diesen Maßnahmen ist gemein, dass aktiv, unter Ausnutzung von Sicherheitslücken und Schwachstellen,1328 in ein fremdes IT-System eingegriffen und dabei unter Umständen Daten im Netzwerkverkehr, in Netzwerkkomponenten oder auf dem Endgerät manipuliert werden. b)
Technologische Einzelheiten
Sind die Telekommunikationsdaten in irgendeiner Art und Weise durch gängige Verschlüsselungsverfahren geschützt, wird in der Mehrheit der Fälle die isolierte Durchführung der Primärmaßnahme nicht zielführend sein. Denn in einem solchen Szenario erhielten die Strafverfolgungsbehörden durch das rein passive Mitschneiden des WLAN-Datenstroms von außen lediglich nicht sinnvoll auswertbaren „Zeichensalat“.1329 Die in den meisten Verschlüsselungsalgorithmen zum Einsatz kommenden mathematischen Funktionen sind in dem Sinne sicher, dass sich allein (also auf dem Weg des Ciphertext-Only-Angriffs)1330 aus dem Geheimtext (dem „Zeichensalat“) in einem akzeptierbaren Zeitrahmen und unter vertretbarer Aufwendung von Ressourcen nicht auf den Klartext (die eigentlichen Inhaltsdaten) schließen lässt.1331 Die Verschlüsselung ist dennoch oft zu „knacken“; präziser formuliert wäre vermutlich „auszuhebeln“. Dabei weisen regelmäßig aber nicht die mathematischen Funktionen, die den Verschlüsselungsverfahren zugrunde liegen und damit deren 1326 Siehe Abschnitt c) auf Seite 121 ff. 1327 Siehe Abschnitt bb) auf Seite 125. 1328 An Sicherheitslücken und Schwachstellen besteht (leider) kein Mangel. Es wird geschätzt, dass selbst bei großen Softwarefirmen im Schnitt 0,5 solcher Fehler pro 1000 Zeilen Programmiercode auftreten; zum Vergleich: Der Browser Google Chrome besteht aus geschätzten 7 Millionen Zeilen Quellcode, was insgesamt ca. 3500 Fehlern allein für diese Anwendung entsprechen würde, vgl. „Why everything is hackable“, The Economist, 08.04.2017, S. 70. 1329 Mit weiteren Ausführungen bereits in Abschnitt 3. auf Seite 160. Entsprechend ist es auch in der Praxis weitgehend sinnlos, möchte man die Überwachung lokaler Funknetzwerke als Maßnahme betrachten, wenn man allein das rein passive Mitschneiden untersucht. 1330 Zu den verschiedenen Angriffsarten siehe Abschnitt 1. auf Seite 62. 1331 Dazu ausführlich in Anhang D auf Seite 491 ff. Zur Begründung und generell zu den Aufgaben der Kryptographie und der Kryptanalyse ausführlich in den kryptologischen Grundlagen in § C auf Seite 55 ff.
II. Sekundärmaßnahmen
275
Fundamente bilden, Schwächen auf. Vielmehr schleichen sich exploitierbare Fehler bei der konkreten Umsetzung und Implementierung der Verschlüsselungsverfahren im jeweiligen Einzelfall (seltener in die Protokolle) ein. Diese Sicherheitslücken oder Schwachstellen lassen sich ausbeuten.1332 Um derartige Sicherheitslücken konkret im Zusammenhang mit lokalen Funknetzwerken auszunutzen, ist, wie im informationstechnologischen Teil detailliert aufgezeigt wurde, in der Regel der Zugriff auf die Infrastruktur des lokalen Funknetzwerks notwendig. Konkret gemeint sind damit beispielhaft (Teil-)Maßnahmen wie eine Replay-Attack zum Brechen von WEP, eine Deauthentication Attack bei einem Angriff auf WPA/WPA2 oder das SSL-Stripping zur Umgehung von HTTPs. Bei der Replay-Attack wird vom Angreifer wieder und wieder ein zuvor abgefangenes Datenpaket (ein verschlüsselter ARP-Request) in das betroffene lokale Netzwerk eingespeist und hundertausendfach an den Access Point gesendet, um auf diese Weise einen künstlichen Datenstrom zu erzeugen, aus dem sich über verschiedene Schwachstellen auf den verwendeten kryptographischen RC4-Schlüssel (und damit auf den vollständigen WEP-Schlüssel) schließen lässt.1333 Bei der Deauthentication Attack hingegen werden spezielle Datenpakete (Disassociation-Frames) vom Angreifer gefälscht und an den Access Point gesendet, mit dem Ergebnis, dass das Endgerät des Betroffenen vom lokalen Netzwerk ungewollt „abgemeldet“ wird.1334 Beim SSL-Stripping wiederum werden bestimmte Browser-Nachrichten (HTTP-Redirect) abgefangen, manipuliert und danach erst weitergesendet, um zu verhindern, dass der betroffene Client eine durchgehend verschlüsselte Verbindung zum Server aufbauen kann.1335 Teilweise, je nachdem, in welchem Bereich die Verschlüsselung zum Einsatz kommt, sind auch Eingriffe in die Endgeräte selbst erforderlich. Gemeint sind Maßnahmen wie zum Beispiel die Änderung der Systemzeit des betroffenen Endgerätes im Rahmen eines Angriffs auf HTTP Strict Transport Security (HSTS). Endgeräte fragen die Systemzeit in der Regel unverschlüsselt über das Network Time Protocol von einem Server ab. Dieser Datenverkehr kann einfach manipuliert werden, mit der Folge, dass die Systemzeit des Endgerätes (temporär) nach hinten 1332 Zur Verbreitung von Sicherheitslücken bereits unter Fußnote 1328 auf der vorherigen Seite. Oft wird dabei zunächst das Ziel verfolgt, direkt an den kryptographischen Schlüssel zu gelangen, mit dem sich in der Folge der passiv mitgeschnittene Geheimtext in den Klartext übersetzen lässt. Zur grundsätzlichen Funktionsweise eines kryptographischen Algorithmus bereits in den Grundlagen in Abschnitt 1. auf Seite 56 f. 1333 Ausführlich in Abschnitt (4) auf Seite 86. 1334 Ziel ist es, das betroffene Endgerät zu zwingen, sich erneut mit dem Access Point zu assoziieren, um zwei Datenpakete des 4-Way-Handshakes abzugreifen und so eine Brute-Force-Attack auf WPA/WPA2 starten zu können, vgl. ausführlich in Abschnitt (e) auf Seite 94. 1335 Umfassende Darstellung in Abschnitt bb) auf Seite 125.
276
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
verlegt wird.1336 Ähnlich hat etwa die konkrete Umsetzung eines POODLEAngriffs Auswirkungen auf das Endgerät des Betroffenen.1337 Hierbei wird über eine Java-Schwachstelle der Browser auf dem Endgerät des Betroffenen dazu veranlasst, im Hintergrund vielfach spezielle, manipulierte Datenpakete (HTTPsRequests mit einem in den Padding-Bereich kopierten Session-Cookie) an einen Server zu senden. Wie die beiden Beispiele bereits verdeutlichen, lassen sich solche die Endgeräte betreffende Maßnahmen noch dahingehend weiter ausdifferenzieren, welche Art von Daten (mit oder ohne Bezug zu einer laufenden Telekommunikation) durch den Eingriff betroffen sind.1338 Dass die Praxis einen solchen Weg über das Ausnutzen von IT-Sicherheitslücken beschreiten möchte, zeigt die Gründung der „Zentrale für Informationstechnik im Sicherheitsbereich“ (ZITiS). 2017 errichtet und dem Bundesministerium des Innern unterstellt, soll sie als Dienstleister für Bundespolizei, BKA und Verfassungsschutz fungieren und Entschlüsselungstechniken für Computer und Telefone entwickeln und bereitstellen. Das bedeutet, entsprechende Sicherheitslücken und Schwachstellen aufzufinden und in Programme umzusetzen, die damit ein „Knacken“ von spezifischen Verschlüsselungsanwendungen ermöglichen. Um die gebotene Trennung zwischen Polizei und Geheimdienst zu wahren, erhält die Behörde keine eigenen Eingriffsbefugnisse. Sie soll bereits 2017 mit ca. 60 Mitarbeitern ihre Arbeit aufnehmen. Bis 2022 soll die Behörde 400 Mitarbeiter beschäftigen.1339 Auch wenn die Strafverfolgungsbehörden Sicherheitslücken und/oder konkrete, solche Sicherheitslücken ausnutzende Anwendungen von ZITiS erhalten, sind es letztendlich die Strafverfolgungsbehörden selbst, die den Eingriff in die Infrastruktur vornehmen und damit die Ausführung der Überwachungsmaßnahme zu verantworten haben. Die technologischen Erläuterungen lassen erkennen, dass die Teilmaßnahmen dieser Kategorie zwar aus technologischer Perspektive einheitlich betrachtet werden können, die Einnahme einer rechtlichen Perspektive es allerdings auch hier geboten erscheinen lässt, nach drei Unterkategorien zu differenzieren. c) Alleiniges Überwinden von Sicherheitsvorkehrungen von Telekommunikation (das „Knacken“ von Verschlüsselung) Diese Unterkategorie betrifft zunächst das bloße, alleinige Überwinden der Sicherheitsvorkehrung selbst. Also den gesonderten Umstand, dass die Strafverfolgungsbehörden eine vom Bürger errichtete, unkörperliche Barriere, hier in Form der Verschlüsselung von Telekommunikation, überwinden – ähnlich dem Überwinden 1336 Diese Maßnahme ist als Zwischenschritt des Angriffs notwendig, siehe Abschnitt ee) auf Seite 131 ff. 1337 Ausführlich in Abschnitt (2) auf Seite 136 ff. 1338 Dazu genauer in Abschnitt (b) auf Seite 310. 1339 Zum Ganzen: ZD-Aktuell 2016, 05211; MMR-Aktuell 2016, 379459.
II. Sekundärmaßnahmen
277
körperlicher Hindernisse, in Form etwa eines Tresors, bei der Durchsuchung. Die Behörden wandeln dabei lediglich die in verschlüsselter Form vorliegenden Daten (den Geheimtext) in interpretierbare Inhaltsdaten (den Klartext) um. Eine solche Umwandlung kann etwa mit Hilfe des zuvor wie auch immer anderweitig erlangten kryptographischen Schlüssel erfolgen. Vorstellbar wäre zum Beispiel, dass der Betroffene etwa seine WPA/WPA2-Passphrase jemand anderem mitteilt, der diese Information an die Behörden weitergibt.1340 Denkbar wäre es ebenfalls, wenn auch in der Praxis wohl äußerst selten, dass es gelingt, aus dem mitgeschnittenen Geheimtext direkt auf den Klartext (im Wege des Ciphertext-Only-Angriffs) zu schließen.1341 aa)
Verfassungsrechtliche Vorgaben
Es stellt sich zunächst die Frage, ob verschlüsselte Kommunikation grundrechtlich geschützt ist, um nachfolgend klären zu können, ob dem bloßen Überwinden der Verschlüsselung bereits ein selbständiger Eingriffscharakter zukommt. Das Telekommunikationsgeheimnis schützt grundsätzlich „die unkörperliche Übermittlung von Informationen [...] mit Hilfe des Telekommunikationsverkehrs“.1342 Die Art und Weise der unkörperlichen Übermittlung und die Ausdrucksform spielen dabei gerade keine Rolle.1343 Geradezu selbstverständlich ist auch verschlüsselt übertragene Telekommunikation vom Schutzbereich umfasst, schließlich liegt gerade in der Vertraulichkeit einer Kommunikation die zentrale Schutzfunktion von Art. 10 I GG.1344 Beim Überwinden der Verschlüsselung von Telekommunikation könnte, je nach konkreter Situation, neben dem Fernmeldegeheimnis noch ein weiteres Grundrecht betroffen sein. Denn im Überwinden der informationstechnologischen Sicherheitsvorkehrungen liegt oft auch eine Schutzbereichsverletzung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (Vertraulichkeitskomponente),1345 insbesondere des durch das GVIiS gewährten Schutzes der Vertraulichkeit von IT-Systemen.1346 Allerdings wird der Schutz durch das GVIiS im Bereich laufender Telekommunikation nur subsidiär 1340 Der kryptographische Schlüssel könnte auch separat durch eine Maßnahme der nachfolgenden beiden Unterkategorien erlangt worden sein. 1341 Dazu bereits Abschnitt b) auf Seite 274. 1342 Zur Reichweite von Art. 10 I GG ausführlich in Abschnitt aa) auf Seite 189 ff. 1343 BVerfGE 124, 43, Abs. 43. Mit weiteren Nachweisen: Durner in: Maunz/Dürig, Grundgesetz-Kommentar, Art. 10, Rn. 82. 1344 So auch Durner in: Maunz/Dürig, Grundgesetz-Kommentar, Art. 10, Rn. 91. 1345 Generell zum Inhalt des Schutzbereichs des GVIiS bereits oben in Abschnitt cc) auf Seite 164 f. und in Abschnitt b) auf Seite 202 ff. 1346 Schließlich hat der Betroffene sein System gerade nicht für Datenerhebungen technisch geöffnet (BVerfGE 120, 274, Abs. 306), ganz im Gegenteil, er hat es in besonderem Maße geschützt.
278
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
gewährt.1347 Er tritt zurück, soweit das Telekommunikationsgeheimnis ausreichenden Schutz bietet. Damit kommt einer etwaigen Schutzbereichseröffnung des GVIiS kein eigenständiger Charakter zu. Damit ist aber keine Aussage darüber getroffen, ob in dem „Knacken“ der Verschlüsselung von Telekommunikation, also dem Überwinden einer erkennbaren zusätzlichen Wahrnehmungsbarriere, bereits ein selbständiger, über die anschließende Wahrnehmung der Inhaltsdaten hinausgehender Eingriff in Art. 10 I GG liegt. Im eingangs angeführten Vergleich wurde eine Parallele zur Überwindung speziell errichteter körperlicher Hindernisse, wie z.B. dem Aufbrechen eines Tresors durch unmittelbaren Zwang bei der Durchsuchung gemäß §§ 102 ff. StPO gezogen. Auf verfassungsrechtlicher Ebene liegt hier die selbständige Betroffenheit des Schutzbereichs eines weiteren Grundrechts auf der Hand. Bei der gewaltsamen Öffnung des Tresors wird selbiger in Mitleidenschaft gezogen. Damit ist der Betroffene zusätzlich zum Recht auf Unverletzlichkeit der Wohnung gem. Art. 13 I GG1348 selbständig in seinem Recht auf Eigentum gem. Art. 14 I GG betroffen. Der selbständige Eingriffscharakter der Maßnahme liegt dabei auf der Hand.1349 Entsprechend mag dieser Vergleich nicht als Begründung der selbständigen Grundrechtsrelevanz der hier diskutierten Maßnahme dienen.1350 Es könnte aber aus einem anderen Grund bereits ein selbständiger Eingriff in das Telekommunikationsgeheimnis vorliegen. Denn ein Eingriff in Art. 10 I GG liegt nach herrschender Meinung nicht erst in in der inhaltlichen Wahrnehmung von Telekommunikation, sondern bereits in vorangehenden Arbeitsschritten wie zum Beispiel der Erfassung der Daten,1351 sogar bereits dann, wenn sich staatliche Behörden die Möglichkeit der Kenntnisnahme verschaffen.1352 Das gilt insbesondere auch für das Überwinden von Schutzvorkehrungen.1353 Denn dabei entsteht bereits genau jene spezifische Gefahr für die Vertraulichkeit der Kommunikation, 1347 Zur allgemeinen Abgrenzung von GVIiS und Telekommunikationsgeheimnis etwa bereits in Abschnitt cc) auf Seite 205 ff. 1348 Gegebenenfalls liegt auch ein Eingriff in das allgemeine Persönlichkeitsrecht gem. Art. 2 I i.V.m. Art. 1 I GG vor. 1349 Dieser zusätzliche Grundrechtseingriff lässt sich freilich ebenfalls durch die Vorschriften zur Durchsuchung gem. §§ 102 ff. StPO (als Annexkompetenz) rechtfertigen, vgl. Wohlers/Jäger in: Wolter (Hrsg.), SK-StPO, Band II, 2016, § 105, Rn. 64 f; Schmitt in: Meyer-Goßner/Schmitt, StPO, § 105, Rn. 13. 1350 So aber Zerbes/El-Ghazi, NStZ, 2015, S. 425 ff. (S. 427) im Zusammenhang mit dem Offline-Auslesen eines Speichermediums unter Nutzung entschlüsselnder Zugangskennungen. 1351 Durner in: Maunz/Dürig, Grundgesetz-Kommentar, Art. 10, Rn. 121; Jarass in: Jarass/Pieroth, GG, Art. 10, Rn. 11; Puschke/Singelnstein, NJW, 2008, S. 113 ff. (S. 118). Zu dieser funktionalen Betrachtungsweise: BVerfGE 100, 313, Rn. 188 f. 1352 Hermes in: Dreier, Grundgesetz, Art. 10, Rn. 53. Explizit bereits für die noch weiter im Vorfeld liegende bloße Anordnung eines Zugriffs: BVerfGE 124, 43, Abs. 54 (m.w.N.). Zuletzt: BGH StV 2018, 72, 73. 1353 Gusy in: v. Mangoldt/Klein/Starck, Kommentar zum Grundgesetz, Art. 10, Rn. 58.
II. Sekundärmaßnahmen
279
vor der Art. 10 I GG dem Grundrechtsträger Schutz gewähren soll. Genau diese Situation liegt hier durch das Überwinden der letzten Barriere vor der damit unproblematischen Wahrnehmung vor. Das bedeutet, dass das „Knacken“ des im lokalen Netzwerk anfallenden verschlüsselten Datenverkehrs, als zeitlich leicht vorgelagerter Schritt, aufgrund des engen Zusammenhangs mit der dadurch direkt ermöglichten Kenntnisnahme von Telekommunikation bereits einen eigenständigen Eingriff in Art. 10 I GG darstellt,1354 der einer Rechtfertigung bedarf und daher von den Behörden nicht ohne Ermächtigungsgrundlage durchgeführt werden darf.1355 bb)
Strafprozessuale Zulässigkeit
Da es sich bei der Sekundärmaßnahme dieser Unterkategorie um einen selbständigen Grundrechtseingriff in das Telekommunikationsgeheimnis handelt, muss sie auf eine strafprozessuale Ermächtigungsgrundlage gestützt werden. Für das isolierte „Knacken von Verschlüsselung“ (im Rahmen der heimlichen Überwachung lokaler Funknetzwerke) kommen die §§ 94 ff., 102 und 110 III StPO nicht in Frage, weil es sich dabei um Ermächtigungsgrundlagen für offene Ermittlungsmaßnahmen handelt.1356 Die §§ 99, 100 StPO scheiden aus, da sich die zu entschlüsselnden Daten schon nicht im Gewahrsam eines Telekommunikationsdienstleistungserbringers befinden. Die §§ 100a I S. 2, 3 StPO, sowie § 100b I StPO sind ebenfalls nicht einschlägig, da hierbei nicht in ein IT-System eingegriffen wird.1357 In Betracht käme allein § 100a I S. 1 StPO. Allerdings regelt § 100a I S. 1 StPO neben dem „Überwachen und Aufzeichnen“ das „Knacken“ von Verschlüsselung nicht ausdrücklich. (1)
Überwinden der Verschlüsselung von Telekommunikation als „Überwachen und Aufzeichnen“ i.S.v. § 100a I S. 1 StPO?
Die Ausführungen zur Begriffsbestimmung von „Überwachen und Aufzeichnen“ sind spärlich gesät und denkbar knapp gehalten. In der ursprünglichen Gesetzesbegründung von 1967 heißt es lediglich:
1354 So auch ausdrücklich in Bezug auf eine Entschlüsselung: Durner in: Maunz/Dürig, Grundgesetz-Kommentar, Art. 10, Rn. 123. 1355 Bezüglich der weiteren Grundrechte ergeben sich hier keine Besonderheiten im Vergleich zur Primärmaßnahme, so dass allein das Telekommunikationsgeheimnis Prüfungsmaßstab bleibt. 1356 Dazu bereits im Rahmen der Primärmaßnahme ausführlich ab Abschnitt a) auf Seite 215 ff. 1357 Siehe dazu im Rahmen der Primärmaßnahme ab Abschnitt f) auf Seite 244 ff.
280
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Der Entwurf verwendet den Begriff der „Überwachung“ des Fernmeldeverkehrs, um damit klarzustellen, daß nicht nur das Abhören des Fernsprechund das Mitlesen des Fernschreibverkehrs, sondern auch das Aufzeichnen der dabei gewonnenen Erkenntnisse auf Ton- bzw. Schriftträger legalisiert werden soll.1358
Das Abhören wird demzufolge als (ausschließlich) „akustische oder sonstige Wahrnehmung“ verstanden.1359 Allerdings ergibt sich aus dem Zusammenhang mit Telekommunikation, dass sich die Überwachung vornehmlich auf Daten bezieht, die noch übertragen werden und zu diesem Zeitpunkt gerade nicht dauerhaft gespeichert vorliegen.1360 Aufzeichnung hingegen meint lediglich die Perpetuierung der erlangten Informationen für eine spätere Auswertung.1361 Der Duden definiert im Übrigen „überwachen“ als „genau verfolgen, was jemand (der verdächtig ist) tut“.1362 All diesen Definitionsansätzen ist gemeinsam, dass sie das „Überwachen“ als passiven Vorgang beschreiben, wie ihn etwa die Primärmaßnahme darstellt. Das „Brechen“ der Verschlüsselung bzw. das Entschlüsseln geht aber deutlich über die bloße Wahrnehmung (und Aufzeichnung) hinaus und ist eindeutig ein aktiver Vorgang. Zudem muss ein Dechiffrierungsversuch auch nicht zeitgleich mit der eigentlichen Überwachungsmaßnahme erfolgen, sondern kann nachträglich angegangen werden. Aufgrund dieses grundlegenden Wesensunterschieds dürfte sich der Anwendungsbereich des Merkmals daher mit den gesetzlich anerkannten Methoden der Gesetzesauslegung nicht mehr dahingehend konkretisieren lassen.1363 Die vom Wortlaut gezogene Grenze muss selbst bei der Annahme der Möglichkeit einer „technikoffenen“ Auslegung der Norm wohl als überschritten angesehen
1358 Vgl. BT-Drucks. V/1880, S. 11, abrufbar unter: http://dipbt.bundestag.de/doc/btd/05/ 018/0501880.pdf (Stand: Dezember 2017). 1359 Wolter/Greco in: Wolter (Hrsg.), SK-StPO, Band II, 2016, § 100a, Rn. 20 (mit weitergehenden Erläuterungen dazu, dass staatliche „Oberservation“ und „Provokationen zur Datenpreisgabe“ im mehr oder weniger losen Zusammenhang mit telekommunikativen Vorgängen hingegen nicht unter den Überwachungsbegriff fallen). Ebenso mit gleichlautendem Wortlaut: Bär in: v. Heintschel-Heinegg/Bockemühl (Hrsg.), KMR, StPO, § 100a, Rn. 15. 1360 Brodowski, ZiS, 2012, S. 474 ff. (S. 476). 1361 Günther in: MüKo, StPO, § 100a, Rn. 86, 90. 1362 Vgl. http://www.duden.de/rechtschreibung/ueberwachen (Stand: Dezember 2017). 1363 Dazu näher für den Einsatz technischer Mittel: BVerfGE 112, 304, zu Ls 1, 3b.
II. Sekundärmaßnahmen
281
werden.1364 Eine derartige aktive Sekundärmaßnahme ließe sich damit nicht mehr direkt unter § 100a I S. 1 StPO fassen.1365
(2)
Überwinden der Verschlüsselung von Telekommunikation als Annexkompetenz zu § 100a I S. 1 StPO?
In Betracht käme aber, dass § 100a I S. 1 StPO das Überwinden der Verschlüsselung von Telekommunikation auf dem Wege der Annexkompetenz gestattet. Das grundsätzliche Bestehen von sogenannten Annexkompetenzen für in der Strafprozessordnung nicht ausdrücklich geregelte Begleiteingriffe ist in der rechtswissenschaftlichen Literatur und auch höchstrichterlich anerkannt.1366 Das gilt insbesondere für die bereits erwähnte Anwendung unmittelbaren Zwangs bei der Durchsuchung gem. §§ 102 ff. StPO1367 und für Begleitmaßnahmen, die den Einsatz technischer Mittel im Rahmen von § 100h StPO vorbereiten oder flankieren.1368 Im Kontext moderner Telekommunikationsüberwachung wird die Annahme einer Annexkompetenz etwa für die Anordnung der konkreten Art und Weise der Übermittlung der im Rahmen von §§ 100g und 100h StPO überwachten und aufgezeichneten Daten angenommen.1369 Insbesondere wird sie aber für das Installieren von Spionagesoftware auf einem IT-Endgerät zur Durchführung der Quellen-Telekommunikationsüberwachung sowohl von Schrifttum als auch 1364 Vgl. zu der vom Wortlaut gezogenen Grenze ausführlich: Roggan, NJW, 2015, S. 1995 ff. (S. 1995); BVerfG NJW 2008, 3627, Rn. 10 und bereits oben in Abschnitt (c) auf Seite 255. 1365 Zu diesem Ergebnis kommt implizit auch Bratke, allerdings für die ebenfalls aktive Installation von Überwachungssoftware, vgl. Bratke, Die Quellen-Telekommunikationsüberwachung im Strafverfahren, S. 264. 1366 Etwa BGH NJW 2001, 1658 (m.w.N.). Als Begründung dient die „Vielfalt der Lebenssachverhalte und der nicht vorhersehbaren technischen Entwicklung“, die eine „umfassende, allen Erfordernissen genügende gesetzliche Regelung“ gar nicht möglich machte, vgl. BGH NStZ 2005, 278, Abs. 2. 1367 Wohlers/Jäger in: Wolter (Hrsg.), SK-StPO, Band II, 2016, § 105, Rn. 64 f.; Hauschild in: MüKo, StPO, § 105, Rn. 31; Schmitt in: Meyer-Goßner/Schmitt, StPO, § 105, Rn. 13. 1368 Beispielhaft wird die kurzzeitige Verbringung eines Pkw in eine Werkstatt zum Einbau eines GPS-Senders oder die Nutzung fremder Stromquellen angeführt, vgl. Hegmann in: BeckOK, StPO, § 100h, Rn. 9; Bruns in: Hanich (Hrsg.), KK-StPO, § 100 h, Rn. 9; Günther in: MüKo, StPO, § 100h, Rn. 24. Zunächst noch ablehnend BGH-Ermittlungsrichter NJW 1997, 2189, dann aber BGH NJW 2001, 1658 (noch zu § 100c StPO a.F.). Zur unter Umständen fehlenden Übertragbarkeit auf § 100h StPO aufgrund von Erwägungen zur Verhältnismäßigkeit: Singelnstein, NStZ, 2014, S. 305 ff. (S. 311). 1369 Vgl. BGH NStZ 2005, 278.
282
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
von der Rechtsprechung sehr kontrovers diskutiert.1370 Eine höchstrichterliche Entscheidung steht hier noch aus.1371 Um als nicht ausdrücklich normierte Befugnis dennoch dem in Art. 20 III GG verankerten Grundsatz vom Vorbehalt des Gesetzes zu genügen, müssen bestimmte Voraussetzungen (kumulativ)1372 erfüllt sein:1373 Zum einen wird verlangt, dass die entsprechende Sekundärmaßnahme typischerweise unerlässlich ist und daher davon ausgegangen werden kann, dass der Gesetzgeber sie mitregeln wollte. Zum anderen darf die Sekundärmaßnahme nur von geringer Intensität und muss unter Beachtung des Verhältnismäßigkeitsgrundsatzes notwendig sein. Typischerweise unerlässlich und daher vom Gesetzgeber mitgebilligt ist eine Maßnahme nur, wenn sie durch Sachzusammenhang mit dem primären Eingriff in Verbindung steht1374 und zusätzlich einen wesentlichen Teil der Anwendungsmöglichkeiten betrifft bzw. eine wesentliche Fallgruppe darstellt.1375 Der generelle Einsatz von Verschlüsselung im Zusammenhang mit der Nutzung des InternetNetzwerks zielt gerade auf den Erhalt der (telekommunikativen) Privatsphäre und damit auf die Abwehr Dritter ab. Das gilt erst recht für den Einsatz zur Abschirmung des lokalen Funknetzwerkverkehrs. Ein Sachzusammenhang von Überwindung der Verschlüsselung und Überwachung von Telekommunikation ist damit offensichtlich. Die Telekommunikationsüberwachung gem. § 100a I S. 1 1370 Ablehnend etwa: Generalbundesanwalt, Vermerk beim BGH vom 29.10.2010, vgl. StV 2013, S. 477; LG Hamburg, MMR 2008, 423; AG Hamburg, StV 2009, 636; Buermeyer/Bäcker, HRRS, 2009, S. 433ff. (S. 439); Hoffmann-Riem, JZ, 2008, S. 1009 ff. (S. 1022); Gersdorf in: BeckOK, Informations- und Medienrecht, Art. 2 GG, Rn. 28 m. w. N.; Stadler, MMR, 2012, S. 18 ff. (S. 19); Braun/Roggenkamp, K & R, 2011, S. 681 ff. (S. 683); Albrecht/Dienst, JurPC Web-Dok. 5/2012, Abs. 1 ff. (Abs. 50); Bode, Verdeckte strafprozessuale Ermittlungsmaßnahmen, S. 368 f.; auch bereits Böckenförde, Die Ermittlungen im Netz, S. 211 f., 225 ff. (allerdings im Rahmen von § 100c StPO). Zustimmend etwa: LG Hamburg, MMR 2010, 693; LG Landshut MMR 2011, 690; Bär in: v. Heintschel-Heinegg/Bockemühl (Hrsg.), KMR, StPO, § 100a, Rn. 32; Günther in: MüKo, StPO, § 100a, Rn. 226; Bratke, Die Quellen-Telekommunikationsüberwachung im Strafverfahren, S. 264 ff. 1371 Heckmann in: juris Praxiskommentar, Internetrecht, Kapitel 9, Rn. 857. 1372 Wohlers/Jäger in: Wolter (Hrsg.), SK-StPO, Band II, 2016, § 105, Rn. 63. 1373 Dazu der Generalbundesanwalt, Vermerk beim BGH vom 29.10.2010, vgl. StV 2013, S. 477 (m.w.N.); Rudolphi in: Wolter (Hrsg.), SK-StPO, Band II, 2016, Vorbem. § 94, Rn. 2; zum Verhältnismäßigkeitsgrundsatz: BGH NJW 2001, 1658, Rn. 18. Zusammenfassend: Singelnstein, NStZ, 2014, S. 305 ff. (S. 310). 1374 Zu diesem Kriterium ausführlich: Bratke, Die Quellen-Telekommunikationsüberwachung im Strafverfahren, S. 267 ff.; Schneider, NStZ, 1999, S. 388 ff. (S. 389 f). 1375 LG Hamburg, MMR 2010, 693, Rn. 33. Das AG Hamburg ging, die abweichende Ansicht vertretend, noch davon aus, dass nahezu alle Anwendungsmöglichkeiten betroffen sein müssen, damit ein sachgedankliches Mitbewusstsein bei der Entscheidungsfindung im parlamentarischen Gesetzgebungsverfahren stattgefunden haben kann, vgl. AG Hamburg, StV 2009, 636, 637, Rn. 16.
II. Sekundärmaßnahmen
283
StPO erfasst unstreitig auch über das Internet-Netzwerk ausgetauschte Telekommunikationsdaten,1376 die einen erheblichen Teil der gesamten Telekommunikation ausmachen,1377 wovon wiederum ein bedeutender Teil über lokale Funknetzwerke abgewickelt wird.1378 Die derart ausgetauschten Daten sind inzwischen zudem in erheblichem (und weiter steigendem) Maße verschlüsselt, das zeigen verschiedene Erhebungen. So wird für das Jahr 2017 geschätzt, dass bereits über 90 % der Nutzer ihre lokalen Funknetzwerke verschlüsseln oder ein anderes „Sicherheitssystem“ verwenden.1379 Zudem wird für 2017 angegeben, dass fast ein Drittel der eine Million meistbesuchten Websites des World Wide Web (mit HTTPs) verschlüsselt ausgeliefert werden.1380 Verschlüsselung betrifft daher ohnehin schon einen wesentlichen Teil der Anwendungsmöglichkeiten der Telekommunikationsüberwachung insgesamt, in jedem Fall aber eine wesentliche Fallgruppe. Somit lässt sich die Maßnahme dieser Unterkategorie als typischerweise unerlässlich für die Überwachung von Internetkommunikation einstufen und es kann von einem sachgedanklichen Mitbewusstsein ausgegangen werden.1381 Auch das Erfordernis eines Eingriffs von nur verhältnismäßig geringfügiger Intensität führt hier erkennbar zu keinen Restriktionen. Das bloße Überwinden 1376 Auch wenn die Gesetzesbegründung von 1997 bei der Ersetzung des Merkmals „Fernmeldeverkehr“ durch „Telekommunikation“ nur von einer „Redaktionelle[n] Anpassung an den Sprachgebrauch des TKG“ spricht, vgl. BT-Drucks. 13/8016, S. 26, abrufbar unter: http://dip21.bundestag.de/dip21/btd/13/080/1308016.pdf (Stand: Dezember 2017), dürfte der Gesetzgeber bereits damals das Internet-Netzwerk im Hinterkopf gehabt haben (1997 ging etwa bereits GMX, einer von Deutschlands größten E-Mail-Dienstleistungsanbietern, online), siehe ausführlich dazu bereits in Abschnitt (1) auf Seite 227. 1377 Nach Angaben des statistischen Bundesamtes verfügen im Jahr 2016 87 % aller Haushalte über einen Internetzugang, 85 % der Personen ab 10 Jahren mit Internetzugang nutzen diesen täglich, vgl. https://www.destatis.de/DE/Publikationen/Thematisch/ EinkommenKonsumLebensbedingungen/PrivateHaushalte/PrivateHaushalteIKT215 0400167004.pdf (Stand: Dezember 2017). 1378 Für das Jahr 2017 etwa wird die Anzahl der WLAN-Nutzungen auf 45,98 Millionen Haushalte geschätzt, vgl. https://de.statista.com/statistik/daten/studie/171510/umfrage/ im-haushalt-genutzte-internetzugangsarten/ (Stand: Dezember 2017). 1379 https://de.statista.com/statistik/daten/studie/4472/umfrage/genutzteverschluesselung-fuer-w-lan-netzwerke (Stand: Dezember 2017). Eine representative empirische Erhebung durch die RWTH Aachen kam bereits 2006 auf einen Wert von 74%, vgl. Dörhöfer, Empirische Untersuchung zur WLAN-Sicherheit mittels Wardriving, S. 95, abrufbar unter: https://www1.cs.fau.de/filepool/thesis/diplomarbeit2006-doerhoefer.pdf (Stand: Januar 2018). 1380 https://statoperator.com/research/https-usage-statistics-on-top-websites/ (Stand: Dezember 2017). 1381 Das gilt freilich umso mehr, wenn man davon ausgeht, dass der Gesetzgeber mit dem Begriff Telekommunikation „eine möglichst umfassende und von den technischen Einzelheiten ihrer Durchführung losgelöste Überwachung“ ermöglichen wollte, so zumindest das LG Hamburg, MMR 2010, 693, Rn. 35 (ohne Fußnote).
284
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
der Verschlüsselung greift, wie gezeigt, zwar selbständig in das Telekommunikationsgeheimnis ein, geht allerdings im Bezug auf die Eingriffstiefe kaum über die Primärmaßnahme hinaus und ist folglich von nur geringer zusätzlicher Intensität.1382 Um dem Verhältnismäßigkeitsgrundsatz gerecht zu werden, muss die Maßnahme zudem zur Verfolgung eines legitimen Zwecks geeignet, erforderlich und angemessen sein.1383 Das Überwinden der Verschlüsselung dient dem legitimen Zweck, die laufende Telekommunikation (auf Ebene des lokalen Funknetzwerks) zu überwachen.1384 Das Überwinden der Verschlüsselung von Telekommunikationsdaten verwandelt erst unverständlichen „Zeichensalat“ in interpretierbare Inhaltsdaten um. Damit ist die Maßnahme geeignet, den legitimen Zweck zu erreichen. Ohne die Maßnahme bleiben die im Rahmen der Überwachungsmaßnahme aufgezeichneten verschlüsselten Daten nicht sinnvoll auswertbar, so dass die Primärmaßnahme keine verwertbaren Erkenntnisse zu liefern vermag. Insbesondere ist kein anderes, schon gar kein milderes Mittel denkbar, was das Überwinden der Verschlüsselung auch erforderlich macht. Letztlich muss die Sekundärmaßnahme auch angemessen sein. Die Schwere des Eingriffs darf also bei einer Gesamtabwägung nicht außer Verhältnis zu dem Gewicht der rechtfertigenden Gründe stehen.1385 Konkret bedeutet dies, dass die, für den Betroffenen durch das zusätzliche Überwinden der Verschlüsselung entstehenden, über die Überwachung der Telekommunikation hinausgehenden Nachteile die Vorteile der Strafverfolgung nicht überwiegen. Angesichts der lediglich geringfügigen (zusätzlichen) Nachteile, die dem Betroffenen entstehen, denn letztlich ist der Unterschied gering, ob die Behörden ein Kabel anzapfen oder eine „umhüllende“ Verschlüsselung überwinden, und angesichts des hohen Stellenwertes der Strafverfolgung liegt auch hier das Ergebnis auf der Hand. Ein Antrag auf Mitschneiden und Speichern des Datenverkehrs eines lokalen Funknetzwerks gem. § 100a I S. 1 StPO gestattet also grundsätzlich (auch) das bloße, alleinige (eigenständige) Überwinden von vorhandener Verschlüsselung auf dem Wege der Annexkompetenz, zumindest solange das konkrete Überwinden der Verschlüsselung nicht mit weiteren Handlungen einhergeht, die zusätzliche, intensivere oder anders geartete Grundrechtseingriffe darstellen.1386 Dazu sogleich mehr. 1382 Siehe Abschnitt aa) auf Seite 277. 1383 Bratke, Die Quellen-Telekommunikationsüberwachung im Strafverfahren, S. 282 (m.w.N.). In der Rechtsprechung wird das Kriterium zwar genannt, aber jeweils nur unvollständig geprüft, vgl. etwa LG Hamburg, MMR 2010, 693, Rn. 36 ff.; AG Hamburg, StV 2009, 636, 637, Rn. 23 ff. 1384 Siehe Abschnitt (2) auf Seite 194. 1385 BVerfG NJW 2008, 822, Abs. 227. 1386 So im Ergebnis auch Obenhaus, NJW, 2010, S. 651 ff. (S. 653), allerdings im Bezug auf § 110 III StPO.
II. Sekundärmaßnahmen
d)
285
Eingriffe in den Datenverkehr einer Netzwerkinfrastruktur zur Überwindung von Sicherheitsvorkehrungen
Diese Unterkategorie umfasst den für das Überwinden der Sicherheitsvorkehrung regelmäßig notwendigen (unkörperlichen) Zugriff auf die Netzwerkinfrastruktur des Betroffenen. Wie die zusammenfassenden Ausführungen zu den technologischen Einzelheiten zuvor und die ausführliche Darstellung im informationstechnologischen Teil deutlich gemacht haben, geht in der Praxis das Ausnutzen von Sicherheitslücken auf Netzwerkebene1387 in den allermeisten Fällen mit Manipulationen am Datenverkehr des lokalen Netzwerks einher.1388 Sei es um spezielle Datenpakete abzufangen, zu verändern oder (vielfach) in das Netzwerk einzuspeisen. Ebenfalls in diese Kategorie gehören Man-in-theMiddle-Angriffe auf Netzwerkebene, etwa durch Address Resolution Protocol Spoofing.1389 Betroffen ist in dieser Unterkategorie aber als Hardware ausschließlich die Netzwerkinfrastruktur, also ein System ohne eigene hinreichende Speicherund Verarbeitungskapazität. aa)
Verfassungsrechtliche Vorgaben
(1)
Telekommunikationsgeheimnis, Art. 10 I GG
Zunächst ist genau zu analysieren, auf welche Datenpakete sich die Eingriffe dieser Unterkategorie beziehen. Wie in den Erläuterungen zu den technologischen Einzelheiten1390 deutlich wird, sind vor allem Datenpakete betroffen, die selbst keine Inhaltsdaten transportieren, wie etwa Management- und Control-Frames oder HTTP-Statuscodes (z.B. die angesprochenen Disassociation-Frames, ARPRequests, HTTP-Redirects). Damit stellt sich anfänglich die Frage, ob das Telekommunikationsgeheimnis in Art. 10 I GG von einer solchen Maßnahme überhaupt betroffen sein kann, denn es ließe sich die Argumentation zur Maschine-Maschine-Kommunikation aufgreifen.1391 Danach genießen solche Datenpakete, die lediglich zur Sicherung der Betriebsbereitschaft notwendig sind und damit bloß der technischen Umsetzung des von den Nutzern angestrebten Datenaustauschs dienen, nicht den Schutz von Art. 10 I GG. Das hat seine Ursache allerdings darin, dass ein solch rein technischer Austausch keinen Rückschluss auf Kommunikationsbeziehungen zulässt und damit das spezifische Gefahrenpotential, vor dem Art. 10 I GG schützt, gerade nicht aufweist. Betrachtet man nun die vorliegende Situation und die für Z.B. durch ARP-Spoofing. Mit weiteren Verweisen: Abschnitt b) auf Seite 274. Ausführliche Darstellung in Abschnitt aa) auf Seite 123 ff. Mit weiteren Verweisen in den informationstechnologischen Teil: Abschnitt b) auf Seite 274 f. 1391 Siehe Abschnitt c) auf Seite 263.
1387 1388 1389 1390
286
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
diese Unterkategorie angeführten Beispiele, fällt auf, dass die von den Manipulationen betroffenen Datenpakete selbst zwar keine Inhaltsdaten transportieren, aber dennoch in direktem Zusammenhang mit einem inhaltlichen Austausch stehen. So leitet der hier beispielhaft genannte HTTP-Redirect des Servers eine konkrete Anfrage des Clients (also des im Internet surfenden Betroffenen) von einer unverschlüsselten auf eine verschlüsselte Verbindung um oder das Disassociation-Frame beendet eine konkret bestehende Verbindung zwischen Endgerät und Access Point. Diese Art von Datenverkehr entsteht also nur, wenn das Netzwerk tatsächlich für den Austausch von Inhaltsdaten genutzt wird. Er erlaubt nicht nur Rückschlüsse auf Kommunikationsbeziehungen, sondern Veränderungen daran haben teilweise sogar direkt Auswirkungen auf die Transportstrecke des Austauschs. Die betroffenen Datenpakete weisen also, anders als eine reine Maschine-zu-MaschineKommunikation, einen Bezug zu konkreten Kommunikationsvorgängen auf,1392 und dies hat eine Schutzbereichseröffnung von Art. 10 I GG zur Folge.
Für einen Eingriff genügt jegliches unbefugte Eindringen staatlicher Behörden in den geschützten Bereich der unkörperlichen Übermittlung.1393 Insbesondere liegt nicht erst in der inhaltlichen Wahrnehmung von Telekommunikation ein Eingriff, sondern bereits in vorangehenden Arbeitsschritten wie zum Beispiel der Erfassung der Daten1394 oder, wie aufgezeigt, dem Überwinden von Verschlüsselung1395. Gleiches muss damit nahezu selbstverständlich auch für ein vorbereitendes Manipulieren der entsprechenden Daten(-ströme) gelten. Denn dabei entsteht genau jene spezifische Gefahr für die Vertraulichkeit der Kommunikation, vor der Art. 10 I GG dem Grundrechtsträger Schutz gewähren soll. Das bedeutet, dass aufgrund des direkten Zusammenhangs der Eingriffe in den Datenverkehr der Netzwerkinfrastruktur zur damit ermöglichten nachfolgenden Speicherung und Wahrnehmung der Daten und aufgrund des direkten Bezugs zu konkreten Telekommunikationsvorgängen bereits diese zeitlich leicht vorgelagerten Sekundärmaßnahmen dieser Unterkategorie selbständige Eingriffe in Art. 10 I GG darstellen.
1392 Siehe Abschnitt (1) auf Seite 261 f. 1393 Durner in: Maunz/Dürig, Grundgesetz-Kommentar, Art. 10, Rn. 121. 1394 Durner in: Maunz/Dürig, Grundgesetz-Kommentar, Art. 10, Rn. 121; Jarass in: Jarass/Pieroth, GG, Art. 10, Rn. 11; Puschke/Singelnstein, NJW, 2008, S. 113 ff. (S. 118). Zu dieser funktionalen Betrachtungsweise: BVerfGE 100, 313, Rn. 167. Das gilt sogar dann, wenn sich staatliche Behörden nur die Möglichkeit der Kenntnisnahme verschaffen, vgl. Hermes in: Dreier, Grundgesetz, Art. 10, Rn. 53. Explizit bereits für die noch weiter im Vorfeld liegende bloße Anordnung eines Zugriffs: BVerfGE 124, 43, Abs. 54 (m.w.N.). 1395 Dazu ausführlich in der vorherigen Unterkategorie, vgl. Abschnitt aa) auf Seite 277.
II. Sekundärmaßnahmen
(2)
287
GVIiS und Abgrenzung zum Telekommunikationsgeheimnis
Weil es sich selbst bei der lokalen Netzwerkinfrastruktur bereits um ein IT-System handelt, ist wiederum auch das GVIiS betroffen.1396 Allerdings in etwas anderer Art und Weise als bei der Primärmaßnahme und den Sekundärmaßnahmen I. Daher ist an dieser Stelle die bereits vorgenommene Abgrenzung von Art. 10 I GG zum GVIiS1397 unter einem anderem Blickwinkel erneut durchzuführen. Diese Teilmaßnahme der Manipulation des Datenverkehrs verletzt nämlich nicht primär die Vertraulichkeitskomponente des GVIiS, schließlich werden (noch) keine Daten inhaltlich wahrgenommen. Betroffen ist vielmehr hauptsächlich die Integrität der Netzwerkinfrastruktur. Im Gegensatz zur dritten Unterkategorie der Sekundärmaßnahme I hat der Betroffene sein IT-System für diese Art von Eingriffen technisch aber gerade nicht geöffnet.1398 Das BVerfG beschreibt diese zweite Schutzrichtung des GVIiS nur kurz und indirekt als Eingriff, bei dem „auf das System so zugegriffen wird, dass dessen Leistungen, Funktionen und Speicherinhalte durch Dritte genutzt werden“, so dass es zu einer „Ausspähung, Überwachung oder Manipulation des Systems“ kommen kann.1399 Fraglich ist, ob sich damit die Abgrenzung zum Telekommunikationsgeheimnis anders als bisher gestalten muss, wenn vornehmlich diese zweite Schutzrichtung des GVIiS betroffen ist. Das Bundesverfassungsgericht erläutert im Urteil zum NWVerfSchG in insgesamt lediglich sieben Absätzen die Abgrenzung von Art. 10 I GG zum GVIiS. Das BVerfG führt grundsätzlich aus: „Soweit eine Ermächtigung sich auf eine staatliche Maßnahme beschränkt, durch welche die Inhalte und Umstände der laufenden Telekommunikation im Rechnernetz erhoben oder darauf bezogene Daten ausgewertet werden, ist der Eingriff allein an Art. 10 Abs. 1 GG zu messen. Der Schutzbereich dieses Grundrechts ist dabei unabhängig davon betroffen, ob die Maßnahme technisch auf der Übertragungsstrecke oder am Endgerät der Telekommunikation ansetzt“.1400
Es erläutert weitergehend: „Wird ein komplexes informationstechnisches System zum Zweck der Telekommunikationsüberwachung technisch infiltriert („Quellen-Telekommuni1396 Detaillierte Ausführungen zum Schutzbereich des GVIiS finden sich bereits in Abschnitt cc) auf Seite 164 f. und in Abschnitt b) auf Seite 202 ff. 1397 Siehe Abschnitt cc) auf Seite 205. 1398 Vergleiche Abschnitt (1) auf Seite 269. 1399 BVerfGE 120, 274, Rn. 204. Bei der Integritätskomponente könnte es sich daher nicht mehr primär um ein subjektives Abwehrrecht handeln, sondern um einen objektiv-rechtlichen Schutz von IT-Systemen, trotz seiner Verankerung im allgemeinen Persönlichkeitsrecht, so beispielsweise Böckenförde, JZ, 2008, S. 925 ff. (S. 928); Lepsius in: Roggan, Online-Durchsuchungen: Rechtliche und tatsächliche Konsequenzen des BVerfG-Urteils vom 27. Februar 2008, Das Computer-Grundrecht: Herleitung – Funktion – Überzeugungskraft, S. 21 ff., S. 33. 1400 BVerfGE 120, 274, Rn. 184.
288
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
kationsüberwachung“), so ist mit der Infiltration die entscheidende Hürde genommen, um das System insgesamt auszuspähen. Die dadurch bedingte Gefährdung geht weit über die hinaus, die mit einer bloßen Überwachung der laufenden Telekommunikation verbunden ist“.1401 „Nach Auskunft der in der mündlichen Verhandlung angehörten sachkundigen Auskunftspersonen kann es im Übrigen dazu kommen, dass im Anschluss an die Infiltration Daten ohne Bezug zur laufenden Telekommunikation erhoben werden, auch wenn dies nicht beabsichtigt ist. In der Folge besteht für den Betroffenen – anders als in der Regel bei der herkömmlichen netzbasierten Telekommunikationsüberwachung – stets das Risiko, dass über die Inhalte und Umstände der Telekommunikation hinaus weitere persönlichkeitsrelevante Informationen erhoben werden. Den dadurch bewirkten spezifischen Gefährdungen der Persönlichkeit kann durch Art. 10 Abs. 1 GG nicht oder nicht hinreichend begegnet werden“.1402
Bevor auf die Abgrenzungsproblematik näher eingegangen werden kann, muss zunächst die Frage geklärt werden, ob es sich bei der Netzwerkinfrastruktur überhaupt um ein komplexes und damit geschütztes informationstechnisches System handelt. Das BVerfG definiert nicht näher, was ein IT-System von einem komplexen IT-System unterscheidet. Stellt man, vom Wortlaut ausgehend, auf die Anzahl der Bauteile oder die mangelnde eigene hinreichende Speicher- und Verarbeitungskapazität einer Netzwerkinfrastruktur ab, dürfte die Komplexität zu verneinen sein. Wahrscheinlicher ist jedoch, dass sich das Gericht auf den im System vorhandenen Informationsgehalt bezogen hat.1403 Darauf deutet auch der direkt nachfolgende Hinweis auf die Gefährdungslage hin, so dass eine lokale Netzwerkinfrastruktur durchaus als komplexes IT-System zu verstehen ist. Im Bezug auf die Abgrenzungsproblematik zielen die Äußerungen des Gerichts erkennbar auf die „klassische“ Quellen-Telekommunikationsüberwachung, und damit auf den Gegensatz von Überwachung am Endgerät und herkömmlicher netzbasierter Telekommunikationsüberwachung, ab. Denn nur wenn auch das Endgerät von der staatlichen Maßnahme tangiert wird, besteht überhaupt die Gefahr, dass auch Daten ohne Bezug zur laufenden Telekommunikation betroffen sind, was die Abgrenzung komplex macht. Lokale Funknetzwerke haben nun aber insofern den besonderen Charakter, dass es sich bei sämtlichen im lokalen Netzwerk transportierten Daten zwangsläufig um laufende Telekommunikation handelt.1404 Durch die (unkörperliche) Infiltration der lokalen Netzwerkinfrastruktur sind also per se nur Daten betroffen, die Teil einer „laufenden Telekommunikation“ sind. Angesichts der fehlenden Speicher- und Verarbeitungskapazität und der 1401 1402 1403 1404
BVerfGE 120, 274, Rn. 188. BVerfGE 120, 274, Rn. 189. So auch Hauser, Das IT-Grundrecht, S. 82. Vgl. Abschnitt (3) auf Seite 201. Es sei denn, es handelt sich um eine reine Maschinezu-Maschine-Kommunikation, die aber nur durch das Recht auf informationelle Selbstbestimmung geschützt ist.
II. Sekundärmaßnahmen
289
Beschränkung auf den Transport der Datenpakete kann dabei also nicht die typische, darüber hinausgehende Persönlichkeitsgefährdung entstehen. Das Risiko, dass über die Inhalte und Umstände der Telekommunikation hinaus weitere persönlichkeitsrelevante Informationen erhoben werden, besteht gerade nicht. Das gilt freilich so nur, wenn ausschließlich die Netzwerkinfrastruktur vom Vorgehen betroffen ist, nicht aber wenn auch das Endgerät im Fokus steht.1405 Damit lässt sich dogmatisch schlüssig konstatieren, dass (allein) das Fernmeldegeheimnis auch vor bloßen Eingriffen in den Datenverkehr der Netzwerkinfrastruktur schützt, wenn dabei das Ziel einer inhaltlichen Überwachung der Telekommunikation verfolgt wird. Das gilt, weil die Eingriffe, etwa durch die Manipulation von Datenpaketen, technisch bedingt immer in einer Art und Weise erfolgen, die in Zusammenhang mit einem telekommunikativen Datenaustausch1406 steht.1407 (3)
Sonstige Grundrechte
Das Grundrecht auf Unverletzlichkeit der Wohnung ist auch hier nicht betroffen, obwohl diese Maßnahmen mit dem Senden von elektromagnetischen Wellen von außen in einen durch Art. 13 I geschützten Raum einhergeht, weil dabei keine räumlichen Barrieren wie Wände und Decken etc. als Wahrnehmungshindernis überwunden werden, also die besondere Abschirmungsfunktion der Wohnung nicht zum Tragen kommen kann.1408 Ein möglicherweise einschlägiges Recht auf informationelle Selbstbestimmung würde durch Art. 10 I GG auf dem Wege der Spezialität verdrängt.1409 bb)
Strafprozessuale Zulässigkeit
Da sich auch Eingriffe in den Datenverkehr einer Netzwerkinfrastruktur als selbständige Eingriffe (allein) in das Telekommunikationsgeheimnis darstellen, bedürften sie ebenfalls einer spezifischen strafprozessualen Rechtfertigung. Die §§ 94 ff., 99, 100, 102, 110 III StPO scheiden aus den gleichen Gründen wie in der vorherigen Unterkategorie aus.1410 1405 Dazu sogleich in Abschnitt e) auf Seite 301 ff. 1406 I.e. Umstände des Telekommunikationsvorganges sind. 1407 Siehe zu diesem Punkt auch bereits in Abschnitt (1) auf Seite 261. Dazu, dass der Schutz von Art. 10 I GG auch noch nicht beendet ist, bereits in Abschnitt (b) auf Seite 192. 1408 Dazu bereits ausführlich im Rahmen der dritten Unterkategorie von Sekundärmaßnahme I, vgl. Abschnitt (1) auf Seite 269. 1409 Nach ganz herrschender Meinung: Durner in: Maunz/Dürig, Grundgesetz-Kommentar, Art. 10, Rn. 209; Baldus/Ogorek in: BeckOK, Grundgesetz, Art. 10, Rn. 79. 1410 Siehe Abschnitt bb) auf Seite 279.
290
(1)
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Anwendbarkeit von § 100a I S. 1 StPO?
§ 100a I S. 1 StPO regelt neben dem „Überwachen und Aufzeichnen“ die Zulässigkeit von „Eingriffen in den Datenverkehr einer Netzwerkinfrastruktur zur Überwindung von Sicherheitsvorkehrungen“ nicht ausdrücklich. Angesichts des Charakters der Maßnahme als aktives und sogar manipulierendes Vorgehen ist eine entsprechende „technikoffene“ Auslegung noch eindeutiger nicht möglich als im Falle der vorherigen Unterkategorie des Überwindens von Verschlüsselung.1411 Damit stünde die Möglichkeit im Raum, das Vorgehen als Annexkompetenz zum „Überwachen und Aufzeichnen“ auf § 100a I S. 1 StPO zu stützen. Als Voraussetzung für die Annahme einer Annexkompetenz muss das Vorgehen sowohl typischerweise unerlässlich sein, so dass davon ausgegangen werden kann, dass der Gesetzgeber es mitregeln wollte, als auch von geringer Intensität und unter Beachtung des Verhältnismäßigkeitsgrundsatzes notwendig sein.1412 Den Sachzusammenhang zwischen der Überwachung lokaler Funknetzwerke und Eingriffen in die Netzwerkinfrastruktur zur Überwindung von Verschlüsselung verdeutlichen die Ausführungen zum praktischen Vorgehen im informationstechnologischen Teil.1413 Vor allem angesichts der hohen Verbreitung von (verschlüsselten) Funknetzwerken in Deutschland1414 ließe sich auch hier noch die Argumentation aufrechterhalten, dass die Maßnahme einen wesentlichen Teil der Anwendungsmöglichkeiten betrifft.1415 Im Hinblick auf die Intensität der Maßnahme ergibt sich allerdings für diese Unterkategorie ein deutlich anderes Bild. Wie in den verfassungsrechtlichen Vorgaben dargestellt wurde, ist bei Eingriffen in die Netzwerkinfrastruktur zusätzlich auch insbesondere die Integritätskomponente des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme betroffen. Auch wenn das GVIiS hier generell aufgrund der besonderen Eigenschaften von lokalen Netzwerken auf dem Wege der Spezialität hinter Art. 10 I GG zurücktritt,1416 so ist der eigenständige Charakter der Schutzbereichseröffnung in diesem Zusammenhang nicht zu leugnen. Er muss bei der Beurteilung der Intensität des Eingriffs mitberücksichtigt werden. Denn berührt ist nun, anders als beim alleinigen Überwinden der Verschlüsselung, nicht mehr nur das Interesse des Grundrechtsträgers 1411 Vgl. mit Begründung oben in Abschnitt (1) auf Seite 279. 1412 Dazu ausführlich im Rahmen der vorherigen Unterkategorie, vgl. Abschnitt (2) auf Seite 281. 1413 Ab Abschnitt 2. auf Seite 78 ff. 1414 Für das Jahr 2017 etwa wird die Anzahl der WLAN-Nutzungen nach Haushalten auf 45,98 Millionen geschätzt, vgl. https://de.statista.com/statistik/daten/studie/171510/ umfrage/im-haushalt-genutzte-internetzugangsarten/ (Stand: Dezember 2017). 1415 Zur generellen Argumentation, dass verschlüsselte Kommunikation im Bereich lokaler Funknetzwerke zumindest eine wesentliche Fallgruppe des Anwendungsbereiches darstellt, bereits oben, vgl. Fußnote 1412. 1416 Siehe Abschnitt (2) auf Seite 287.
II. Sekundärmaßnahmen
291
auf Vertraulichkeit, sondern auch sein Interesse auf Unversehrtheit seiner ITSysteme. Auch wenn die Maßnahme konkret gerade nicht geeignet ist, über die laufende Telekommunikation hinausgehende Daten zu erfassen, so stellt die dabei vorgenommene Verletzung der Integrität des IT-Systems ein erheblich größeres Risiko für den Grundrechtsträger dar und vermag sein Vertrauen in das System als Ganzes bereits erheblich zu beeinträchtigen.1417 Mit dieser Begründung kann nicht mehr davon ausgegangen werden, dass es sich um ein Vorgehen von geringer Intensität handelt. Eingriffe in den Datenverkehr der Netzwerkinfrastruktur zur Überwindung von Sicherheitsvorkehrungen sind zu schwerwiegend, um sie auf eine Annexkompetenz zu § 100a I S. 1 StPO stützen zu können. § 100a I S. 1 StPO scheidet damit als Rechtfertigungsgrundlage aus.
(2)
Anwendbarkeit von § 100a I S. 2 StPO?
In Betracht käme allerdings § 100a I S. 2 StPO als Ermächtigungsgrundlage für solche Ermittlungsmaßnahmen, die Eingriffe in die Netzwerkinfrastruktur darstellen. Er vermag prinzipiell auch als Rechtfertigung für Eingriffe in Art. 10 I GG dienen.1418 Konkret lautet § 100a I S. 2 StPO wie folgt: „Die Überwachung und Aufzeichnung der Telekommunikation darf auch in der Weise erfolgen, dass mit technischen Mitteln in von dem Betroffenen genutzte informationstechnische Systeme eingegriffen wird, wenn dies notwendig ist, um die Überwachung und Aufzeichnung insbesondere in unverschlüsselter Form zu ermöglichen.“
§ 100a I S. 2 StPO stellt eine eigenständige Ermächtigungsgrundlage dar.1419 Allerdings gestattet die Norm lediglich eine spezielle Modalität, also eine konkrete Art und Weise der Durchführung einer Telekommunikationsüberwachung, die es ermöglichen soll, den Anwendungsbereich der klassische Telekommunikationsüberwachung zu erweitern.1420 Zunächst müssen die Merkmale dieser speziellen Ausführungsmodalität näher erörtert werden, um jeweils im Anschluss untersuchen zu können, ob sich die vorliegende Kategorie von Sekundärmaßnahmen unter das entsprechende Merkmal fassen lässt und damit erlaubt wäre. 1417 Zu dieser Argumentationslinie: AG Hamburg, StV 2009, 636, 637, Rn. 25 (allerdings in Bezug auf die Installation von Spionagesoftware). 1418 Vgl. BT-Drucks. 18/12785, S. 51, abrufbar unter: http://dipbt.bundestag.de/dip21/ btd/18/127/1812785.pdf (Stand: Dezember 2017); Graf in: BeckOK, StPO, § 100a, Rn. 109. 1419 BT-Drucks. 18/12785, S. 51, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/18/ 127/1812785.pdf (Stand: Dezember 2017). 1420 Dazu bereits ausführlicher oben in Abschnitt f) auf Seite 244 f.
292
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
(a) „Die Überwachung und Aufzeichnung der Telekommunikation darf auch in der Weise erfolgen“ Die Bezugnahme auf „Telekommunikation“ verdeutlicht auch für die Ausführungsmodalität des § 100a I S. 2 StPO die § 100a StPO allgemein inhärente Restriktion des Überwachungsobjektes. Diese Restriktion ergibt sich aufgrund der Tatsache, dass § 100a I S. 2 StPO zwar Eingriffe in Art. 10 I GG, nicht aber in das GVIiS rechtfertigen kann, und aufgrund der verfassungsrechtlichen Vorgabe, dass eine staatliche Maßnahme nur dann allein an Art. 10 I GG zu messen ist, wenn die staatliche Maßnahme einen Bezug zu einer laufenden Telekommunikation aufweist.1421 Sämtliche Maßnahmen nach § 100a StPO beschränken sich daher auf Telekommunikationsdaten als Überwachungsobjekt. Durch die Bezugnahme auf „Überwachung und Aufzeichnung“ wird auch die zweite Restriktion übernommen, der § 100a I S. 1 StPO unterliegt. Wie bereits bei der Primärmaßnahme ausgeführt, bezieht sich das „Überwachen“ nur auf Daten, die noch übertragen werden und zu diesem Zeitpunkt gerade nicht dauerhaft gespeichert vorliegen.1422 Davon geht im Übrigen sogar die Gesetzesbegründung zur StPOReform von 2017 durch das Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens selbst aus, indem sie im Rahmen von § 100b StPO anmerkt, dass § 100b StPO „nicht nur neu hinzukommende Kommunikationsinhalte [wie § 100a StPO], sondern alle [...] Inhalte“ betrifft.1423 Diese Restriktionen werden aber von den Eingriffen in den Datenverkehr einer Netzwerkinfrastruktur eingehalten, da es sich bei sämtlichen im lokalen Netzwerk übertragenen Daten um flüchtige Telekommunikationsdaten handelt. Des Weiteren weist der Gesetzgeber mit der Formulierung „darf auch in der Weise erfolgen“ darauf hin, dass ansonsten die allgemeinen Anordnungsvoraussetzungen identisch zu § 100a I S. 1 StPO sind.1424 Insofern ergeben sich hier keine Besonderheiten.1425 (b)
„Eingreifen in informationstechnische Systeme“
Dieses Merkmal wurde bereits im Rahmen der Primärmaßnahme eingehend analysiert.1426 Dabei wurde festgestellt, dass, ausgehend vom Leitbild der sog. „Quellen-Telekommunikationsüberwachung“, nur solche Maßnahme erfasst sind, 1421 Soeben zuvor in Abschnitt (2) auf Seite 287 ff. 1422 Siehe Abschnitt bb) auf Seite 238. 1423 Zur Widersprüchlichkeit von § 100a I S. 3 StPO, der die „Überwachung“ gespeicherter Inhalte gestatten soll, bereits in Fußnote 1191 auf Seite 249. 1424 Ebd. Vgl. auch Fußnote 1418, S. 51. 1425 Dazu bereits oben in Abschnitt aa) auf Seite 227 ff. und in den Abschnitten bb) bis ee) auf den Seiten 238 ff. Zu den besonderen technischen Voraussetzungen sogleich nachfolgend in Abschnitt (f) auf Seite 295. 1426 Vgl. Abschnitt aa) auf Seite 245 ff.
II. Sekundärmaßnahmen
293
bei denen in ein IT-System eingedrungen wird, indem Daten des betreffenden IT-Systems verändert werden. Angesichts der soeben beim vorherigen Merkmal erwähnten Restriktion bzgl. des Überwachungsobjektes, denen auch § 100a I S. 2 StPO unterliegt, stellt sich die Frage, ob diese Restriktion auch für das Merkmal „Eingreifen in informationstechnische Systeme“ gilt. Es rückt damit also langsam auch die grundsätzliche Problematik näher in den Mittelpunkt, welche Daten des betroffenen IT-Systems eigentlich genau durch eine Maßnahme nach § 100a I S. 2 StPO verändert werden dürfen und ob die Norm eventuell einer verfassungskonformen Auslegung bedarf. An dieser Stelle kann die Beantwortung der Frage allerdings, genau wie auf verfassungsrechtlicher Ebene,1427 noch offen gelassen und soll erst in der nachfolgenden Unterkategorie endgültig geklärt werden. Das hat seine Ursache in der besonderen Eigenart des Eingriffsobjekts dieser Maßnahmenkategorie: Bei sämtlichen im lokalen Netzwerk übertragenen Daten handelt es sich eben während der Zeit des Transportes zwangsläufig um laufende Telekommunikation.1428 Von den Eingriffen in den Datenverkehr der Netzwerkinfrastruktur sind demzufolge in der Gesamtheit (Überwachungs- und Eingriffsobjekt) per se nur Daten mit Bezug zu einer „laufenden Telekommunikation betroffen. Da bei allen (unkörperlichen) Zugriffen auf die Netzwerkinfrastruktur immer auch Daten des Systems verändert werden und es sich bei lokalen Netzwerken zudem um IT-Systeme handelt,1429 ist auch dieses Merkmal „in informationstechnische Systeme eingegriffen“ durch staatliche Maßnahmen dieser Unterkategorie erfüllt.1430 (c)
„Mit technischen Mitteln“
Das Eingreifen in informationstechnische Systeme darf nur „mit technischen Mitteln“ erfolgen. Diese Formulierung ist etwa aus § 100f StPO oder § 100c StPO bekannt und erfasst jedweden Einsatz von Technik. Sie ist bewusst offen gehalten, um der technologischen Entwicklung folgend auf die jeweilige Technik zurückgreifen zu können, die für die konkrete Maßnahme am geeignetsten erscheint.1431 In § 100a I S. 2 StPO dient sie vor allem der Klarstellung, dass ein Zugriff aus1427 Siehe Abschnitt (2) auf Seite 287 ff. am Ende. 1428 Vgl. auch Abschnitt (3) auf Seite 201. Es sei denn, es handelt sich um eine reine Maschine-zu-Maschine-Kommunikation, die aber nur durch das Recht auf informationelle Selbstbestimmung geschützt ist. 1429 Dazu bereits ausführlich in Abschnitt aa) auf Seite 203 ff.; zwar auf verfassungsrechtlicher Ebene, aber insofern inhaltsgleich. 1430 Es ließe sich auch der Grundsatz „a maiore ad minus“ heranziehen: Wenn bereits die vollständige Infiltration eines IT-Systems mittels Schadsoftware zulässig ist, dann sind auch weniger intensive Eingriffe in den Datenverkehr eines IT-Systems zulässig. 1431 Etwa Günther in: MüKo, StPO, § 100c, Rn. 50.
294
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
schließlich unkörperlich, also nur auf „technischem Wege“ erfolgen darf.1432 Die Befugnis eines körperlichen Zugriffs, etwa indem die geschützten Räumlichkeiten des Betroffenen betreten werden, gibt die Norm damit ausdrücklich nicht.1433 Vorliegend erfolgt der Zugriff auf die Netzwerkinfrastruktur ausschließlich mit Hilfe von Technik. Er wird realisiert, indem von einem (staatlichen) WLAN-Adapter aus elektromagnetische Wellen an die Netzwerkomponenten des betreffenden lokalen Netzwerks gesendet bzw. empfangen werden. Der Zugriff vollzieht sich von außen. Ein Betreten der Räumlichkeiten ist dafür nach dem Kern der Methode gerade nicht erforderlich.1434 (d)
„Von dem Betroffenen genutzte“ (informationstechnische Systeme)
Dieses Merkmal schränkt den Kreis der IT-Systeme ein, in die eingegriffen werden darf. Die Behörden dürfen nur solche IT-Systeme anvisieren, die vom Betroffenen „genutzt“ werden. Der Betroffenen muss damit nicht Eigentümer oder Betreiber des lokalen Funknetzwerks sein. Auch ein fremdes Funknetzwerk kann dann Ziel der Maßnahme sein, wenn der Betroffene es nur (auch ohne Wissen des Betreibers) mitbenutzt. Allerdings bleibt der Regelungsgehalt dieses Merkmals hinter § 100a III StPO zurück.1435 Es dürfte damit ebenfalls lediglich klarstellenden Charakter haben. (e)
„Wenn dies notwendig ist, um die Überwachung und Aufzeichnung insbesondere in unverschlüsselter Form zu ermöglichen“
Dieser Hinweis auf die Voraussetzung der besonderen Notwendigkeit der Maßnahme stellt eine besondere Ausprägung des Verhältnismäßigkeitsgrundsatzes dar.1436 Demnach ist ein Vorgehen nach § 100a I S. 2 StPO nur subsidiär zulässig zur „herkömmlichen Telekommunikationsüberwachung“ gem. § 100a I S. 1 1432 Vgl. BT-Drucks. 18/12785, S. 52, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/ 18/127/1812785.pdf (Stand: Dezember 2017). 1433 Diese Klarstellung ist insofern überflüssig, da § 100a StPO ohnehin keine Eingriffe in Art. 13 I GG zu rechtfertigen vermag. 1434 Siehe schon Abschnitt 1. auf Seite 152 ff. 1435 § 100a III StPO präzisiert, dass sich die Überwachungsanordnung nur gegen den Beschuldigten oder gegen Personen richten darf, von denen auf Grund bestimmter Tatsachen anzunehmen ist, dass sie für den Beschuldigten bestimmte oder von ihm herrührende Mitteilungen entgegennehmen oder weitergeben oder dass der Beschuldigte ihren Anschluss oder ihr informationstechnisches System benutzt. Dazu ausführlich bereits in Abschnitt dd) auf Seite 240 f. 1436 Vgl. BT-Drucks. 18/12785, S. 51, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/ 18/127/1812785.pdf (Stand: Dezember 2017).
II. Sekundärmaßnahmen
295
StPO.1437 Hauptanwendungsfall soll gerade das Ermöglichen der Aufzeichnung von Telekommunikation in unverschlüsselter Form sein.1438 Wie zuvor bereits ausgeführt1439 und im informationstechnischen Teil ausführlich hergeleitet und begründet wurde,1440 wird aufgrund der Verschlüsselungsproblematik die Primärmaßnahme allein nur in den seltensten Fälle zum gewünschten praktischen Erfolg führen können. Ein Brechen der Verschlüsselung von außen ist (derzeit) meist nur dann erfolgversprechend, wenn dabei unter Ausnutzung von Sicherheitslücken aktiv auf das betroffene lokale Funknetzwerk eingewirkt wird. Das bedeutet konkret zum Beispiel, dass einzelne innerhalb der Netzwerkinfrastruktur ausgetauschte Datenpakete abgefangen und manipuliert werden oder auch in das Netzwerk re-injiziert werden müssen. Ganz besonders gilt das, wenn zusätzlich eine weitere Verschlüsselung oberhalb der Netzzugangsschicht, wie zum Beispiel die Transportverschlüsselung über das HTTPs-Protokoll, gebrochen werden soll. Sollte das betreffende lokale Funknetzwerk verschlüsselt betrieben werden, dürfte damit in den allermeisten Fällen eine einfache WLAN-Überwachung nach § 100a I S. 1 StPO (Primärmaßnahme I) mit isolierten Entschlüsselungsversuchen auf dem Wege der Kryptanalyse (vorherige Unterkategorie) wenig erfolgversprechend sein und ein entsprechend eingriffsintensiveres Vorgehen mit Hilfe der Sekundärmaßnahmen II „notwendig“ machen. Eine solche Notwendigkeit, aufgrund der Erfolglosigkeit einer herkömmlichen WLAN-Überwachung nach § 100a I S. 1 StPO, ließe sich zudem jeweils leicht nachweisen, indem die Behörden den verschlüsselten Datenverkehr mitschneiden und die erfolglose Dechiffrierung/Kryptanalyse protokollieren. An der erforderlichen Notwendigkeit würde es freilich dann fehlen, wenn sich im konkreten Fall die benötigten kryptographischen Schlüssel auf einem anderen, weniger eingriffsintensiven, aber ähnlich erfolgversprechenden Weg beschaffen ließen. (f)
Voraussetzungen des § 100a V und VI StPO
Der Absatz V des § 100a StPO knüpft weitere, technische Voraussetzungen an die Durchführung der Maßnahme. Gem. § 100a V S. 1 Nr. 1 a) StPO muss auch technisch sichergestellt werden, dass ausschließlich „laufende Telekommunikation“ überwacht und aufgezeichnet wird. Wie bereits mehrfach ausgeführt, beschränkt sich ein Vorgehen nach dieser Unterkategorie zwangsläufig nur auf laufende Telekommunikation.1441 Entsprechender besonderer technischer Maßnahmen bedarf es hier daher gar nicht. Auch sind die Eingriffe und Veränderungen aufgrund Ebd. Vgl. Fußnote 1436; Graf in: BeckOK, StPO, § 100a, Rn. 111. Ebd. Vgl. Fußnote 1436. Siehe Abschnitt 3. auf Seite 160. Vgl. etwa für die Überwindung von Verschlüsselung auf Netzzugangsebene Abschnitt aa) auf Seite 80 ff. und Abschnitt c) auf Seite 87 ff. 1441 Zuletzt etwa in Abschnitt (b) auf Seite 292 mit weiteren Verweisen.
1437 1438 1439 1440
296
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
der mangelnden eigenen hinreichenden Speicher- und Verarbeitungskapazität einer Netzwerkinfrastruktur nur von flüchtiger Natur. Damit dürfte die Pflicht zum automatisierten Rückgängigmachen von Veränderungen bei Beendigung der Maßnahme gem. § 100a V S. 1 Nr. 3 StPO ebenfalls meist per se erfüllt sein. Die Voraussetzung, nur solche Veränderungen vorzunehmen, die für die Datenerhebung unerlässlich sind (§ 100a V S. 1 Nr. 2 StPO), sowie der Schutz sowohl der eingesetzten technischen Mittel vor unbefugter Nutzung (§ 100a V S. 2 StPO) als auch der kopierten Daten (§ 100a V S. 3 StPO) lassen sich technisch bewerkstelligen und sind zu erfüllen. Gleiches gilt für die Protokollierungspflichten von § 100 VI StPO. (g)
Schlussfolgerung
Damit lässt sich abschließend konstatieren, dass sich solche Ermittlungsmaßnahmen, die sich als Eingriffe in den Datenverkehr einer lokalen Netzwerkinfrastruktur darstellen, anders als das Mitschneiden und Abhören des Datenverkehrs eines lokalen Funknetzwerks (Primärmaßnahme)1442 unter die spezielle Ausführungsmodalität von § 100a I S. 2 StPO subsumieren lassen. Es bedeutet aber auch: Wenn das konkrete Vorgehen beim Abhören eines lokalen Funknetzwerks über das passive Mitschneiden des Datenverkehrs und anschließende Versuche, die Verschlüsselung isoliert zu „knacken“, hinausgeht und stattdessen zusätzlich von Eingriffen in den Datenverkehr einer Netzwerkinfrastruktur begleitet wird, kann ein solches Vorgehen nicht mehr als Annexkompetenz auf § 100a I S. 1 StPO gestützt werden. Für ein derartiges Vorgehen ist zur Rechtfertigung immer der zusätzliche Rückgriff auf die Ermächtigungsgrundlage des § 100a I S. 2 StPO vonnöten. (3)
Anwendbarkeit von § 100a I S. 3 StPO?
§ 100a I S. 3 StPO scheidet hier, genau wie bei der Primärmaßnahme,1443 bereits deswegen als Ermächtigungsgrundlage aus, weil sich die Norm ausschließlich auf gespeicherte Daten als Überwachungsobjekt bezieht. Sämtliche im lokalen Funknetzwerk zirkulierenden Daten sind aber flüchtig. Speichermedien gehören entsprechend schon gar nicht zu den an der Übertragung beteiligten Netzwerkkomponenten. (4)
Anwendbarkeit von § 100b I StPO?
In Frage käme jedoch auch § 100b I StPO als Rechtsgrundlage für die Eingriffe staatlicher Behörden in den Datenverkehr einer Netzwerkinfrastruktur zur Überwin1442 Siehe Abschnitt f) auf Seite 244 ff. 1443 Siehe Abschnitt g) auf Seite 249.
II. Sekundärmaßnahmen
297
dung von Sicherheitsvorkehrungen. § 100b StPO in seiner derzeitig gültigen Form wurde ebenfalls mit Wirkung vom 24.08.2017 durch das Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens neu in die StPO eingefügt und soll grundsätzlich als Rechtsgrundlage für die sog. „Online-Durchsuchung“ fungieren.1444 § 100b StPO erweitert im Gegensatz zu § 100a I S. 2,3 StPO nicht den Anwendungsbereich einer bereits bestehenden Ermittlungsmaßnahme. Vielmehr handelt es sich um eine eigene Ermittlungsmaßnahme mit eigenen Anordnungsvoraussetzungen. Konkret enthält § 100b I StPO eine Legaldefinition der sog. „Online-Durchsuchung“, die den Behörden folgendes gestattet: „Auch ohne Wissen des Betroffenen darf mit technischen Mitteln in ein von dem Betroffenen genutztes informationstechnisches System eingegriffen und dürfen Daten daraus erhoben werden (Online-Durchsuchung)“.
Nach bisheriger mehrheitlicher Ansicht in der rechtswissenschaftlichen Literatur sollte der Term „Online-Durchsuchung“ einen einmaligen Zugriff bezeichnen.1445 Ein derartiges Verständnis der Maßnahme ließe eine Anwendung auf die vorliegende Unterkategorie der Sekundärmaßnahmen II bereits zweifelhaft erscheinen, weil diese in der Praxis regelmäßig mit mehrfachen Eingriffen in den Datenverkehr der Netzwerkinfrastruktur einhergehen.1446 Der Gesetzgeber ist der Ansicht der Literatur aber ausdrücklich entgegengetreten und erläutert in der Gesetzesbegründung, dass eine Online-Durchsuchung nicht nur einmalig und punktuell stattfinden, sondern sich über einen längeren Zeitraum erstrecken kann.1447 (a) „Eingreifen in ein informationstechnisches System“ Dieses Merkmal in § 100b I StPO stimmt mit dem identischen Merkmal in § 100a I S. 2 StPO überein. Es ist auch in beiden Normen vom gleichen Begriffsverständnis 1444 Vgl. BT-Drucks. 18/12785, S. 46 und S. 53, abrufbar unter: http://dipbt.bundestag.de/ dip21/btd/18/127/1812785.pdf (Stand: Dezember 2017). 1445 Auch seitens der Praxis, vgl. Hornick, StraFo, 2008, S. 281 ff. (S. 282). Für den länger anhaltenden Zugriff wird hingegen meist der Term Online-Überwachung verwendet, vgl. ausführlich zu den Begrifflichkeiten: Böckenförde, JZ, 2008, S. 925 ff. (S. 929 f.). Weitere Beispiele: Brunst, Anonymität im Internet – rechtliche und tatsächliche Rahmenbedingungen, S. 451; Schön, Ermittlungsmaßnahmen über das Internet, S. 113; Brodowski, JR, 2009, S. 402 ff. (S. 406) m.w.N. So auch Sieber in seiner Stellungnahme zu dem Fragenkatalog des BVerfG in dem Verfahren 1 BvR 370/07, S. 2, vgl. https://www.mpicc.de/shared/data/pdf/bverfg-sieber-1-endg.pdf (Stand: Dezember 2017). 1446 Als Beispiel mag etwa das hunderttausendfache Re-injizieren von WEP-Paketen dienen. Generell dazu ausführlich im informationstechnologischen Teil, vgl. etwa Abschnitt 2. auf Seite 78 ff. 1447 Vgl. BT-Drucks. 18/12785, S. 54, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/ 18/127/1812785.pdf (Stand: Dezember 2017).
298
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
auszugehen.1448 Es wurde bereits eingehend analysiert1449 und festgestellt, dass nur solche Maßnahmen erfasst sind, bei denen in ein IT-System eingedrungen wird, indem Daten des betreffenden IT-Systems verändert werden. Wie für diese Teilmaßnahme zudem soeben bei der Prüfung von § 100a I S. 2 StPO festgestellt, ist das Merkmal „in informationstechnische Systeme eingegriffen“ durch staatliche Maßnahmen dieser Unterkategorie auch erfüllt, weil bei allen (unkörperlichen) Zugriffen auf die Netzwerkinfrastruktur immer auch Daten des Systems verändert werden und es sich bei lokalen Netzwerken um IT-Systeme handelt.1450 (b)
„Erheben von Daten aus dem informationstechnischen System“
Bei dem zweiten zentralen Merkmal von § 100b I StPO fällt hingegen sofort auf, dass hier eine doppelt abweichende Formulierung im Vergleich zu § 100a StPO gewählt wurde. Zum einen ist logischerweise das Überwachungsobjekt ein anderes. Statt auf „Telekommunikation“ bezieht sich die Maßnahme allgemein auf „Daten“. Auffälliger ist aber, dass § 100b I StPO das „Erheben“ anstelle von „Überwachen und Aufzeichnen“ gestattet. So hätte der Gesetzgeber auch formulieren können, dass § 100b I StPO das „Überwachen und Aufzeichnen von Daten“ erlaubt. Die Ursache dürfte wiederum mit dem Überwachungsobjekt zusammenhängen und darin liegen, dass, wie bereits näher erläutert und nachfolgend auch in der Gesetzesbegründung ersichtlich, sich das „Überwachen“ nur auf zu diesem Zeitpunkt gerade noch nicht dauerhaft gespeicherte Daten bezieht.1451 Entsprechend war der Gesetzgeber bestrebt sicherzugehen, dass § 100b I StPO nicht diesen beiden Restriktionen des § 100a StPO unterliegt. So sieht der Gesetzgeber das Ziel der Maßnahme darin, die Nutzung (eines IT-Systems) insgesamt zu überwachen und gespeicherte Inhalte aufzuzeichnen.1452 Weiter präzisierend führt er im weiteren Verlauf der Gesetzesbegründung aus: „In Abgrenzung zur ebenfalls „heimlichen“ Telekommunikationsüberwachung können nicht nur neu hinzukommende Kommunikationsinhalte, sondern alle auf einem informationstechnischen System gespeicherten Inhalte sowie das gesamte Nutzungsverhalten einer Person überwacht werden„.1453
Das „Erheben von Daten“ ist also deutlich weiter zu verstehen und erfasst sowohl in inhaltlicher Hinsicht sämtliche Daten eines IT-Systems, also nicht nur Telekommunikationsdaten, als auch in zeitlicher Hinsicht sämtliche Daten eines Dazu bereits in Abschnitt h) auf Seite 250. Vgl. Abschnitt aa) auf Seite 245 ff. Siehe Abschnitt (b) auf Seite 292. Brodowski, ZiS, 2012, S. 474 ff. (S. 476), vgl. auch Abschnitt bb) auf Seite 238. Zur daraus resultierenden Widersprüchlichkeit von § 100a I S. 3 StPO siehe bereits in Fußnote 1191 auf Seite 249. 1452 Vgl. BT-Drucks. 18/12785, S. 54, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/ 18/127/1812785.pdf (Stand: Dezember 2017). 1453 Ebd. Vgl. Fußnote 1452.
1448 1449 1450 1451
II. Sekundärmaßnahmen
299
IT-Systems, also nicht nur neu hinzukommende Daten. „Erheben“ dürfte zudem im (Wort-)Sinne von „zusammentragen, sammeln“1454 zu verstehen sein und sämtliche Formen des technischen Erfassens derjenigen Daten einschließen, die das IT-Systems selbst erzeugt. Über ein „Erheben“ hinaus ginge jedoch die Verwendung des infiltrierten IT-Systems zur aktiven Erzeugung eigener Daten.1455 Eine derartige Fremdsteuerung des IT-Systems könnte nicht mehr von der Norm gedeckt werden.1456 (c)
Verhältnis von § 100b StPO zu § 100a StPO?
Die vorangegangenen Erläuterungen zur großen Reichweite von § 100b I StPO vor allem in Bezug auf das Überwachungsobjekt werfen neue Fragen auf. Insbesondere bei der Anwendung von § 100b I StPO und § 100a I S. 2 StPO könnte es zu Überschneidungen der Regelungsbereiche kommen. Im Verhältnis von § 100b I StPO zu § 100a I S. 1 StPO ergeben sich keine Probleme. Dort kann es nicht zu Überschneidungen kommen, da § 100a I S. 1 StPO nicht mit einem „Eingreifen in informationstechnische Systeme“ einhergeht, § 100b I StPO hingegen immer. Im Verhältnis von § 100b I StPO zu § 100a I S. 2 StPO, der ebenfalls ein „Eingreifen in informationstechnische Systeme“ vorsieht, liegt der Unterschied allerdings allein im Überwachungsobjekt: Hier flüchtige Telekommunikationsdaten, dort sämtliche Daten. Nun ließen sich aber die Überwachungsobjekte von § 100a I S. 2 StPO als Teilmenge der größeren Obermenge der Überwachungsobjekte von § 100b I StPO begreifen. Die Obermenge „Erheben sämtlicher Daten“ (flüchtige und gespeicherte Daten, sowie Daten mit und ohne Telekommunikationsbezug) enthielte auch die Teilmenge „Überwachen flüchtiger Telekommunikationsdaten“. Eine derartige Betrachtungsweise hätte zur Konsequenz, dass bei einer Maßnahme, bei der § 100a I S. 2 StPO einschlägig wäre, § 100b I StPO ebenfalls immer einschlägig wäre (wenn die übrigen Anordnungsvoraussetzungen wie etwa der Verdacht einer besonders schweren Straftat auch vorlägen). Dies könnte sich insbesondere auch durch die Heranziehung des Grundsatzes „a maiore ad minus“ ergeben. Auch an der hier im Fokus stehenden Maßnahme der Eingriffe in den Datenverkehr einer Netzwerkinfrastruktur ließe sich das aufzeigen. Sie tangieren nämlich gerade keine gespeicherten Daten, sondern lediglich im lokalen Funknetzwerk zirkulierende flüchtige Telekommunikationsdaten. Da § 100b I StPO insofern allumfassend sein könnte und sämtliche Daten einbezöge, wären auch flüchtige Daten (etwa solche des Arbeitsspeichers) genau wie (flüchtige) 1454 Vgl. http://www.duden.de/rechtschreibung/erheben (Stand: Dezember 2017). 1455 Etwa durch die heimliche Aktivierung von Mikrofon oder Kamera und die anschließende Aufzeichnung der Audio- bzw. Bilddaten. 1456 So auch Singelnstein/Derin, NJW, 2017, S. 2646 ff. (S. 2647).
300
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Telekommunikationsdaten (die Daten im lokalen Netzwerk) erfasst.1457 Gleiches könnte für die verfassungsrechtliche Ebene gelten: Lässt sich ein Eingriff in das GVIiS (über § 100b I StPO) rechtfertigen, so könnte darin „a maiore ad minus“ zugleich eine Rechtfertigung eines Eingriffs in Art. 10 I GG liegen, weil dieser deutlich geringere Hürden aufweist. Die Folge einer derartigen Sichtweise wären schwierige Konkurrenzfragen1458 und eine komplizierte Bewertung im jeweiligen Anwendungsfall. Auch wenn der Gesetzgeber diese Art von (strafprozessualer) Abgrenzungsproblematik nicht direkt anspricht,1459 so lassen seine Erläuterungen in der Gesetzesbegründung, insbesondere zur allgemeinen Regelungssystematik und zum Verfassungsrecht, jedoch eher auf ein Ausschließlichkeitsverhältnis schließen. So führt der Gesetzgeber bereits in den Vorbemerkungen zur Änderung der §§ 100a ff. StPO aus, dass „regelungssystematisch“ § 100a StPO überwiegend der Rechtfertigung von Eingriffen in Art. 10 I GG und § 100b StPO überwiegend der Rechtfertigung von Eingriffen in das GVIiS dient.1460 Wobei sich aus dem Kontext ergibt, dass die Verwendung der Formulierung „überwiegend“ auf das unter Umständen ebenfalls einschlägige Recht auf informationelle Selbstbestimmung verweisen soll. In den Anmerkungen zu § 100b StPO wird zudem ausdrücklich festgestellt, dass ein Vorgehen nach § 100b StPO für den Betroffenen einen Eingriff in das GVIiS, nicht aber in das Telekommunikationsgeheimnis darstellt.1461 Es spricht also mehr dafür, die Regelungsbereiche von § 100a I S. 2 StPO und § 100b I StPO strikt zu trennen und streng nach dem Überwachungsobjekt abzugrenzen. Betrifft eine Maßnahme als Überwachungsobjekt ausschließlich flüchtige Telekommunikationsdaten, so ist auch ausschließlich § 100a StPO heranzuziehen. Betrifft sie hingegen Daten eines IT-Systems ohne telekommunikativen Bezug und/oder dauerhaft gespeicherte Daten, ist allein § 100b StPO einschlägig. 1457 Auch wenn bei dieser Teilmaßnahme das eigentliche Erfassen eines inhaltlichen Austauschs des Betroffenen (noch) nicht im Fokus steht, so werden doch auch hier in der Regel bereits kleinere Dateneinheiten erhoben, etwa beim Abfangen spezieller Datenpakete. Daher wird auch dieses Merkmal allein durch die Teilmaßnahme bereits erfüllt. 1458 Muss etwa eine Norm als lex specialis angesehen werden, welche die andere Norm verdrängt? Oder haben die Strafverfolgungsbehörden ein Wahlrecht auf welche Norm sie ihr Vorgehen stützen wollen? 1459 Die Anmerkungen etwa zur Subsidiarität von § 100b I StPO beziehen sich auf eine andere Ermittlungsmaßnahme, nicht auf die gleiche Ermittlungsmaßnahme, für die aber zwei Normen in Frage kämen. 1460 Vgl. BT-Drucks. 18/12785, S. 48, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/ 18/127/1812785.pdf (Stand: Dezember 2017). 1461 Ebd. Vgl. Fußnote 1460, S. 54.
II. Sekundärmaßnahmen
(d)
301
Schlussfolgerung
Da die Maßnahmen dieser Unterkategorie (Eingriffe in den Datenverkehr einer Netzwerkinfrastruktur) keine gespeicherten sonstigen Daten, sondern lediglich im lokalen Funknetzwerk zirkulierende flüchtige Telekommunikationsdaten tangieren, kann ein entsprechendes Vorgehen demnach allein auf § 100a I S. 2 StPO gestützt werden. § 100b I StPO kommt daneben nicht zur Anwendung. e)
Maßnahmen mit Auswirkungen auf IT-Endgeräte (aber ohne Infiltration) zur Überwindung von Sicherheitsvorkehrungen
In der letzten Unterkategorie der Sekundärmaßnahmen II hat das Vorgehen Auswirkungen nicht nur auf die Netzwerkinfrastruktur, vielmehr werden Daten direkt auf dem IT-Endgerät des Betroffenen verändert. Es geht also in der Regel um Daten, die nicht Teil eines laufenden Telekommunikationsvorganges sind, weil sie noch nicht versendet (bzw. bereits angekommen und gespeichert) sind oder gar nicht mit konkreten Telekommunikationsvorgängen in Zusammenhang stehen (wie etwa die Systemzeit eines Endgerätes). Eine vollständige Infiltration durch das Aufspielen von Schadsoftware auf das Endgerät des Betroffenen, wie es etwa bei der klassischen Online-Durchsuchung der Fall ist, erfolgt jedoch nicht. Insofern weist die Maßnahme ein deutlich geringeres Gefahrenpotential auf und ist entsprechend weniger eingriffsintensiv. aa)
Verfassungsrechtliche Vorgaben
Zunächst muss auch für die Maßnahmen mit Auswirkungen auf IT-Endgeräte, welche ebenfalls ein bloßes Mittel zur Ermöglichung der Primärmaßnahme darstellen, vorab geklärt werden, welche Art von selbständigem Grundrechtseingriff sie bedeuten könnten. Grundsätzlich läuft die Diskussion parallel zur vorherigen Unterkategorie auf die Frage nach der Schutzbereichseröffnung und Abgrenzung von GVIiS und Fernmeldegeheimnis hinaus. Allerdings mit dem Unterschied, dass nun Daten auf einem Endgerät verändert werden, und daher gerade nicht wie bei einem Eingriff in den Datenverkehr der Netzwerkinfrastruktur der vorherigen Unterkategorie per se nur Daten betroffen sind, die Teil einer „laufenden Telekommunikation“ sind. Daher kann auch die Argumentationslinie der vorherigen Unterkategorie hier nicht aufrechterhalten werden.1462 Begutachtet man die betroffenen Daten, fällt auch sofort ins Auge, dass etwa die Systemzeit eines IT-Endgerätes eine andere Art von Datum ist als die Disassociation-Frames oder HTTP-Redirects zuvor. Vor allem fehlt, wie bei den meisten Eingriffen in Endgeräte und genau wie etwa bei der Installation von Überwachungssoftware, jeglicher Zusammenhang zu einem konkreten telekommunikativen Datenaustausch. 1462 Dazu in Abschnitt aa) auf Seite 285 ff.
302
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
(1)
Aussagen des BVerfG
(a)
Urteil zum „IMSI-Catcher“
Betrachtet man die zuvor getroffenen Aussagen zu einer reinen Maschine-zuMaschine-Kommunikation,1463 ist erkennbar, dass laut der zumindest in diesem Bereich noch aktuellen bundesverfassungsgerichtlichen Rechtsprechung zum „IMSI-Catcher“ solche Daten, die „keine individuellen und kommunikativen Züge“ tragen und nicht „anlässlich eines Kommunikationsvorganges“ anfallen, eigentlich nicht in den Schutzbereich des Telekommunikationsgeheimnisses fallen können. Denn die „bloße technische Eignung eines Geräts, als Kommunikationsmittel zu dienen, [...] stellt noch keine Kommunikation dar. [...] Erst die tatsächliche Nutzung zum Austausch von Informationen und Meinungen qualifiziert die [...] Daten als Kommunikationsinhalte und –umstände, die den Schutz des Art. 10 Abs. 1 GG genießen“.1464 Folgt man diesen eigentlich sehr eindeutigen Aussagen, kann Art. 10 I GG eigentlich nicht vor Veränderung von Daten schützen, die ganz allgemein der Nutzung des IT-Endgerätes dienen,1465 wie etwa die Systemzeit, aber auch ganz generell Dateien des Betriebssystems oder auch des Browsers, wenn dieser nicht gerade etwa für das Surfen im Internet verwendet wird. Damit käme allein das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme zum Tragen.1466 (b)
Urteil zum NWVerfSchG
Dem widersprechen allerdings, zumindest nach einer durchaus verbreiteten Interpretation insbesondere der Rechtspraxis,1467 die Feststellungen des ersten Senats des BVerfG im Urteil zum NWVerfSchG von 2008 im Rahmen der Abgrenzung von Art. 10 I GG zum GVIiS, deren drei zentrale Absätze hier nochmals angeführt werden sollen:1468 „Wird ein komplexes informationstechnisches System zum Zweck der Telekommunikationsüberwachung technisch infiltriert („Quellen-Telekommunikationsüberwachung“), so ist mit der Infiltration die entscheidende Hürde genommen, um das System insgesamt auszuspähen. Die dadurch bedingte Gefährdung geht weit über die hinaus, die mit einer bloßen Überwachung der laufenden Telekommunikation verbunden ist“.1469 Siehe Abschnitt c) auf Seite 263. BVerfG, Beschluss vom 22.08.2006, 2 BvR 1345/03, juris, Abs. 57. Wie es etwa bei der heimlich Installation von Spionage-Software der Fall wäre. Detaillierte Ausführungen zum Inhalt des Schutzbereichs des GVIiS finden sich bereits oben in Abschnitt cc) auf Seite 164 f. 1467 Siehe Fußnote 1473 auf der nächsten Seite. 1468 Tiefgreifendere Hinweise zur Abgrenzungsproblematik finden sich leider auch nicht in BVerfG NJW 2016, 1781, Rn. 234 und BVerfG 2 BvR 1454/13, juris, Rn. 41. 1469 BVerfGE 120, 274, Rn. 188.
1463 1464 1465 1466
II. Sekundärmaßnahmen
303
„Nach Auskunft der in der mündlichen Verhandlung angehörten sachkundigen Auskunftspersonen kann es im Übrigen dazu kommen, dass im Anschluss an die Infiltration Daten ohne Bezug zur laufenden Telekommunikation erhoben werden, auch wenn dies nicht beabsichtigt ist. In der Folge besteht für den Betroffenen – anders als in der Regel bei der herkömmlichen netzbasierten Telekommunikationsüberwachung – stets das Risiko, dass über die Inhalte und Umstände der Telekommunikation hinaus weitere persönlichkeitsrelevante Informationen erhoben werden. Den dadurch bewirkten spezifischen Gefährdungen der Persönlichkeit kann durch Art. 10 Abs. 1 GG nicht oder nicht hinreichend begegnet werden“.1470 „Art. 10 Abs. 1 GG ist hingegen der alleinige grundrechtliche Maßstab für die Beurteilung einer Ermächtigung zu einer „Quellen-Telekommunikationsüberwachung“, wenn sich die Überwachung ausschließlich auf Daten aus einem laufenden Telekommunikationsvorgang beschränkt“.1471
Von zentraler Bedeutung ist vor allem, wie der allerletzte Teilsatz zu verstehen ist. Umfasst die Beschränkung der Überwachung auf laufende Telekommunikation zusätzlich eine (vollständige) Infiltration des IT-Systems durch eine Begleitmaßnahme von der Art, dass durch diese Begleitmaßnahme auch Daten manipuliert werden können, denen jeglicher Bezug zu laufenden Telekommunikationsvorgängen fehlt, solange nur die letztlich (irgendwann nachfolgend) überwachten Daten solche einer laufenden Telekommunikation sind? Damit würde eine noch deutlichere Ausweitung des Schutzbereiches von Art. 10 I GG in das Vorfeld der tatsächlichen inhaltlichen Wahrnehmung einhergehen.1472 Oder müssen jegliche von dem Überwachungsvorgang insgesamt betroffenen Daten den Bezug zu einer laufenden Telekommunikation aufweisen? Die Praxis konzentriert sich bei der Interpretation vornehmlich isoliert auf den letzten Absatz, ohne auf die grundlegende Argumentation des Gerichts einzugehen. Das Urteil wird daher weitgehend im Sinne der ersten Variante verstanden, also dass sich auch eine Quellen-Telekommunikation, die mit der Infiltration des IT-Endgerätes und damit der Veränderung von kommunikationsfernen Daten einhergeht, trotz der in den vorherigen Absätzen beschriebenen Gefahren allein am Fernmeldegeheimnis messen lassen muss.1473 Dieser Befund scheint allerdings sowohl aus Perspektive des erwähnten „IMSI-Catcher“-Urteils als auch in Bezug auf die in den beiden vorangegangen Absätzen getroffenen ausdrücklichen 1470 BVerfGE 120, 274, Rn. 189. 1471 BVerfGE 120, 274, Rn. 190. 1472 Dazu, dass bei direktem Zusammenhang einer Maßnahme zur damit ermöglichten nachfolgenden Speicherung und Wahrnehmung der Daten und bei direktem Bezug zu konkreten Telekommunikationsvorgängen bereits zeitlich leicht vorgelagerte Maßnahmen einen selbständigen Eingriff in Art. 10 I GG bedeuten können, bereits in Abschnitt (1) auf Seite 285 f. 1473 Beispielhaft, mit weiteren Nachweisen: Bär in: v. Heintschel-Heinegg/Bockemühl (Hrsg.), KMR, StPO, § 100a, Rn. 31; Graf in: BeckOK, StPO, § 100a, Rn. 117; Sankol, CR, 2008, S. 13 ff. (S. 17).
304
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Aussagen zu der spezifischen Gefährdung erstaunlich, dogmatisch durchaus nicht schlüssig nachvollziehbar und scheint letztlich wohl eher von dem Wunsch nach dem konkreten Ergebnis beseelt. In den ersten beiden Absätzen macht das Gericht die Gefahren mehr als deutlich, die von einer Infiltration des Endgerätes1474 – also der Veränderung von Daten auf dem Endgerät ohne Bezug zu konkreten Kommunikationsvorgängen – ausgehen. Dabei wird ein deutlicher Gegensatz zwischen einer herkömmlichen netzbasierten Telekommunikationsüberwachung, die auf der Übertragungsstrecke ansetzt, und der Überwachung im Wege der Infiltration eines Endgerätes (= komplexes ITSystem) aufgebaut. Es stellt ausdrücklich fest, dass die spezifische Gefährdung der Persönlichkeit, die von einer Infiltration ausgeht, „stets“ besteht und ihr nicht hinreichend durch Art. 10 I GG begegnet werden kann. Der dritte Absatz steht nun keineswegs im Widerspruch zu den beiden vorherigen Absätzen, wie die weit verbreitete Interpretation aber annehmen muss. Vielmehr greift er nur eine kurz zuvor getroffene Aussage auf, nämlich: „Der Schutzbereich dieses Grundrechts [Art. 10 I GG] ist dabei unabhängig davon betroffen, ob die Maßnahme technisch auf der Übertragungsstrecke oder am Endgerät der Telekommunikation ansetzt“.1475 Der dritte Absatz gibt damit aus Sicht des BVerfG lediglich die zuvor getroffenen Aussagen abschließend und zusammenfassend nochmals wieder, dass sich das Gefahrenpotential für die Persönlichkeit, welches durch die Infiltration entsteht, nicht entfalten kann, wenn eine Maßnahme ausschließlich Daten eines laufenden Telekommunikationsvorganges betrifft, unabhängig vom konkreten Ansatzpunkt der Maßnahme. Folgerichtig gehen etwa Buermeyer/Bäcker1476 davon aus, dass die Quellen-Telekommunikationsüberwachung nur dann ausschließlich an Art. 10 I GG zu messen ist, wenn die Integrität des betroffenen IT-Systems gerade nicht zusätzlich betroffen ist (in dem Sinne, dass auch Daten ohne laufenden Telekommunikationsbezug verändert werden). Sie stellen fest, dass Art. 10 I GG nur dann allein einschlägig ist, wenn eine Maßnahme „ausschließlich auf Daten eines laufenden Telekommunikationsvorganges beschränkt“ ist, nicht aber, wenn andere, kommunikationsferne 1474 Wovon das Gericht implizit ausgeht, wie an der Bezugnahme zur QuellenTelekommunikationsüberwachung deutlich wird. 1475 BVerfGE 120, 274, Rn. 184. 1476 Buermeyer/Bäcker, HRRS, 2009, S. 433ff. (S. 439). Ebenso (ohne Anspruch auf Vollständigkeit): Generalbundesanwalt, Vermerk beim BGH vom 29.10.2010, vgl. StV 2013, S. 477 f.; Hoffmann-Riem, JZ, 2008, S. 1009 ff. (S. 1021 f.); Gersdorf in: BeckOK, Informations- und Medienrecht, Art. 2 GG, Rn. 28 mit weiteren Nachweisen; Albrecht/Dienst, JurPC Web-Dok. 5/2012, Abs. 1 ff. (Abs. 50); Braun/Roggenkamp, K & R, 2011, S. 681 ff. (S. 683); Bode, Verdeckte strafprozessuale Ermittlungsmaßnahmen, S. 368 f.
II. Sekundärmaßnahmen
305
Daten betroffen sind, weil etwa das IT-System zusätzlich infiltriert wird (etwa durch eine notwendige Sekundärmaßnahme).1477 Oder wie Hoffman-Riem es formuliert: „Die Voraussetzungen dafür, dass eine Maßnahme nur den Schutzbereich des Art. 10 GG betrifft und deshalb nur diese Norm Prüfungsmaßstab ist, sind jedenfalls dann nicht erfüllt, wenn die Telekommunikationsüberwachung auf eine Infiltration in das informationstechnische System angewiesen ist“.1478
Das durch diese Ansicht geäußerte Verständnis erscheint dann nahezu zwingend, wenn man die zuvor zitierten Aussagen des BVerfG zum „IMSI-Catcher“ mit einbezieht. Freilich hat das die Konsequenz, dass eine klassische (mit der Installation von Überwachungssoftware einhergehende) Quellen-Telekommunikationsüberwachung damit nach dem derzeitigen Stand der Technik praktisch überhaupt nicht (im Bereich von Art. 10 I GG) durchgeführt werden könnte, weil derzeit die Installation von Software immer auch die Integrität des IT-Systems beeinträchtigen würde.1479 Das bedeutet aber nicht, dass überhaupt kein Anwendungsbereich für eine Quellen-Telekommunikationsüberwachung bliebe. Gestattet wäre ein Vorgehen, das sich ausschließlich auf Daten mit Bezug zu einer laufenden Telekommunikation beschränkt – wie es etwa bei den „Eingriffen in den Datenverkehr der Netzwerkinfrastruktur“ der vorhergehenden Unterkategorie der Fall ist.1480 Die Gegenansicht, die sich freilich vielfach diese Mühe gar nicht macht, da sie nur den letzten zitierten Absatz des Urteils losgelöst betrachtet, müsste argumentieren, dass das BVerfG mit besagtem letzten Absatz entgegen dem Wortlaut („wenn sich die Überwachung[smaßnahme] ausschließlich auf Daten aus einem laufenden Telekommunikationsvorgang beschränkt“) auch das Installieren von Überwachungssoftware, also das Betroffensein auch von kommunikationsvorgangsfernen Daten gemeint hat und dafür auf die Definition von „QuellenTelekommunikationsüberwachung“ zurückgreift.1481 Betrachtet man jedoch alle drei Absätze zusammen, erscheint das gerade angesichts des eindeutigen Wortlauts aber wenig naheliegend. (c) Urteil zu den neuen Befugnissen im BKAG In seiner Entscheidung zu neuen Ermittlungsbefugnissen des Bundeskriminalamtes im Rahmen der Abwehr von Gefahren des internationalen Terrorismus vom 20.04.2016 hat wiederum der erste Senat des BVerfG bei der Prüfung des (teilweise 1477 So auch Gersdorf in: BeckOK, Informations- und Medienrecht, Art. 2 GG, Rn. 28; m.w.N.: Braun/Roggenkamp, K & R, 2011, S. 681 ff. (S. 684). 1478 Hoffmann-Riem, JZ, 2008, S. 1009 ff. (S. 1022). 1479 Zu diesem Ergebnis kommt ausdrücklich auch Hauser, Das IT-Grundrecht, S. 216 ff. nach ausführlicher, dogmatischer Herleitung, vgl. Hauser, Das IT-Grundrecht, S. 130 ff. 1480 Siehe Abschnitt (2) auf Seite 287. 1481 So etwa Bratke, Die Quellen-Telekommunikationsüberwachung im Strafverfahren, S. 242 f.
306
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
verfassungswidrigen) § 20l BKAG diesen Problemkreis erneut tangiert und in geringem Umfang dazu Stellung genommen.1482 § 20l BKAG regelt die präventive Überwachung der Telekommunikation und gestattet in Absatz 2 den Eingriff in IT-Systeme, wenn ausschließlich laufende Telekommunikation überwacht und aufgezeichnet wird. Vorab sei bereits angemerkt, dass auch aus diesem Urteil letztlich nicht klar hervorgeht, ob eine (vollständige) Infiltration des IT-Systems in dem Sinne, dass auch Daten manipuliert werden können, denen jeglicher Bezug zu laufenden Telekommunikationsvorgängen fehlt, zu einer Beschränkung auf Art. 10 I GG führt, solange nur die letztlich überwachten Daten solche einer laufenden Telekommunikation sind. Oder dafür, wie das Urteil zum NWVerfSchG nahe legt, nur solche Daten verändert werden dürfen, die selbst gerade auch diesen Bezug aufweisen. Zwar stellt das BVerfG zunächst mit folgender Formulierung fest, dass auch § 20l II BKAG, der die (präventive) Quellen-Telekommunikationsüberwachung erlaubt, nur an Art. 10 I GG zu messen ist: „§ 20l BKAG regelt die Telekommunikationsüberwachung und begründet damit Eingriffe in Art. 10 Abs. 1 GG. An Art. 10 Abs. 1 GG ist dabei nicht nur § 20l Abs. 1 BKAG zu messen, der die herkömmliche Telekommunikationsüberwachung regelt, sondern auch § 20l Abs. 2 BKAG, der die Quellen-Telekommunikationsüberwachung erlaubt, sofern durch technische Maßnahmen sichergestellt ist, dass ausschließlich laufende Telekommunikation erfasst wird. Zwar setzt diese technisch einen Zugriff auf das entsprechende informationstechnische System voraus. Jedoch erlaubt § 20l Abs. 2 BKAG ausschließlich Überwachungen, die sich auf den laufenden Telekommunikationsvorgang beschränken“.1483
Auf den ersten Blick scheint diese Aussage eher die Ansicht der Rechtspraxis zu stützen, da hier erstmalig das BVerfG die Begleitmaßnahme (den technischen Zugriff auf das IT-System) mit betrachtet, um daraufhin jedoch mit seiner üblichen Formulierung einzuschränken. Insbesondere betont es im Folgenden ausdrücklich, auf den Vortrag der Beschwerdeführer eingehend, dass es durchaus denkbar sei, dass die Vorschrift bis auf Weiteres leer läuft, weil zum gegenwärtigen Zeitpunkt die Anforderungen (die technische Begrenzung auf laufende Telekommunikation) nicht erfüllbar seien.1484 Was wiederum eher für das im Urteil zum NWVerfSchG geäußerte Verständnis spricht. Dann wäre nur ein entsprechend verfassungskonform ausgelegter § 20l II BKAG mit dem Grundgesetz vereinbar. Ein entsprechend verfassungskonform ausgelegter § 20l II BKAG wäre zwar in seinem Anwendungsbereich deutlich eingeschränkt, würde aber nicht gänzlich leer laufen. Ein mögliches Beispiel für den verbliebenen Anwendungsbereich 1482 BVerfG NJW 2016, 1781, Rn. 227 ff. 1483 BVerfG NJW 2016, 1781, Rn. 228. 1484 BVerfG NJW 2016, 1781, Rn. 228.
II. Sekundärmaßnahmen
307
wären etwa die „Eingriffe in den Datenverkehr einer Netzwerkinfrastruktur“ der vorherigen Unterkategorie.1485 Zudem stellt der Senat unmissverständlich fest, dass die Eingriffe des § 20l BKAG, obwohl sie schwer wiegen, nur zur Abwehr des internationalen Terrorismus gerechtfertigt sind.1486 Denn „Straftaten mit dem Gepräge des Terrorismus in diesem Sinne zielen auf eine Destabilisierung des Gemeinwesens und umfassen hierbei in rücksichtsloser Instrumentalisierung anderer Menschen Angriffe auf Leib und Leben beliebiger Dritter. Sie richten sich gegen die Grundpfeiler der verfassungsrechtlichen Ordnung und das Gemeinwesen als Ganzes. Die Bereitstellung von wirksamen Aufklärungsmitteln zu ihrer Abwehr ist ein legitimes Ziel und für die demokratische und freiheitliche Ordnung von großem Gewicht“.1487 Daher stellt sich außerdem die Frage, ob und inwieweit sich die im präventiven Kontext getroffenen Aussagen des BVerfG überhaupt auf die repressive Zwecke verfolgenden strafprozessualen Regelungen übertragen lassen.1488 Denn dem mit § 100a StPO verfolgten Ziel (Allgemeininteresse der Strafverfolgung) dürfte nicht gänzlich das gleiche Gewicht beizumessen sein wie der Abwehr der besonderen Gefahr des internationalen Terrorismus, der schließlich auf „die Grundpfeiler der verfassungsrechtlichen Ordnung und das Gemeinwesen als Ganzes“ abzielt.1489 Die eine Infiltration im Rahmen von Art. 10 I GG gestattende Ansicht begegnet darüber hinaus nicht nur den genannten dogmatischen, sondern auch ganz zentralen Bedenken sowohl bzgl. der damit einhergehenden Unschärfe der Abgrenzung zum GVIiS als auch bzgl. der grundlegenden Reichweite von Art. 10 I GG. Sie würde nämlich bedeuten, dass sämtliche Veränderungen von Daten auf IT-Systemen, seien sie noch so schwerwiegender Natur und gingen z.B. noch weit über das Installieren von Spionagesoftware hinaus, so dass sie etwa seine Funktionsweise (heimlich) vollständig veränderten, lediglich an den niedrigeren Hürden des Telekommunikationsgeheimnisses zu messen wären, solange sie nur die Absicht verfolgen, laufende Telekommunikation zu überwachen und auch nur solche Daten letztlich aufgezeichnet werden. Das würde den Anwendungsbereich des Fernmeldegeheimnisses erheblich in den Bereich des Systemschutzes ausweiten, den Anwendungsbereich des GVIiS hingegen faktisch beträchtlich schmälern und damit die Frage aufwerfen, warum das BVerfG sich dann die Mühe gemacht haben sollte, ein völlig neues Grundrecht abzuleiten. Zudem besteht die Gefahr, den Schutzbereich von Art. 10 I GG auch in anderer Hinsicht immer weiter auf Kosten des GVIiS auszudehnen, wenn die Abgrenzung nicht trennscharf erfolgt. Dass diese Sorge nicht nur theoretischer Natur ist, zeigt bereits deutlich der mit 1485 Freilich für den repressiven Bereich, jedoch in Bezug auf eine Norm mit gleichem Wortlaut, vgl. Abschnitt (2) auf Seite 291. 1486 BVerfG NJW 2016, 1781, Rn. 229. 1487 BVerfG NJW 2016, 1781, Rn. 96. 1488 Das gilt freilich auch für die Aussagen aus dem Urteil zum NWVerfSchG. 1489 Vgl. auch Braun/Roggenkamp, K & R, 2011, S. 681 ff. (S. 685).
308
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Wirkung vom 24.08.2017 neu eingefügte § 100a I S. 3 StPO. Die darin verankerte Eingriffsermächtigung stellt bereits den ersten Versuch des Gesetzgebers dar, den Schutzbereich des Telekommunikationsgeheimnisses noch weiter auszudehnen, um die hohen Hürden des GVIiS zu umgehen.1490 Es sei noch ausdrücklich darauf hingewiesen, dass der noch aktuellere bundesverfassungsgerichtliche Nichtannahmebeschluss der dritten Kammer des zweiten Senats vom 06.07.2016,1491 der feststellt, dass die Überwachung der gesamten Internetnutzung unter Art. 10 I GG fällt, nicht zur Untermauerung der Art. 10 I GG bejahenden Ansicht herangezogen werden kann, da es im konkreten Fall um die Ausleitung des Internetverkehrs als Rohdatenstrom durch den Provider ging. (d)
Schlussfolgerung
Betrachtet man in einer Gesamtschau die relevanten Entscheide des BVerfG, muss letztlich die Aussage im Urteil zum NWVerfSchG betont und gesondert hervorgehoben werden, dass Art. 10 I GG den Gefahren durch eine Infiltration nicht begegnen kann. Das verdient Zustimmung, insbesondere auch angesichts der Intensität eines solchen Eingriffs durch eine Infiltration, die mit Veränderung von Daten eines IT-Systems einhergeht und bei der jeglicher Zusammenhang zwischen den veränderten Daten und konkreten Telekommunikationsvorgängen fehlt. Nur so lässt sich zudem eine noch deutlichere, konturenlose Ausweitung des Schutzbereiches von Art. 10 I GG weit in das Vorfeld einer tatsächlichen inhaltlichen Wahrnehmung von Telekommunikationsdaten verhindern. Art. 10 I GG vermag demnach, sobald Daten tangiert werden, die keinen Bezug zu konkreten laufenden Telekommunikationsvorgängen eines IT-Systems (eines IT-Endgerätes) aufweisen, wie es etwa bei der Installation jedweder Software der Fall ist, das GVIiS nicht zu verdrängen, auch wenn das Ziel solcher Eingriffe ausschließlich die Überwachung laufender Telekommunikationsvorgänge ist. Eingriffe dieser Art sind daher am Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme zu messen. (2)
Übertragung auf die WLAN-Überwachungsmaßnahme mit Auswirkungen auf IT-Endgeräte (aber ohne Infiltration)
(a)
Ausschließlich punktuelle Veränderung am IT-System
Alle vom BVerfG getroffenen Aussagen betreffen die vollständige Infiltration von IT-Endgeräten, etwa durch die Installation von Überwachungssoftware. Die in dieser Unterkategorie untersuchten WLAN-Überwachungsmaßnahmen sind nun von deutlich geringerer Eingriffstiefe, da eine vollständige Infiltration durch Überwachungssoftware unterbleibt. Das Vorgehen verursacht, aufgrund der Natur der 1490 Dazu bereits am Ende von Abschnitt (a) auf Seite 190. 1491 BVerfG 2 BvR 1454/13, juris, Rn. 41.
II. Sekundärmaßnahmen
309
Maßnahme, nur punktuelle Veränderungen am IT-System, wie z.B die Änderung der Systemzeit oder bei dem Ausnutzen einer Java-Schwachstelle zum Versenden von HTTPs-Requests im Hintergrund. Die Schutzbereichsbestimmung des GVIiS durch das BVerfG erfolgte im Bezug auf „IT-Systeme“ nach quantitativen Gesichtspunkten.1492 Systeme, die nur einen punktuellen Bezug zu einem bestimmten Lebensbereich des Betroffenen aufweisen, sind nicht erfasst,1493 sondern nur solche, die einen „äußerst großen und aussagekräftigen Datenbestand“1494 aufweisen. Eine derartige Einschränkung nach Quantität fehlt jedoch in der Schutzbereichsbestimmung des BVerfG im Hinblick auf den zweiten Schlüsselbegriff, die „Integrität“, so dass ein Herausfallen aus dem Schutzbereich aufgrund der Eingriffstiefe, etwa allein aufgrund eines lediglich punktuellen Eingriffscharakters, ausscheidet. Allerdings könnte das Gericht, das bei der sehr kurz gehaltenen Bestimmung des Begriffs auf Ebene des Eingriffs ansetzt, eine Einschränkung im Hinblick auf die Qualität des Eingriffs statuiert haben. Denn es formuliert, dass die Integrität eines geschützten IT-Systems nur dann angetastet wird, wenn „auf das System so zugegriffen wird, dass dessen Leistungen, Funktionen und Speicherinhalte durch Dritte genutzt werden können“.1495 Man könnte annehmen, dass solche punktuellen, weniger eingriffsintensiven Maßnahmen, wie sie hier im Fokus stehen, nicht ausreichen, um Leistungen, Funktionen und Speicherinhalte des fremden IT-Systems nutzen zu können. Jedoch ist der Integritätsbegriff mit Hilfe der Erwartung des Betroffenen normativ im Sinne eines Integritätsinteresses zu bestimmen.1496 Eine Verletzung der Integrität liegt bereits dann vor, wenn die Behörden auf eine Weise das System beeinflussen, die eigentlich dem Nutzer vorbehalten ist, und ihm damit einen fremden Wille aufzwingen.1497 Integrität bedeutet daher in diesem Kontext das „Funktionieren des IT-Systems im Interesse des Grundrechtsträgers“.1498 Damit ist kaum ein heimlicher Zugriff auf geschützte IT-Systeme denkbar, vor dem das GVIiS nicht Schutz gewährt.1499 Die Formulierung des BVerfG macht des Weiteren deutlich, dass der Schutz des GVIiS vorverlagert ist. Der Schutzbereich ist nicht erst eröffnet, wenn es Dazu bereits in Abschnitt cc) auf Seite 164 f. BVerfG NJW 2008, 822, Abs. 203. BVerfG NJW 2008, 822, Abs. 200. BVerfG NJW 2008, 822, Abs. 204. So explizit das BVerfG. Es merkt an, dass der Betroffene nicht „darauf vertrauen“ kann, dass er von Maßnahmen der Internetaufklärung nicht berührt wird, wenn er sein System für derartige Zugriffe technisch öffnet, vgl. BVerfG NJW 2008, 822, Abs. 306. Ausführlich auch Hauser, Das IT-Grundrecht, S. 116 ff. 1497 Hauser, Das IT-Grundrecht, S. 118. 1498 Hauser, Das IT-Grundrecht, S. 119. Nahezu wortgleich: Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, S. 149. 1499 Hornung, CR, 2008, S. 299 ff. (S. 303).
1492 1493 1494 1495 1496
310
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
tatsächlich zu einer Datenerhebung kommt, sondern bereits dann, wenn durch eine Maßnahme der spätere Zugriff auf persönlichkeitsgefährdende Daten in die Wege geleitet werden soll.1500 Genau wie es vorliegend bei der hier einschlägigen Sekundärmaßnahme im Zusammenhang mit der WLAN-Überwachung der Fall ist. Damit dürfte im Ergebnis jedweder Zugriff durch Dritte, sei er auch noch so punktueller Natur, die Integrität eines geschützten IT-Systems verletzen. Eine Einschränkung im Hinblick auf die Qualität des Eingriffs wurde also gerade nicht etabliert. Zumal der grundrechtliche Schutz der Vertraulichkeits- und Integritätserwartung ausdrücklich auch unabhängig davon besteht, „ob der Zugriff auf das informationstechnische System leicht oder nur mit erheblichem Aufwand möglich ist“.1501 (b)
Ausschließliche Betroffenheit von Daten mit Bezug zu einer laufenden Telekommunikation
Analysiert man die technischen Vorgänge jedoch nochmals in Tiefe, zeigt sich, dass es unter Umständen in einigen Fällen im Bereich der WLAN-Überwachung zumindest denkbar wäre, dass durch einen Eingriff ausschließlich Daten betroffen sind, die einen Bezug zu konkreten laufenden Telekommunikationsvorgängen des Endgerätes aufweisen, so dass es zu einer Verdrängung des einschlägigen GVIiS durch Art. 10 I GG käme. Man betrachte beispielsweise die konkrete Umsetzung eines POODLE-Angriffs auf das HTTPs-Sicherheitsverfahren.1502 Dabei wird, wie bereits in den technologischen Einzelheiten erwähnt, über eine Java-Schwachstelle der Browser auf dem Endgerät des Betroffenen dazu veranlasst, im Hintergrund vielfach spezielle, manipulierte Datenpakete (HTTPs-Requests mit einem in den Padding-Bereich kopierten Session-Cookie) an einen Server zu senden. Von einem derartigen Angriff dürften also ausschließlich Daten des Internetbrowser betroffen sein, während der Betroffene ihn benutzt, sowie die für den Datenaustausch speziell aufgebaute HTTPs-Verbindung.1503 Allerdings sind nur wenige praktische Fälle denkbar, die diese Voraussetzungen erfüllen. (3)
Schlussfolgerung
Abschließend kann festgehalten werden, dass auf verfassungsrechtlicher Ebene im Ergebnis die Behandlung von Eingriffen in den Datenverkehr einer Netzwerkinfrastruktur und von Maßnahmen mit Auswirkungen auf das Endgerät einen Unterschied erfährt. Maßnahmen mit Auswirkungen auf IT-Systeme, die nicht 1500 Hauser, Das IT-Grundrecht, S. 118; Gersdorf in: BeckOK, Informations- und Medienrecht, Art. 2 GG, Rn. 28; Böckenförde, JZ, 2008, S. 925 ff. (S. 928). 1501 BVerfG NJW 2008, 822, Abs. 206. 1502 Ausführlich im informationstechnologischen Teil in Abschnitt (2) auf Seite 136 ff. 1503 Gleiches könnte für die Umleitung auf eine ungeschützte HTTP-Seite beim SSL/TLSSession-Cookie-Hijacking gelten, vgl. Abschnitt dd) auf Seite 129 f.
II. Sekundärmaßnahmen
311
ausschließlich der laufenden Kommunikation dienen (wie die Netzwerkinfrastruktur), sondern nur geeignet sind, auch als Kommunikationsmittel zu dienen (wie Smartphones oder Computer), müssen am Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme gemessen werden, es sei denn, es sind tatsächlich nur Daten ausschließlich mit Bezug zu einer laufenden Telekommunikation betroffen. Das ist in der Praxis stark von der im jeweiligen Einzelfall vorgefundenen Ausgangskonfiguration abhängig, aber kaum der Regelfall.1504 bb)
Strafprozessuale Zulässigkeit
Maßnahmen mit Auswirkungen auf IT-Endgeräte, die gerade nicht ausschließlich der laufenden Kommunikation dienen, stellen, wie soeben festgestellt, immer Eingriffe in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme dar. Aufgrund der hohen Intensität eines solchen Eingriffs sind entsprechend hohe Anforderungen an die Rechtfertigungsgrundlage zu stellen. Entsprechend gering ist auch der Kreis der potentiell einschlägigen Ermächtigungsgrundlagen. Zudem entfalten die in den vorangegangen Ausführungen ausführlich erläuterten verfassungsrechtlichen Vorgaben ihre Wirkung auch für das Verständnis der strafprozessualen Normen, wie sogleich zu zeigen ist.1505 (1)
Anwendbarkeit von § 100a I S. 1 StPO?
§ 100a I S. 1 StPO vermag nicht die hohen verfassungsrechtlichen Hürden für Eingriffe in das GVIiS zu überspringen und kann daher grundsätzlich auch keine Eingriffe in das GVIiS rechtfertigen.1506 Da nach hier vertretener Ansicht die Maßnahmen mit Auswirkungen auf IT-Endgeräte aber immer am GVIiS zu messen sind, scheidet die Norm bereits aus diesem Grund als Ermächtigungsgrundlage für solche Maßnahmen aus. Aber auch die Betrachtung der Merkmale von § 100a I S. 1 StPO aus einem rein strafprozessualen Blickwinkel führt zu dem Ergebnis, dass die Norm nicht einschlägig wäre. § 100a I S. 1 StPO erlaubt ausdrücklich nur das (passive) „Überwachen und Aufzeichnen“, nicht aber (aktive) „Maßnahmen mit Auswirkungen auf IT-Endgeräte“.1507 Ebensowenig könnte das Vorgehen auf eine Annexkompetenz 1504 In Bezug auf den (nicht einschlägigen) Art. 13 I GG sei auf Abschnitt aa) auf Seite 285 am Ende verwiesen. In Bezug auf das Konkurrenzverhältnis von dem möglicherweise einschlägigen Recht auf informationelle Selbstbestimmung und GVIiS sei auf Abschnitt dd) auf Seite 329 ff. verwiesen. 1505 Zur Bedeutung des Verfassungsrechts für das Strafprozessrecht siehe bereits in Abschnitt b) auf Seite 166. 1506 Siehe Abschnitt e) auf Seite 226. 1507 Dazu bereits im Zusammenhang mit dem Brechen von Verschlüsselung, vgl. Abschnitt (1) auf Seite 279.
312
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
zu § 100a I S. 1 StPO gestützt werden, weil die „Intensität“ dieser Maßnahme ganz offensichtlich noch größer ist als die von „Eingriffen in den Datenverkehr einer Netzwerkinfrastruktur“,1508 so dass auch ein Rückgriff auf diese Rechtsfigur ausscheidet. (2)
Anwendbarkeit von § 100a I S. 2 StPO?
Auch § 100a I S. 2 StPO kann nicht als Rechtfertigungsgrundlage für Eingriffe in das GVIiS herangezogen werden, so dass diese Norm als Ermächtigungsgrundlage für Maßnahmen mit Auswirkungen auf IT-Endgeräte aus diesem Grund ebenfalls bereits ausscheidet. (a)
Auswirkungen der verfassungsrechtlichen Vorgaben auf § 100a I S. 2 StPO
Da die vorangegangen verfassungsrechtlichen Ausführungen zu dieser Unterkategorie1509 jedoch zudem erhebliche Konsequenzen für das strafprozessuale Verständnis von § 100a I S. 2 StPO haben, sollen diese Konsequenzen an dieser Stelle dennoch näher erläutert werden. Denn betrachtet man die hier zu untersuchende Teilmaßnahme aus einem rein strafprozessualen Blickwinkel, ausschließlich in Bezug auf die Merkmale der Norm, könnte man annehmen, dass sich die Maßnahmen mit Auswirkungen auf IT-Endgeräte unter § 100a I S. 2 StPO subsumieren ließen. Um die Norm wieder ins Gedächtnis zu rufen, sei der Wortlaut von § 100a I S. 2 StPO hier erneut zitiert: „Die Überwachung und Aufzeichnung der Telekommunikation darf auch in der Weise erfolgen, dass mit technischen Mitteln in von dem Betroffenen genutzte informationstechnische Systeme eingegriffen wird, wenn dies notwendig ist, um die Überwachung und Aufzeichnung insbesondere in unverschlüsselter Form zu ermöglichen.“
Die durch die Merkmale „Überwachung“ und „Telekommunikation“ vorgegebene Restriktion der Norm auf flüchtige Telekommunikationsdaten als Überwachungsobjekt wurde bereits in der vorherigen Unterkategorie eingehender erläutert1510 und dürfte unumstritten sein. Deutlich umstrittener dürfte das Verständnis des Merkmals „Eingreifen in informationstechnische Systeme“ werden. Hier stellt sich nämlich die Frage, ob die Restriktion für das Überwachungsobjekt auf flüchtige Telekommunikationsdaten auch für das Merkmal „Eingreifen in informationstechnische Systeme“ gilt. Dieses Merkmal besagt, dass nur solche Maßnahmen erfasst sind, bei denen in ein IT-System eingedrungen wird, indem Daten des betreffenden IT-Systems verändert werden.1511 Nun muss in einem zweiten Schritt aber die 1508 1509 1510 1511
Dazu ausführlich in Abschnitt (1) auf Seite 290. Siehe Abschnitt aa) auf Seite 301. Siehe Abschnitt (a) auf Seite 292. Wie bereits im Rahmen der Primärmaßnahme eingehend analysiert wurde, vgl. Abschnitt aa) auf Seite 245 ff.
II. Sekundärmaßnahmen
313
Frage gestellt werden, welche Daten des betroffenen IT-Systems eigentlich genau durch eine Maßnahme nach § 100a I S. 2 StPO verändert werden dürfen. Würde die Restriktion in Bezug auf das Überwachungsobjekt auch für dieses Merkmal gelten, so bedeutete dies, dass durch ein entsprechendes Vorgehen ausschließlich flüchtige Telekommunikationsdaten sowohl überwacht als auch verändert werden dürften. § 100a I S. 2 StPO würde damit nicht nur einer Beschränkung im Hinblick auf das Überwachungsobjekt unterliegen, sondern hinsichtlich des gesamten Eingriffsgegenstandes der Norm. (b)
Notwendigkeit einer verfassungskonformen Auslegung von § 100a I S. 2 StPO?
Eine solche umfassende Beschränkung ergibt sich freilich weder aus dem Gesetzeswortlaut noch aus der Gesetzesbegründung. Sie könnte aber die Folge der strengen verfassungsrechtlichen Vorgaben sein. Diese Diskussion stellt nämlich die strafprozessuale Spiegelung der gleichen Problematik auf verfassungsrechtlicher Ebene dar. Wie dort1512 umfangreich begründet wurde, ist eine Infiltration eines IT-Systems durch die Manipulation von Daten ohne telekommunikativen Bezug auch bei nachfolgender ausschließlicher Überwachung von laufender Telekommunikation nicht innerhalb des Schutzbereiches von Art. 10 I GG möglich.1513 Das Telekommunikationsgeheimnis ist nur dann alleiniger Prüfungsmaßstab, wenn sämtliche von der Maßnahme tangierten Daten einen telekommunikativen Bezug aufweisen. Ein Auseinanderklaffen von verfassungsrechtlichen Vorgaben und strafprozessualen Eingriffsbefugnis ist nicht geboten. Auch hier zeigt sich die durchschlagende Wirkung des Verfassungsrechts auf das Strafverfahrensrecht.1514 § 100a I S. 2 StPO, der nur Eingriffe in Art. 10 I GG zu rechtfertigen vermag, bedarf daher, um mit den verfassungsrechtlichen Vorgaben in Einklang zu bleiben, einer verfassungskonformen Auslegung, die zum Ergebnis hat, dass der gesamte Eingriffsgegenstand der Norm auf flüchtige Telekommunikationsdaten beschränkt ist. „Eingriffe in informationstechnische Systeme“ im Sinne von § 100a I S. 2 StPO sind daher nur solche, bei denen ausschließlich flüchtige Telekommunikationsdaten verändert (im Sinne von „eingegriffen“) werden. 1512 Siehe Abschnitt aa) auf Seite 301 ff. 1513 Dazu, dass eine Regelung, welche eine Quellen-Telekommunikationsüberwachung gestattet, die mit einem Zugriff auf Daten außerhalb des laufenden Kommunikationsprozesses einhergeht, nicht im Rahmen von § 100a I S. 1 StPO möglich ist, bereits Sieber, Straftaten und Strafverfolgung im Internet: Gutachten C zum 69. Deutschen Juristentag, S. C105 ff. 1514 Zum Themenkomplex Strafverfahrensrecht als angewandtes Verfassungsrecht siehe bereits Abschnitt b) auf Seite 166. Zur Möglichkeit und Notwendigkeit der verfassungskonformen Auslegung ausführlich: Bode, Verdeckte strafprozessuale Ermittlungsmaßnahmen, S. 55 ff.
314
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Es sei noch angemerkt, dass ein richtiges, verfassungskonformes Verständnis von § 100a I S. 2 StPO dazu führt, dass im Rahmen dieser Ermächtigungsgrundlage keinerlei Software auf einem IT-Endgerät installiert werden darf, da eine solche Installation immer auch Daten ohne Telekommunikationsbezug verändert.1515 Eine klassische „Quellen-Telekommunikationsüberwachung“ nach allgemeinem Verständnis kann daher gar nicht auch auf § 100a I S. 2 StPO gestützt werden, wie vom Gesetzgeber angedacht. Der Anwendungsbereich von § 100a I S. 2 StPO beschränkt sich damit vornehmlich auf IT-Systeme, die ausschließlich flüchtige Telekommunikationsdaten beherbergen (wie etwa eine Netzwerkinfrastruktur). Auf sonstige IT-Systeme, die Telekommunikationsdaten nur als eine von vielen Datenkategorien beherbergen (wie Smartphones oder Computer), kann § 100a I S. 2 StPO nur in dem seltenen Fall Anwendung finden, wenn von der Maßnahme insgesamt ausschließlich flüchtige Telekommunikationsdaten tangiert werden. (c)
Übertragung auf Maßnahmen mit Auswirkungen auf IT-Endgeräte
Die Maßnahmen dieser Unterkategorie gehen, auch wenn sie deutlich punktueller und weniger eingriffsintensiv sind als die Installation von Schadsoftware, in der Regel mit der Veränderung auch von telekommunikationsfernen Daten einher (etwa durch die Veränderung der Systemzeit). Ein Rückgriff auf § 100a I S. 2 StPO scheidet damit aus. Bei einzelnen Angriffsformen könnte aber etwas anderes gelten. Etwa bei einem POODLE-Angriff auf das HTTPs-Sicherheitsverfahren dürfte eine konkrete Umsetzung auf eine Art und Weise möglich sein, die ausschließlich flüchtige Telekommunikationsdaten tangiert.1516 Insgesamt lässt sich aber abschließend festhalten, dass § 100a I S. 2 StPO auch aus einem rein strafprozessualen Blickwinkel im Regelfall Maßnahmen mit Auswirkungen auf IT-Endgeräte nicht wird rechtfertigen können. (3)
Anwendbarkeit von § 100a I S. 3 StPO?
§ 100a I S. 3 StPO vermag ebenso wenig wie § 100a I S. 1 StPO und § 100a I S. 2 StPO Eingriffe in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme zu rechtfertigen und scheidet daher ebenso aus. (4)
Anwendbarkeit von § 100b I StPO?
Damit verbleibt einzig § 100b I StPO als potentielle strafprozessuale Ermächtigungsgrundlage für solche Maßnahmen, die sich auf IT-Endgeräte auswirken. 1515 So auch Blechschmitt, StraFo, 2017, S. 361 ff. (S. 364). Anders Graf, der ausdrücklich das Installieren von Entschlüsselungs- und Übertragungssoftware als erfasst sieht (dafür allerdings ausschließlich die Gesetzesbegründung heranzieht), vgl. Graf in: BeckOK, StPO, § 100a, Rn. 112. 1516 Dazu bereits in Abschnitt (b) auf Seite 310.
II. Sekundärmaßnahmen
315
§ 100b StPO erweitert im Gegensatz zu § 100a I S. 2,3 StPO nicht den Anwendungsbereich einer bereits bestehenden Ermittlungsmaßnahme.1517 Vielmehr handelt es sich um eine eigene Ermittlungsmaßnahme mit eigenen Anordnungsvoraussetzungen. Danach darf: „Auch ohne Wissen des Betroffenen [...] mit technischen Mitteln in ein von dem Betroffenen genutztes informationstechnisches System eingegriffen und dürfen Daten daraus erhoben werden (Online-Durchsuchung)“.
Nachfolgend sind die Merkmale und Anordnungsvoraussetzungen erneut aufzugreifen und, soweit noch nicht geschehen, zu erörtern. Jeweils im Anschluss soll wieder untersucht werden, ob sich die vorliegende Unterkategorie von Sekundärmaßnahmen unter das jeweilige Merkmal subsumieren lässt. (a)
„Eingreifen in ein informationstechnisches System“
§ 100 b I StPO gestattet, dass in IT-Systeme „eingegriffen“ wird. Ein solches Eingreifen ist nicht bei jedweder Form des Zugriffs auf Daten eines informationstechnischen Systems gegeben, sondern (nur) dann, wenn dabei derart in ein IT-System eingedrungen wird, dass dadurch dessen Daten verändert werden. Ein rein passives, zusätzliches Empfangen der von einem IT-System ausgesendeten Daten genügt hingegen zum Beispiel nicht.1518 IT-Endgeräte (wie Smartphones oder Computer) sind geradezu die Archetypen von informationstechnischen Systemen.1519 Die Maßnahmen mit Auswirkungen auf IT-Endgeräte stellen zudem im Gegensatz etwa zur Primärmaßnahme kein rein passives Mitschneiden dar. Vielmehr wohnt der Maßnahme gerade inne, dass aktiv auf das Endgerät eingewirkt wird, indem Daten darauf verändert werden (exemplarisch kann die bereits mehrmals angeführte Änderung der Systemzeit des betroffenen Endgerätes im Rahmen eines Angriffs auf HTTP Strict Transport Security angeführt werden).1520 (b)
„Erheben von Daten aus dem informationstechnischen System“
§ 100b I StPO gestattet neben dem „Eingreifen“ auch das „Erheben von Daten aus dem informationstechnischen System“. Diese Befugnis möchte der Gesetzgeber, sowohl in Bezug auf das Eingriffsobjekt als auch in Bezug auf die Eingriffshandlung sehr weit verstanden wissen.1521 „Daten“ meint sowohl in inhaltlicher Hinsicht 1517 Allgemein zu § 100b I StPO bereits in Abschnitt (4) auf Seite 296, sowie in Abschnitt h) auf Seite 250. 1518 Dazu bereits in Abschnitt aa) auf Seite 245 ff. 1519 Für die Begriffsbestimmung von IT-Systemen siehe Abschnitt aa) auf Seite 203 ff.; zwar auf verfassungsrechtlicher Ebene, aber insofern inhaltsgleich. 1520 Für die technologischen Einzelheiten dieser Teilmaßnahme siehe oben in Abschnitt b) auf Seite 274 ff. 1521 Ausführlich in Abschnitt (b) auf Seite 298.
316
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
sämtliche Daten eines IT-Systems, also nicht nur Telekommunikationsdaten, als auch in zeitlicher Hinsicht sämtliche Daten eines IT-Systems, also nicht nur neu hinzukommende Daten.1522 „Erheben“ umfasst sämtliche Formen des technischen Erfassens derjenigen Daten eines IT-Systems, die von dem betreffenden IT-System selbst erzeugt werden.1523 Auch wenn bei den (Teil-)Maßnahmen dieser Unterkategorie das eigentliche Erfassen eines inhaltlichen Austauschs des Betroffenen (noch) nicht im Fokus steht, da es sich nur um eine die eigentliche Primärmaßnahme vorbereitende Maßnahme handelt, so werden doch auch hier in der Regel bereits kleinere Dateneinheiten erhoben. Um das bereits mehrfach angeführte Beispiel der Änderung der Systemzeit erneut zu bemühen: Hierfür müssen Dateneinheiten des Network Time Protocol, über das ein Endgerät die Systemzeit abfragt, abgefangen (und verändert) werden. Selbst ein technisches Erfassen solch kleiner Datenmengen erfüllt bereits das Merkmal, da eine qualitative Beschränkung der Formulierung nicht innewohnt. Somit wird auch dieses Merkmal allein durch die Teilmaßnahme dieser Unterkategorie bereits erfüllt. Denkbar wäre es aber wohl auch, das nachfolgende passive Mitschneiden und Speichern des Datenverkehrs eines lokalen Funknetzwerks (die Primärmaßnahme) als „Erheben von Daten“ zu betrachten. Damit würde aber ein solches Abhören eines WLAN, welches mit Maßnahmen einhergeht, die Daten auf einem IT-Endgerät verändern, insgesamt unter § 100b I StPO zu fassen sein.
(c)
Weitere Merkmale
§ 100b I StPO gestattet ein Vorgehen „auch ohne Wissen des Betroffenen“, also ein verdecktes bzw. heimliches Vorgehen.1524 Der Betroffene muss damit weder vor noch während der Durchführung der Maßnahme unterrichtet werden.1525 Ebenfalls erfüllt sind die mit § 100a I S. 2 StPO identischen Merkmale „mit technischen Mitteln“ und „von dem Betroffenen genutztes“ (IT-System).1526 1522 Vgl. auch BT-Drucks. 18/12785, S. 54, abrufbar unter: http://dipbt.bundestag.de/ dip21/btd/18/127/1812785.pdf (Stand: Dezember 2017). 1523 Über ein „Erheben“ hinaus ginge die Fremdsteuerung etwa eines infiltrierten ITSystems zur Erzeugung eigener Daten, z.B. durch die heimliche Aktivierung von Mikrofon oder Kamera und die anschließende Aufzeichnung der Audio- bzw. Bilddaten. 1524 Vgl. BT-Drucks. 18/12785, S. 46 und 54, abrufbar unter: http://dipbt.bundestag.de/ dip21/btd/18/127/1812785.pdf (Stand: Dezember 2017). 1525 Siehe Abschnitt cc) auf Seite 240. 1526 Siehe dort in Abschnitt (c) auf Seite 293, sowie in Abschnitt (d) auf Seite 294.
II. Sekundärmaßnahmen
(d)
317
Sonstige Anordnungsvoraussetzungen von § 100b StPO
Rechtmäßig zulässig ist die „Online-Durchsuchung“ im Unterschied zur Telekommunikationsüberwachung erst bei dem Verdacht einer besonders schweren Katalogstraftat im Sinne des § 100b II StPO, vgl. § 100b I Nr. 1 StPO.1527 Der Straftatenkatalog entspricht exakt dem für die Wohnraumüberwachung geltenden Katalog in § 100c II a.F. StPO. Zudem muss die Tat auch im Einzelfall schwer wiegen, § 100b I Nr. 2 StPO, und die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes des Beschuldigten muss auf andere Weise wesentlich erschwert oder aussichtslos sein, § 100b I Nr. 3 StPO. Auch im Übrigen muss der Verhältnismäßigkeitsgrundsatz gewahrt werden. Die geringere Eingriffsintensität der Maßnahme im Vergleich zu einer klassischen Online-Durchsuchung dürfte sich hier auswirken. Die Regelungen zum Schutz des Kernbereichs der privaten Lebensgestaltung und zum Schutz zeugnisverweigerungsberechtigter Personen findet sich nunmehr separat in § 100d StPO. Der Richtervorbehalt und weitere formelle Voraussetzungen finden sich in § 100e StPO. Die Maßnahme richtet sich grundsätzlich nur gegen den Betroffenen, der in § 100b III StPO als Beschuldigter präzisiert wird. § 100b III StPO ist § 100c II StPO nachgebildet.1528 Die Maßnahme darf demnach ausdrücklich auch durchgeführt werden, wenn andere Personen von der Maßnahme betroffen sind, weil sie etwa den gleichen Access Point wie der Betroffene nutzen, vgl. § 100b III S. 3 StPO. Ebenfalls ausdrücklich erlaubt ist ein Vorgehen gegen ein von einem unbeteiligten Dritten betriebenes lokales Netzwerk (= IT-System), wenn aufgrund von bestimmten Tatsachen anzunehmen ist, dass der Beschuldigte das betreffenden WLAN mitbenutzt, § 100b III S. 2 Nr. 1 StPO, und zudem anzunehmen ist, dass ein Vorgehen gegen das IT-System des Beschuldigten allein nicht zum Erfolg führen wird, § 100b III S. 2 Nr. 2 StPO. Eine derartige einschränkende Subsidiaritätsregelung sieht die Telekommunikationsüberwachung im Übrigen nicht vor. In Bezug auf die besonderen technischen Voraussetzungen verweist § 100b IV StPO auf § 100a V und VI StPO.1529 Da sich im Bezug auf diese Anordnungsvoraussetzungen keine Besonderheiten im Vergleich zu § 100a StPO und § 100c StPO ergeben und sie zudem bereits in zahlreichen anderen Veröffentlichungen beleuchtet wurden, wird auch an dieser Stelle auf eine eingehendere Erläuterung verzichtet.1530 1527 Ob dieser Straftatenkatalog die besonders hohen Anforderungen des BVerfG an Eingriffe in das GVIiS erreicht, wird das BVerfG mit Sicherheit in nicht allzu ferner Zukunft noch zu entscheiden haben. Bereits ablehnend: Singelnstein/Derin, NJW, 2017, S. 2646 ff. (S. 2647). 1528 Vgl. BT-Drucks. 18/12785, S. 55, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/ 18/127/1812785.pdf (Stand: Dezember 2017). 1529 Siehe Abschnitt (f) auf Seite 295. 1530 Siehe für weitere Nachweise: Abschnitt ee) auf Seite 242.
318
(e)
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Schlussfolgerung
Liegen die weiteren Anordnungsvoraussetzungen vor, lässt sich damit im Ergebnis die (separate) Durchführung von vorbereitenden (Teil-)Maßnahmen mit Auswirkungen auf IT-Endgeräte auf § 100b I StPO stützen. Ferner lässt sich festhalten, dass, wenn das konkrete Vorgehen beim Abhören eines lokalen Funknetzwerks zusätzlich mit Auswirkungen auf IT-Endgeräte des Betroffenen einhergeht, die Maßnahme insgesamt als Eingriff in das GVIiS weder auf § 100a I S. 1 StPO noch auf § 100a S 2 und 3 StPO (in grundrechtskonformer Auslegung) gestützt werden kann. In einem solchen Fall ließe sich zwar die Primärmaßnahme auf § 100a I S. 1 StPO stützen, die Sekundärmaßnahme bedürfte aber eines Rückgriffs auf § 100b I StPO (denkbar insbesondere etwa dann, wenn ein gewisser Zeitraum zwischen der Primär- und der Sekundärmaßnahme läge). Möglich wäre aber auch, ein solches Vorgehen insgesamt auf § 100b I StPO zu stützen. f) Zusammenfassung: Sekundärmaßnahmen II: Maßnahmen zur Überwindung von Sicherheitsvorkehrungen Die Sekundärmaßnahmen II, also alle Maßnahmen zur Überwindung von etwaigen Sicherheitsvorkehrungen der betroffenen IT-Infrastruktur, sind für die rechtliche Einordnung sinnvollerweise nochmals in drei (Unter-)Kategorien unterteilt worden. Dem alleinigen, isolierten Überwinden der Sicherheitsvorkehrung selbst (durch das Dechiffrieren mit Hilfe eines anderweitig erlangten kryptographischen Schlüssels oder auf dem Wege einer reinen Kryptanalyse)1531 kommt bereits ein selbständiger Eingriffscharakter zu. Als zeitlich leicht vorgelagerter Schritt vor der eigentlichen inhaltlichen Wahrnehmung und diese erst ermöglichend, stellt ein entsprechendes Vorgehen bereits einen eigenständigen Eingriff in Art. 10 I GG dar. Ein derartiger Grundrechtseingriff durch die Behörden lässt sich (nur) als Annexkompetenz zu § 100a I S. 1 StPO rechtfertigen. Die Eingriffe in den Datenverkehr einer Netzwerkinfrastruktur zur Überwindung von Sicherheitsvorkehrungen1532 unterstehen aufgrund der besonderen Eigenart der Maßnahme allein dem Telekommunikationsgeheimnis in Art. 10 I GG. Zwar scheidet eine Rechtfertigung über § 100a I S. 1 StPO ebenso wie über § 100a I S. 3 StPO aus, allerdings lässt sich ein solches Vorgehen auf § 100a I S. 2 StPO stützen. Angesichts der identischen Anordnungsvoraussetzungen zu § 100a I S. 1 StPO dürfte der Unterschied für die Ermittlungsbehörden damit aber lediglich formaler Natur sein. Eine Anwendung von § 100b I StPO scheidet deswegen aus, weil § 100a I S. 2 StPO und § 100b I StPO in einem Ausschließlichkeitsverhältnis zueinander stehen, so dass § 100b I StPO hier nicht zum Zuge kommen kann. 1531 Siehe Abschnitt c) auf Seite 276 ff. 1532 Siehe Abschnitt d) auf Seite 285 ff.
II. Sekundärmaßnahmen
319
Die Maßnahmen zur Überwindung von Sicherheitsvorkehrungen, die nicht nur Auswirkungen auf den Datenverkehr einer Netzwerkinfrastruktur, sondern auch Auswirkungen auf IT-Endgeräte1533 des Betroffenen haben, stellen immer einen Eingriff in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme dar, der nicht von Art. 10 I GG verdrängt werden kann; es sei denn, es sind tatsächlich in der Gesamtheit ausschließlich Daten mit Bezug zu einer laufenden Telekommunikation betroffen – was in der Praxis Seltenheitswert haben dürfte. Die Ursache liegt vornehmlich darin begründet, dass Art. 10 I GG den entstehenden Gefahren nicht begegnen kann, wenn von einer Maßnahme Daten eines IT-Systems betroffen sind (nicht nur in Bezug auf das Überwachungs-, sondern auch in Bezug auf das Eingriffsobjekt der Maßnahme), die keinerlei Beziehung zu einer laufenden Telekommunikation aufweisen. Da sowohl § 100a I S. 1 StPO als auch §§ 100a I S. 2 und S. 3 StPO keine Eingriffe in das GVIiS zu rechtfertigen vermögen, scheidet ihre Anwendung hier aus. Aber auch auf einer rein strafprozessualen Ebene wären die Normen auf die Maßnahmen mit Auswirkungen auf IT-Endgeräte nicht anwendbar, das gilt insbesondere für einen korrekt verfassungskonform ausgelegten § 100a I S. 2 StPO. Allerdings lässt sich diese (Teil-)Maßnahme auf § 100b I StPO stützen. Möglich wäre aber auch, dass eine Abhörmaßnahme (Primärmaßnahme), die mit einer solcher Teilmaßnahme einhergeht, insgesamt auf § 100b I StPO gestützt wird. Dieses Ergebnis der rechtlichen Untersuchung hat aber auch erhebliche Konsequenzen für sämtliche Überwachungsmaßnahmen, welche die Behörden vor dem 24.08.20171534 durchgeführt haben. Der Befund der Bundesregierung in den regelmäßigen Antworten zu den entsprechenden Anfragen von Bundestagsabgeordneten in Bezug auf den Einsatz computergestützter Kriminaltechnik bei Polizeibehörden und damit die gängige Behördenpraxis,1535 nämlich, dass für das Abhören des WLAN im repressiven Bereich (immer) allein § 100a I a.F. StPO einschlägig ist, kann nicht gestützt werden. Es muss vielmehr festgestellt werden: Ging eine von den Strafverfolgungsbehörden vor dem 24.08.2017 durchgeführte WLANÜberwachungsmaßnahme bei der praktischen Umsetzung mit Eingriffen entweder in die Netzwerkinfrastruktur oder gar mit Auswirkungen auf das IT-Endgerät eines Betroffenen einher – was angesichts der ansonsten geringen Erfolgsaussichten einer Maßnahme nicht unwahrscheinlich ist – erfolgte ihre Durchführung nicht rechtmäßig.
1533 Siehe Abschnitt e) auf Seite 301 ff. 1534 Also bevor das Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens seine Wirkung entfaltet hat. 1535 Vgl. etwa BT-Drucks. 17/8544, S. 16, abrufbar unter: http://dipbt.bundestag.de/dip21/ btd/17/085/1708544.pdf (Stand: Dezember 2017). Dazu bereits oben in Abschnitt b) auf Seite 35.
320
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
3. Sekundärmaßnahmen III: „Informationstechnologische Täuschungen“ im Rahmen der Überwachung lokaler Funknetzwerke a)
Erläuterung der Ermittlungsmaßnahme
Diese Kategorie von Maßnahmen eint der Aspekt, dass ein (zumindest unbewusstes) Mitwirken des Betroffenen erforderlich ist, die zudem eine in der Form von ihm unbeabsichtigte Telekommunikationsbeziehung etabliert. Zu diesem Mitwirken soll der Betroffene durch Täuschung, etwa indem ihm falsche technologische Tatsachen vorgespiegelt werden, und durch das Ausnutzen einer gewissen Arglosigkeit bewegt werden. Sollte beispielsweise im individuellen Fall das Überwinden der Sicherheitsvorkehrungen des lokalen Funknetzwerks1536 auf allen Wegen fehlschlagen, kann versucht werden, die Sicherheitsvorkehrungen gänzlich zu umgehen und die WLAN-Datenströme über einen sogenannten Evil-Twin umzuleiten. Dafür müssten die Strafverfolgungsbehörden einen eigenen Access Point aufbauen und so selbst ein Funknetzwerk bereitstellen (den „Evil Twin“).1537 Dieses zusätzliche Netzwerk wird unter dem gleichen Service Set Identifier (Netzwerkname) und der gleichen MAC-Adresse betrieben wie das Ziel-Netzwerk und gibt so vor, das eigene, lokale Netzwerk des Betroffenen zu sein.1538 Kommt eine Verbindung des anvisierten Endgerätes zum Evil-Twin zustande,1539 wird dadurch bei der Zielperson der Anschein erweckt, sie wäre über ihren normalen, geschützten Zugangsknoten (Access Point) mit dem Internet-Netzwerk verbunden. In Wahrheit läuft der Datenverkehr jedoch über den („bösen“) Access Point unter der Kontrolle der Strafverfolgungsbehörden. Diese Maßnahme unterscheidet sich von den bereits erwähnten (rein technischen) Man-in-the-Middle-Angriffen1540 dadurch, dass oft ein (zumindest unbewusstes) Mitwirken des Betroffenen notwendig ist, etwa indem sich der Betroffene mit dem vorgeblich eigenen Access Point manuell (vermeintlich wieder-)verbindet. In diese Kategorie kann auch ein völlig anderer Weg fallen, an die gewünschte WPA/WPA2-Passphrase zu gelangen, die das lokale Ziel-Netzwerk schützt. Mit Hilfe von Methoden aus dem Bereich des Social Engineering, insbesondere über das gezielte Phishing (Spear Phishing)1541, kann der Betroffene dazu gebracht 1536 Auf Ebene der Transportschicht; insbesondere etwa im Falle eines gut konfigurierten und aktuellen WPA2. 1537 Siehe Abschnitt d) auf Seite 103 f. Das Bereitstellen kann von außerhalb des geschützten Bereichs des Betroffenen erfolgen und durch ein besonders starkes Signal dessen eigenes Signal „überstrahlen“. 1538 Daher auch der Name „böser Zwilling“. 1539 Zu den verschiedenen Möglichkeiten siehe in Abschnitt d) auf Seite 103 f. 1540 Siehe in der zweiten Unterkategorie der Sekundärmaßnahme II in Abschnitt d) auf Seite 285. 1541 Siehe Abschnitt gg) auf Seite 138.
II. Sekundärmaßnahmen
321
werden, die vertrauliche Passphrase preiszugeben.1542 Zum Beispiel kann in einer an die Zielperson versendeten E-Mail mit speziellem, angepasstem Layout der Anschein erweckt werden, sie müsse sich etwa aus Sicherheitsgründen über einen in der Mail eingebauten Link mit dem vermeintlichen, täuschend echt aussehenden Konfigurationsmenu des Routers verbinden. Dort wird für den Betroffenen der Eindruck erweckt, die WPA/WPA2-Passphrase müsse nach einem automatischen Firmware-Update des Routers neu eingegeben werden. Tippt die Ziel-Person die Passphrase ein, wird sie mitgeschnitten, woraufhin der Betroffene eine Erfolgsmeldung erhält und in das normale Internet-Netzwerk weitergeleitet wird.1543
b)
Verfassungsrechtliche Vorgaben
Im Rahmen dieser Maßnahme wird der Betroffene durch eine Täuschung dazu verleitet, ein fremdes IT-System oder präziser in Teilen ein fremdes IT-Systems zu nutzen anstelle seines eigenen, wie von ihm fälschlich angenommen. Zunächst ist daher zu eruieren, ob derartige „informationstechnologische Täuschungen“ als bloßes Mittel zur Ermöglichung der Primärmaßnahme bereits einen selbständigen Grundrechtseingriff bedeuten. Denn auch wenn sie lediglich dem Ermöglichen der Primärmaßnahme dienen, geht ihre erfolgreiche Durchführung als selbständiger Zwischenschritt bereits direkt mit der Preisgabe personenbezogener Daten einher.1544 Eine „informationstechnologische Täuschung“ geht insbesondere über das bloße typische Täuschen einer heimlichen Ermittlungsmaßnahme hinaus. Dieser ist zwar ebenfalls in der Regel eine Irreführung immanent, nämlich die Täuschung, dass gerade keine heimliche Ermittlungsmaßnahme durchgeführt wird, etwa die Telekommunikation nicht überwacht wird. Dafür ist jedoch kein Mitwirken, keine aktive Handlung des Getäuschten vonnöten, lediglich ein schlichtes Nicht-Wissen. Anders hingegen in dieser Fallkonstellation, in der der Betroffene die Mitwir1542 Das Spear-Fishing dürfte auch als Möglichkeit in Frage kommen, den „Bundestrojaner“ im Rahmen einer Quellen-Telekommunikationsüberwachung auf einem Endgerät zu platzieren. 1543 Ganz ähnlich zu bewerten wäre auch die neue Methode des Unterschiebens von einem Trojaner beim Download regulärer Software mit Hilfe des Internetproviders: Wenn der Betroffenen versucht, eine gängige Software wie z.B. Skype, TrueCrypt oder WhatsApp herunterzuladen, leitet der Provider die entsprechende Anfrage des Browsers heimlich im Hintergrund per HTTP-Redirect zu einem von staatlichen Stellen kontrollierten Server um, der die gewünschte, funktionstüchtige, allerdings mit einem Trojaner infizierte Software an den Betroffenen (unbemerkt) ausliefert. Diese Methode kam wohl auch in Deutschland bereits zum Einsatz, vgl. https://heise.de/-3837645 (Stand: Dezember 2017). 1544 Etwa durch die Preisgabe des „WLAN-Passwortes“ oder erst recht durch die Umleitung des kompletten Datenverkehrs an den Evil Twin.
322
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
kungshandlung gerade nicht ohne die staatliche Manipulation vorgenommen hätte.1545 aa)
Telekommunikationsgeheimnis, Art. 10 I GG
Angesichts der engen Verbindung zu telekommunikativen Daten muss geprüft werden, ob das Telekommunikationsgeheimnis auch vor den „informationstechnologischen Täuschungen“ im Zusammenhang mit dem „WLAN-Catching“ Schutz gewährt. Denn auf den ersten Blick gleichen die Sekundärmaßnahmen III in ihren Auswirkungen den zuvor untersuchten „Eingriffen in den Datenverkehr einer Netzwerkinfrastruktur“ im Rahmen der Sekundärmaßnahmen II, die von dem Schutzbereich des Art. 10 I GG erfasst sind1546: Durch Veränderungen an dem Datenverkehr der genutzten Netzwerkinfrastruktur wird eine inhaltliche Wahrnehmung ermöglicht. Es besteht jedoch ein Unterschied. Während bei den Eingriffen in die Netzwerkinfrastruktur der Netzwerkverkehr heimlich und ohne Zutun des Betroffenen im Hintergrund manipuliert wird, kann die Sekundärmaßnahme III nur durch ein Mitwirken des Betroffenen erfolgreich sein. Erst wenn die Zielperson z.B. den Link anklickt bzw. den Evil Twin anwählt und dadurch eine Verbindung (zu einer staatlichen Stelle) herstellt, kann die Maßnahme gelingen.1547 Nun könnte man zunächst annehmen, der Betroffene hätte durch seine Mitwirkungshandlung konkludent auf den grundrechtlichen Schutz verzichtet bzw. er hätte in den Grundrechtseingriff eingewilligt.1548 Allerdings wurde die Einwilligung durch Täuschung erschlichen. Die herrschende Lehre geht aber davon aus, dass eine wirksame Einwilligung in einen Grundrechtseingriff nur vorliegen kann, wenn sie freiwillig im Sinne von frei von Zwang, Drohung und Täuschung erfolgt ist.1549 Allerdings besteht noch ein weiterer, zentraler Unterschied. Denn bei exakter Betrachtung muss man feststellen, dass der Betroffene durch seine Mitwirkungs1545 Anders aber in ähnlichem Kontext Bratke, Die Quellen-Telekommunikationsüberwachung im Strafverfahren, S. 248 ff. 1546 2. Unterkategorie der Sekundärmaßnahme II, siehe Abschnitt d) auf Seite 285 ff. 1547 Genau gleich gestaltet sich die Situation, wenn dem Betroffenen Software, die mit einem Trojaner infiziert ist, untergeschoben wird. Da der Betroffenen versucht, reguläre Software herunterzuladen, stellt er selbst eine Verbindung/Kommunikationsbeziehung zu einem Server her, vgl. Fußnote 708 auf Seite 160. 1548 Dazu, dass Art. 10 I GG in der Dispositionsbefugnis des Grundrechtsträgers liegt und ob eine Einwilligung tatbestandsausschließende Wirkung hat oder ein Grundrechtsverzicht vorliegt, siehe Durner in: Maunz/Dürig, Grundgesetz-Kommentar, Art. 10, Rn. 126. 1549 Fischinger, JuS, 2007, S. 808 ff. (S. 809 f.); Sachs, Verfassungsrecht II - Grundrechte, S. 142. In Bezug auf die Freiheit von unzulässigem Druck ausdrücklich: BVerfG, NStZ-RR 2012, 60 (S. 61). Insbesondere liegt auch in der Nutzung des entsprechenden Telekommunikationsmittels trotz Kenntnis der Abhörmöglichkeiten natürlich keine konkludente Einwilligung, vgl. Hermes in: Dreier, Grundgesetz, Art. 10, Rn. 57.
II. Sekundärmaßnahmen
323
handlung (unbewusst) eine Kommunikationsbeziehung zu einer staatlichen Stelle aufnimmt. Bezüglich dieses Aspekts lässt sich eine Parallele zu den Sekundärmaßnahmen I ziehen. Für diese wurde bereits aufgezeigt, dass Art. 10 I GG keinen Schutz davor gewähren kann, dass eine staatliche Stelle selbst eine Telekommunikationsbeziehung zu einem Grundrechtsträger aufnimmt.1550 Allerdings fehlte es dort an der Täuschungshandlung. Insofern ist die Situation hier eher mit dem Einsatz verdeckter Ermittler im Online-Kontext vergleichbar. Verdeckte Ermittler ermitteln „unter einer ihnen verliehenen, auf Dauer angelegten, veränderten Identität (Legende)“.1551 Das Vorgehen im Rahmen der Sekundärmaßnahme III erfolgt ebenfalls im Wege einer Täuschung unter Verwendung einer falschen Identität (z.B. fremder Access Point statt eigener Access Point).1552 Das Telekommunikationsgeheimnis schützt nun aber nach ganz herrschender Meinung nicht das Vertrauen in die Identität des Kommunikationspartners.1553 Oder wie es das BVerfG in seinem Urteil zum NWVerfSchG ausdrückt: „Die staatliche Wahrnehmung von Inhalten der Telekommunikation ist daher nur dann am Telekommunikationsgeheimnis zu messen, wenn eine staatliche Stelle eine Telekommunikationsbeziehung von außen überwacht, ohne selbst Kommunikationsadressat zu sein. Das Grundrecht schützt dagegen nicht davor, dass eine staatliche Stelle selbst eine Telekommunikationsbeziehung zu einem Grundrechtsträger aufnimmt.“1554
Diese Besonderheit im Schutzbereich des Telekommunikationsgeheimnisses führt dazu, dass Art. 10 I GG damit gerade keine Schutzwirkung entfalten kann, wenn die „informationstechnologischen Täuschungen“ wie hier dazu führen, dass die staatliche Stelle Adressat der Telekommunikation wird,1555 auch wenn die staatliche Stelle vorrangig an den nachfolgend ihr gegenüber preisgegebenen Inhalten der Telekommunikation interessiert ist. Freilich erfolgt die Aufnahme der Kommunikationsbeziehung hier auf einer technischen, nicht auf einer personalen Ebene. Anstelle einer Telekommunikationsbeziehung zu einem personalen Gegenüber (menschlicher Kommunikationspartner), der sich als staatliche Stelle (z.B. Verdeckter Ermittler) herausstellt, nimmt der 1550 Dazu in den verfassungsrechtlichen Vorgaben zur 1. Unterkategorie der Sekundärmaßnahme I in Abschnitt (1) auf Seite 261. 1551 So die Legaldefinition, vgl. § 110a II S. 1 StPO. 1552 Die gleiche Parallele zieht Böckenförde in einem ähnlichen Kontext, nämlich der Beschaffung von Zugangsberechtigungen für private Bereiche des Internet-Netzwerks durch Täuschung, vgl. Böckenförde, Die Ermittlungen im Netz, S. 212. 1553 BVerfGE 85, 386, Rn. 55; Jarass in: Jarass/Pieroth, GG, Art. 10, Rn. 13; Gersdorf in: BeckOK, Informations- und Medienrecht, Art. 10, Rn. 13. 1554 BVerfGE 120, 274, Rn. 290. 1555 So auch Krause direkt in Bezug auf eine durch die Behörden versendete „präparierte“ E-Mail, die einen entsprechenden Kommunikationsvorgang zu einem staatlichen Server auslöst, vgl. Krause, NStZ, 2016, S. 139 ff. (S. 140 f.) (im Zusammenhang mit dem sog. IP-Tracking).
324
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Betroffene eine Telekommunikationsbeziehung zu einem technischen Gegenüber (Access Point/Router) auf, das sich tatsächlich als ein staatliches, technisches Gegenüber erweist. Wertungsmäßig dürfte das aber in diesem Kontext gleich zu behandeln sein, wie bereits im Rahmen der Primärmaßnahme im Zusammenhang mit der Frage der Beschränkung des Schutzbereichs von Art. 10 I GG auf interpersonale Kommunikation herausgearbeitet wurde.1556 Damit können auch die „informationstechnologischen Täuschungen“ im Rahmen der Überwachung lokaler Netzwerke nicht in den Schutzbereich des Telekommunikationsgeheimnisses fallen.1557 Stattdessen käme aber das Recht auf informationelle Selbstbestimmung in Betracht. bb)
Recht auf informationelle Selbstbestimmung, Art. 2 I i.V.m. Art. 1 I GG
(1)
Staatliche Identitätstäuschungen
Da die „informationstechnologischen Täuschungen“ besagte Parallelen zu einer anderen Kategorie von heimlichen Ermittlungsmaßnahmen aufweisen, sei ein Blick auf die grundrechtliche Einordnung des Einsatzes verdeckter Ermittler geworfen. Dabei gilt zu beachten, dass grundsätzlich zwei Varianten verdeckter Ermittlungstätigkeit anerkannt sind. Der verdeckte Ermittler ist vom nicht offen ermittelndem Polizeibeamten (noeP) abzugrenzen. Während die Identitätstäuschung durch verdeckte Ermittler nach wohl einhelliger Meinung bereits zumindest den Schutzbereich des allgemeinen Persönlichkeitsrechts aus Art. 2 I i.V.m. Art. 1 I GG in seiner Ausprägung als Recht auf informationelle Selbstbestimmung verletzt,1558 greift hingegen nach verbreiteter,1559 aber nicht unwidersprochener Ansicht1560 der Einsatz eines nicht offen ermittelnden Polizeibeamten nicht in die Grundrechte des Betroffenen ein. Zu der Frage, ob sich diese Grundsätze auch auf im Online-Kontext durchgeführte „personale“ staatliche Identitätstäuschungen übertragen lassen, hat das BVerfG ebenfalls im Urteil zu NWVerfSchG Stellung genommen: 1556 Siehe Abschnitt (cc) auf Seite 196 ff. In Bezug auf diese Fragestellung gestaltet sich die Situation auch bei der zweiten Unterkategorie der Sekundärmaßnahme I ähnlich, vgl. Abschnitt (1) auf Seite 261 f. 1557 Soiné spricht – konkret für den Fall des Versendens eines Trojaners mit Hilfe einer präparierten E-Mail – der Nachricht gleich gänzlich den Kommunikationscharakter ab, da er materiell vollständig von der Manipulationsabsicht überlagert sei, und lehnt deshalb Art. 10 I GG ab, vgl. Soiné, MMR, 2015, S. 22 ff. (S. 23 f.). 1558 Murswiek/Rixen in: Sachs, Grundgesetz, Art. 2, Rn. 88b; Di Fabio in: Maunz/Dürig, Grundgesetz-Kommentar, Art. 2 Abs. 1, Rn. 176. 1559 BGH NJW 1997, 1516; Wolter/Jäger in: Wolter (Hrsg.), SK-StPO, Band II, 2016, § 110a, Rn. 13 (Fn. 51 m.w.N.); Rebmann, NJW, 1986, S. 2 ff. (S. 3). 1560 EGMR NStZ 1999, 47; Fezer, JZ, 2007, S. 665 ff. (S. 672); Wolter/Jäger in: Wolter (Hrsg.), SK-StPO, Band II, 2016, § 110a, Rn. 13 (Fn. 52 m.w.N.).
II. Sekundärmaßnahmen
325
„Ein Eingriff in das Recht auf informationelle Selbstbestimmung liegt nicht schon dann vor, wenn eine staatliche Stelle sich unter einer Legende in eine Kommunikationsbeziehung zu einem Grundrechtsträger begibt, wohl aber, wenn sie dabei ein schutzwürdiges Vertrauen des Betroffenen in die Identität und die Motivation seines Kommunikationspartners ausnutzt, um persönliche Daten zu erheben, die sie ansonsten nicht erhalten würde.“1561
Diese Ansicht begründet das Gericht damit, dass bei Kommunikationsbeziehungen über das Internet-Netzwerk „das Vertrauen eines Kommunikationsteilnehmers in die Identität und Wahrhaftigkeit seiner Kommunikationspartner [grundsätzlich] nicht schutzwürdig ist, da hierfür keinerlei Überprüfungsmechanismen bereitstehen. [...] jedem Teilnehmer [ist] bewusst, dass er die Identität seiner Partner nicht kennt oder deren Angaben über sich jedenfalls nicht überprüfen kann. Sein Vertrauen darauf, dass er nicht mit einer staatlichen Stelle kommuniziert, ist in der Folge nicht schutzwürdig“.1562
Wann hingegen ein vom Normalfall abweichendes „schutzwürdiges Vertrauen“ vorliegt, führt das BVerfG nicht weiter aus, verweist aber auf Germann, der darlegt, dass ein selbständiger Eingriff in das Recht auf informationelle Selbstbestimmung dann vorliegt, wenn mittels einer Legende gezielt ein besonderes Vertrauensverhältnis zu einer Zielperson aufgebaut wird, um ihr vertrauliche Äußerungen zu entlocken.1563 Er begründet das mit der Überlegung, dass „ein solches Vorgehen die Sphäre des üblichen sozialen Kontakts überschreitet und gezielt die Sphäre der persönlichen Vertrauensbeziehungen stört“.1564 Der Ansicht des BVerfG stellen sich Stimmen in der Literatur entgegen, die gerade in der schwächeren Möglichkeit der (personalen) Identitätsprüfung im OnlineKontext eine besondere Schutzwürdigkeit erkennen und daher im Online-Kontext grundsätzlich immer einen Eingriff in Art. 2 I i.V.m. Art. 1 I GG bejahen.1565 (2)
Übertragung auf „informationstechnologische Täuschungen“ im Rahmen der Überwachung lokaler Funknetzwerke
Fraglich ist auch an dieser Stelle, inwieweit die Vorgaben auf die „informationstechnologischen Täuschungen“ dieser Kategorie von Sekundärmaßnahmen übertragen werden können. Zunächst ist zu beachten, dass die Täuschung hier eben auf technischer Ebene erfolgt. Das bedeutet, dass der Maßnahmeadressat nicht etwa über die Eigenschaft, Identität oder Motivation einer Person getäuscht wird, 1561 1562 1563 1564 1565
BVerfGE 120, 274, Rn. 310. BVerfGE 120, 274, Rn. 311. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 495. Ebd. Vgl. Fußnote 1563. So etwa Gercke/Brunst, Praxishandbuch Internetstrafrecht, S. 317; Soiné, NStZ, 2014, S. 248 ff. (S. 249); Singelnstein, NStZ, 2012, S. 593 ff. (S. 600) (m.w.N.); Differenzierend: Ihwas, Strafverfolgung in Sozialen Netzwerken, S. 140 ff. (m.w.N.).
326
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
sondern über technische Umstände, konkret über das technische Gegenüber, mit dem er Datenpakete austauscht bzw. den genauen Weg, über den die Datenpakete transportiert werden. So tauscht er etwa nicht Datenpakete mit seinem eigenen Access Point aus, sondern mit dem Evil Twin unter Kontrolle der Strafverfolgungsbehörden, oder er sendet die Datenpakete nicht an seinen eigenen Router, sondern an einen fremden Server. Das dürfte, wie festgestellt, wertungsmäßig aber vergleichbar sein. Im Falle des Evil Twin kommt hinzu, dass die Aufnahme der Kommunikationsbeziehung nicht das Endziel der Telekommunikation ist, sondern nur die Aufnahme mit dem Mittler, denn der Access Point/Evil Twin leitet die Datenpakete schließlich weiter über das Internet-Netzwerk zum gewünschten Endziel. Wertungsmäßig dürfte das aber ebenfalls keinen Unterschied machen. Damit bleibt zu klären, ob bei einer „informationstechnologischen Täuschung“ im Rahmen der Überwachung lokaler Funknetzwerke ein „schutzwürdiges Vertrauen“ in die Identität des telekommunikativen Gegenübers ausgenutzt wird. Oder ob ein solches „schutzwürdiges Vertrauen“ nicht besteht, weil der Zielperson bewusst sein müsste, dass er die Identität des Gegenübers nicht kennen bzw. nicht überprüfen kann.1566 Bereits diese (negativen) Abgrenzungskriterien des BVerfG geben einen deutlichen Fingerzeig. Der Betroffene kann bei einer Kommunikationsbeziehung über das Internet-Netzwerk in der Tat nur schwer herausfinden, wer sein tatsächlicher Kommunikationspartner ist. Das hat verschiedene Gründe. Der Kontakt zum Kommunikationspartner erfolgt zum einen in der Regel über Mittler (und deren Server), etwa soziale Netzwerke, Foren etc. Nur diese kennen z.B. die (IP-)Adresse des Kommunikationspartners. Sollte dennoch die IP-Adresse des Kommunikationspartners bekannt sein, kann der Betroffene sie keiner realen Person zuordnen, da er nicht über die Berechtigung verfügt, von den Providern dieses Bestandsdatum (die Zuordnung der IP-Adresse zu einem Anschlussinhaber) abzufragen. Des Weiteren sagt selbst der Anschlussinhaber noch nichts darüber aus, wer das Endgerät letztendlich tatsächlich für die Kommunikation genutzt hat. Anders stellt sich jedoch die Situation beim technischen Gegenüber im lokalen Netzwerk dar. Da sich sowohl der Access Point als auch der Router in der Regel im Herrschaftsbereich des Betroffenen befinden (oft gemeinsam als Baueinheiten im sog. „DSL-Router“), kann ein technisch versierter, kontrollierender Nutzer selbst herausfinden, ob er mit seinem Access Point1567 bzw. mit dem Konfigurationsmenu seines Routers1568 verbunden ist. 1566 Zur Üblichkeit pseudonymer Kommunikation im Internet-Netzwerk: Soiné, NStZ, 2014, S. 248 ff. (S. 249). 1567 Z.B. indem er sich per Kabel mit dem Router verbindet und sich dann die verbundenen Endgeräte anzeigen lässt. 1568 Beispielsweise indem er sich anzeigen lässt, ob das Konfigurationsmenu über eine lokale IP-Adresse oder IP-Adresse aus dem Internet-Netzwerk adressiert wird.
II. Sekundärmaßnahmen
327
Greift man zusätzlich Germanns (positive) Abgrenzungskriterien auf, zeigt sich, dass die hier angeführte „informationstechnologische Täuschung“ die Sphäre eines üblichen sozialen Kontakts nicht nur überschreitet, sondern eher das Gegenteil bedeuten dürfte. Es wird das besondere Vertrauen des Betroffenen in seine ihm vertrauten, lokalen technischen Einheiten ausgenutzt, um ihn zu veranlassen, sensible Informationen bzw. sogar seinen gesamten Datenverkehr einer staatlichen Stelle anzuvertrauen. Erfährt der Betroffene nachträglich davon, dürfte die Wirkung eine ähnliche sein wie im Falle des „Verrats“ durch ein persönliches staatliches Gegenüber, zu dem der Betroffene ein besonderes Vertrauensverhältnis aufgebaut hatte. Das persönliche Vertrauensempfinden dürfte (zu Recht) so erheblich gestört sein, dass es die Annahme eines grundrechtlich-behüteten, „schutzwürdigen Vertrauens“ rechtfertigt. Auch die geforderte besondere Gefahrenlage für die Persönlichkeit des Betroffenen liegt unzweideutig vor.1569 Damit ergibt sich das eindeutige Bild, dass „informationstechnologische Täuschungen“ durch staatliche Stellen, zumindest solche im Sinne der Sekundärmaßnahme III auf Ebene des lokalen Netzwerks, die direkt mit der Preisgabe personenbezogener Daten einhergehen, anders als personale, staatliche Identitätstäuschungen im Online-Kontext, grundsätzlich immer bereits einen selbständigen Eingriff in das allgemeine Persönlichkeitsrecht aus Art. 2 I i.V.m. Art. 1 I GG in seiner Ausprägung als Recht auf informationelle Selbstbestimmung darstellen. cc)
Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, Art. 2 I i.V.m. Art. 1 I GG
Wie in den vorangegangenen Ausführungen bereits deutlich geworden sein dürfte, haben die hier relevanten „informationstechnologischen Täuschungen“ allerdings grundsätzlich zwei grundrechtswürdige Konsequenzen. Zum einen wird der Betroffene über die Identität des kommunikativen Gegenübers getäuscht. Zum anderen führt die durch Täuschung veranlasste Aufnahme einer Kommunikationsbeziehung zu einer staatlichen Stelle in diesem Kontext aber dazu, dass die Datenpakete darüber hinaus noch einen anderen Weg nehmen, als von der Zielperson und bei einem eingriffslosen Ablauf angenommen. Die Datenpakete werden vom Endgerät des Betroffenen etwa an einen fremden (staatlichen) Access Point gesendet statt an den eigenen. Darin liegt auch der zentrale Unterschied zu personalen staatlichen Online-Identitätstäuschungen (dort nehmen die Datenpakete einen erwarteten Weg; es bleibt allein bei der Identitätstäuschung). Durch diese zweite Dimension könnten freilich auch IT-Systeme in ihrer Funktionsweise beeinträchtigt sein. Daher ist auch hier das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, und in erster Linie dessen Integritätskomponente, in Augenschein zu nehmen. 1569 BVerfGE 120, 274, Rn. 309.
328
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Das BVerfG setzt bei der zweiten Schutzrichtung des GVIiS auf Ebene des Eingriffs an und umreißt den Eingriff lediglich kurz wie folgt: Ein Eingriff in dieses Grundrecht ist zudem dann anzunehmen, wenn die Integrität des geschützten informationstechnischen Systems angetastet wird, indem auf das System so zugegriffen wird, dass dessen Leistungen, Funktionen und Speicherinhalte durch Dritte genutzt werden können; dann ist die entscheidende technische Hürde für eine Ausspähung, Überwachung oder Manipulation des Systems genommen.1570
Nun könnte man meinen, das GVIiS käme hier gar nicht zum Tragen, da es, anders als etwa bei den Maßnahmen mit Auswirkungen auf IT-Endgeräte im Rahmen der Sekundärmaßnahme II,1571 bereits an einem „Zugreifen auf das System“ fehlt. Die Endgeräte des Maßnahmeadressaten selbst bleiben schließlich unversehrt in dem Sinne, dass keine Sicherheitslücken oder Schwachstellen ausgenutzt werden, um Datenverarbeitungsprozesse zu erzeugen, die von der „normalen“ Funktionsweise und dem bestimmungsgemäßen Gebrauch abweichen. Denn es handelt sich grundsätzlich um übliche Vorgänge, wenn sich das eigene Endgerät mit verschiedenen Access Points verbindet und verschiedene WLANNetzwerke nutzt. Entsprechendes gilt für den Empfang von E-Mails und das Anklicken von darin enthaltenen Links. Unüblich ist in dem Kontext nur das konkrete technische Gegenüber, weil sich das Endgerät des Betroffenen eben nicht mit dem eigenen Netzwerk (Access Point) verbindet, sondern mit dem Netzwerk unter Kontrolle der Strafverfolgungsbehörden (Evil Twin), oder etwa der Link nicht zu dem Konfigurationsmenu auf seinem Router führt, sondern zu einem Konfigurationsmenu auf einem fremden Server. Dem Betroffenen könnte also lediglich (verdeckt) die Nutzung eines anderen IT-Systems angeboten (untergeschoben) worden sein. Freilich bedarf es selbst für dieses „Angebot“ eines Kontaktes/Datenaustauschs mit dem anvisierten Endsystem, etwa durch das Senden von Frames durch den Evil-Twin oder das Verschicken einer präparierten E-Mail. Diese Interaktion ließe sich durchaus bereits vom Wortsinn her als „Zugreifen“ auf das betroffene IT-System begreifen. Bei dieser Argumentationslinie wird allerdings das anvisierte Endgerät bzw. die Netzwerkkomponente als separat betroffenes IT-System betrachtet. Folgt man jedoch den Ausführungen des BVerfG, muss auf jeden Fall das gesamte lokale Funknetzwerk und wohl auch das gesamte Internet-Netzwerk als ein einheitliches IT-System betrachtet werden.1572 Damit ergibt sich sofort ein deutlicheres Bild. Durch die Umleitung des mit dem Internet-Netzwerk ausgetauschten Datenverkehrs über den Evil Twin oder umgekehrt durch die Umleitung des eigentlich lokalen Abrufs des Konfigurationsmenus in das Internet-Netzwerk wird in direktem Wortsinn auf den Datenverkehr des lokalen Funknetzwerks zugegriffen und dessen 1570 BVerfGE 120, 274, Rn. 204. 1571 Dort ist das Vorliegen eines „Zugriffs“ offensichtlicher, vgl. Abschnitt (a) auf Seite 308. 1572 Zur Begründung ausführlich: Abschnitt aa) auf Seite 203.
II. Sekundärmaßnahmen
329
Funktionsweise ganz erheblich beeinträchtigt (mit dem Ergebnis, dass auf das System so zugegriffen wird, dass dessen Leistungen etc. durch Dritte genutzt werden können). Wie im Rahmen der dritten Unterkategorie der Sekundärmaßnahmen II bereits ausgeführt,1573 ist auch der Integritätsbegriff zudem mit Hilfe der Erwartung des Betroffenen normativ im Sinne eines Integritätsinteresses zu bestimmen. Eine Verletzung der Integrität liegt demzufolge bereits dann vor, wenn die Behörden auf eine Weise das System beeinflussen, die eigentlich dem Nutzer vorbehalten ist, und ihm damit einen fremden Willen aufzwingen.1574 Integrität bedeutet daher in diesem Kontext das „Funktionieren eines IT-Systems im Interesse des Grundrechtsträgers“1575. Und genau ein derartiges Funktionieren des IT-Systems „lokales Funknetzwerk“ im Interesse des betroffenen Grundrechtsträgers ist durch das Umleiten des Netzwerkverkehrs gerade nicht mehr gegeben, vielmehr arbeitet es im Interesse der Strafverfolgungsbehörden zum Nachteil des Grundrechtsträgers, so dass nach diesem Verständnis die Schutzbereichsverletzung noch eindeutiger zu Tage tritt. Ein staatliches Vorgehen mit Hilfe „informationstechnologischer Täuschungen“ im Sinne der Sekundärmaßnahme III stellt damit einen selbständigen Eingriff dar, der auch bereits den Schutzbereich des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme verletzt. dd)
Konkurrenzverhältnis von GVIiS und Recht auf informationelle Selbstbestimmung
Die Ausführungen zeigen, dass es selbst im Bereich des Integritätsschutzes zu Überschneidungen von GVIiS und dem Recht auf informationelle Selbstbestimmung kommen kann. Daher muss abschließend noch die Frage des Konkurrenzverhältnisses der beiden Grundrechte geklärt werden. In ersten Einschätzungen wurden die Erläuterungen des ersten Senats des BVerfG im Urteil zum NWVerfSchG zur Herleitung des GVIiS, in denen das Gericht explizit eine Schutzlücke annimmt,1576 zumeist dahingehend verstanden, das Konkurrenzverhältnis im Sinne einer generellen Subsidiarität des GVIiS, auch im Verhältnis zum Recht auf informationelle Selbstbestimmung, zu beantworten.1577 1573 1574 1575 1576 1577
Vgl. Abschnitt (a) auf Seite 308. Hauser, Das IT-Grundrecht, S. 118. Hauser, Das IT-Grundrecht, S. 119. BVerfGE 120, 274, Rn. 196 ff., auch Rn. 167. Beispielsweise: Britz, DÖV, 2008, S. 411 ff. (S. 414); Lepsius in: Roggan, OnlineDurchsuchungen: Rechtliche und tatsächliche Konsequenzen des BVerfG-Urteils vom 27. Februar 2008, Das Computer-Grundrecht: Herleitung – Funktion – Überzeugungskraft, S. 28 ff. Für weitere Nachweise siehe: Hauser, Das IT-Grundrecht, S. 197, Fn. 359.
330
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Es unterläge damit einer doppelten Subsidiarität.1578 Diese Linie hat nun scheinbar auch das BVerfG selbst, zumindest der zweite Senat, in einem die ursprüngliche Formulierung aufgreifenden Nichtannahmebeschluss bestätigt: Dieses [das GVIiS] schützt vor Eingriffen in informationstechnische Systeme nur, soweit der Schutz nicht durch andere Grundrechte, insbesondere Art. 10 oder Art. 13 GG, sowie das Recht auf informationelle Selbstbestimmung gewährleistet ist.1579
Allerdings beziehen sich die (auch vom zweiten Senat zitierten) Erläuterungen des ersten Senats des BVerfG zunächst einmal nur auf die Herleitung der Schutzlücke, nicht aber direkt auf das Konkurrenzverhältnis. Zudem lässt die Formulierung des zweiten Senats eine zentrale Formulierung des ersten Senats aus. Danach kommt das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme insbesondere dann zum Tragen, wenn die anderen Grundrechte keinen hinreichenden Schutz vor Persönlichkeitsgefährdungen gewähren.1580 In nachfolgenden ausführlichen Untersuchungen wird, insbesondere dann, wenn hauptsächlich die gegenständliche Anknüpfung des GVIiS, also die Integritätskomponente betroffen ist, ausnahmslos das GVIiS für das speziellere Grundrecht gehalten, welches demzufolge das Recht auf informationelle Selbstbestimmung verdrängt.1581 Die Abgrenzung wird demnach anhand der Art des Eingriffs (der Persönlichkeitsgefährdung) vorgenommen. Erfolgt er über einen „Zugriff“ auf ein informationstechnisches System, ist allein das GVIiS betroffen; erfolgt er durch die Verarbeitung von anderweitig erhobenen Daten, ist allein das Recht auf informationelle Selbstbestimmung einschlägig.1582 Ansonsten würde in tatsächlichen Anwendungsfällen der Anwendungsbereich des GVIiS durch das Recht auf informationelle Selbstbestimmung ganz erheblich beschnitten und die Frage aufwerfen, warum sich das Gericht dann die Mühe gemacht haben sollte, ein entsprechendes eigenständiges Grundrecht herzuleiten.1583 1578 Es wäre damit sowohl zum geschriebenen Grundrecht in Art. 10 I GG als auch zum Recht auf informationelle Selbstbestimmung subsidiär. 1579 BVerfGE 124, 43, Abs. 51. 1580 Vgl. BVerfGE 120, 274, Rn. 201 1581 Jeweils mit ausführlicher Begründung: Hauser, Das IT-Grundrecht, S. 198; Herrmann, Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, S. 112 f., S. 128 f.; Drallé, Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, S. 149 ff.; Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, S. 147. So auch bereits Hoffmann-Riem, JZ, 2008, S. 1009 ff. (S. 1019). 1582 Vgl. Herrmann, Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, S. 128. 1583 Das gilt selbst dann noch, wenn man davon ausgeht, dass das BVerfG im Urteil zum NWVerfSchG den Schutzbereich des Rechts auf informationelle Selbstbestimmung
II. Sekundärmaßnahmen
331
Die Spezialität des GVIiS lässt sich vor allem auch damit erklären, dass das hier beschriebene Vorgehen mit besonderen, zusätzlichen Gefahren für den Grundrechtsträger zusammenfällt – im Vergleich zu bloßen „normalen“ Erhebungen personenbezogener Daten, die nicht mit Zugriffen oder Interaktionen mit dem IT-System des Grundrechtsträgers einhergehen. So besteht neben der Gefahr des Datenverlustes oder der Störung der Funktionsweise des anvisierten Systems durch einen unbeabsichtigten Fehler bei der staatlichen Durchführung der Maßnahme insbesondere auch die Gefahr des „Datendiebstahls“ durch Dritte. Denn durch die Umleitung wird für den Maßnahmeadressaten eine neue Gefahrenquelle eröffnet. So könnten Dritte etwa den Evil Twin bzw. den Datenaustausch mit dem Evil-Twin oder den staatlichen Server bzw. den Datenaustausch mit dem Server angreifen.1584 Derartige zusätzliche Gefahren ließen sich kaum „hinreichend“ über das Schutzniveau des Rechts auf informationelle Selbstbestimmung einfangen. ee)
Schlussfolgerung
Damit kann festgehalten werden, dass staatliche Identitätstäuschungen, die sich als „informationstechnologische Täuschungen“ darstellen, am Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme zu messen sind, wenn diese Täuschungen die Funktionsweise von IT-Systemen (abweichend vom Interesse des Grundrechtsträgers) in der Art ändern,1585 dass der Betroffene eine Kommunikationsbeziehung zu einer staatlichen Stelle etabliert.1586 Art 10 I GG kann dann nicht greifen; auch wenn die Maßnahme direkt mit der Preisgabe personenbezogener Daten einhergeht, wird das Recht auf informationelle Selbstbestimmung auf dem Wege der Spezialität verdrängt (insofern kommt es zu einem Gleichklang mit dem Konkurrenzverhältnis zwischen Telekommunikationsgeheimnis und Recht auf informationelle Selbstbestimmung). Im Ergebnis entfaltet die Täuschung selbst, aufgrund der Verdrängungsregel, auf verfassungsrechtlicher Ebene gar keine Wirkung. Das GVIiS ist somit alleiniger grundrechtlicher Prüfungsmaßstab für die Sekundärmaßnahmen der dritten Kategorie.1587
1584
1585 1586 1587
durch eine Beschränkung auf einzelne Datenerhebungen bewusst deutlich verkürzt hat, vgl. dazu Britz, DÖV, 2008, S. 411 ff. (S. 413). Dass diese Gefährdungen real sind, hat bereits der leichtfertige Umgang des Landeskriminalamtes Bayern mit den persönlichen Daten des Betroffenen im Falle des „Bayerntrojaners“ gezeigt. Die vom „Bayerntrojaner“ angefertigten Screenshots wurden nur äußerst schwach verschlüsselt vom „infizierten“ Endgerät zunächst an einen Server in den USA (207.158.22.134) und von dort erst an das Landeskriminalamt Bayern übermittelt, vgl. CCC, Analyse einer Regierungs-Malware, S. 3 ff., https://www.ccc.de/system/uploads/76/original/staatstrojaner-report23.pdf (Stand: Dezember 2017). Darin liegt der maßgebliche Unterschied zu den Sekundärmaßnahmen I. Darin liegt der maßgebliche Unterschied zu den Sekundärmaßnahmen II. In Bezug auf den (nicht einschlägigen) Art. 13 I GG sei auf Abschnitt aa) auf Seite 285 am Ende verwiesen.
332
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
Auch dieser Befund zeigt einmal mehr die Schwierigkeiten und die nicht auf den ersten Blick plausiblen Ergebnisse auf, die entstehen, wenn moderne technologische Vorgänge auf „analoges“ Recht treffen. Ein im Ergebnis auf technischer Ebene sehr ähnlicher Vorgang (Umleiten des WLAN-Datenverkehrs) führt nur durch ein „Klicken“ (eine Mitwirkungshandlung) des Betroffenen und dadurch veränderte Kommunikationsbeziehungen zu einer gänzlich anderen verfassungsrechtlichen Bewertung mit weitreichenden (strafprozessualen) Folgen. Fehlt nämlich die Mitwirkungshandlung und erfolgt die Umleitung rein technisch im Hintergrund auf Ebene der Netzwerkinfrastruktur, fehlt es an der Aufnahme einer Kommunikationsbeziehung durch den Betroffenen mit einer staatlichen Stelle,1588 und der Schutz durch Art. 10 I GG kann greifen (der wiederum den Schutz durch das GVIiS verdrängt). Erfolgt die Umleitung des Datenverkehrs zu einer staatlichen Stelle jedoch aktiv aufgrund einer Handlung durch den Betroffenen (infolge der Täuschung),1589 kann Art. 10 I GG plötzlich keinen Schutz entfalten, da das Vertrauen in die Identität des kommunikativen Gegenübers gerade nicht geschützt wird. Das stattdessen einschlägige Recht auf informationelle Selbstbestimmung vermag jedoch, anders als Art. 10 I GG, das auch hier ebenfalls einschlägige GVIiS nicht zu verdrängen, welches damit zum Tragen kommt. Das Ergebnis kann man gutheißen, weil man in der Variante mit Mitwirkungshandlung den intensiveren Eingriff (Eingriff in IT-System und zusätzliche durch Täuschung veranlasste Handlung) erblickt. Allerdings ließe sich auch in der Variante ohne Mitwirkungshandlung der intensivere Eingriff sehen, weil diese Maßnahme vom Betroffenen noch schwerer zu erkennen ist; das Vorgehen ist verdeckter. Schlösse man sich dieser Sichtweise an, wäre das Ergebnis insofern unschön, da der intensivere Eingriff den geringeren Schutz genießen würde. Die Ursache von alldem ist freilich in dem speziellen (subsidiären) Verhältnis von GVIiS und Telekommunikationsgeheimnis beheimatet. c)
Strafprozessuale Zulässigkeit
Nachdem sich gezeigt hat, dass „informationstechnologische Täuschungen“ im Rahmen der Überwachung lokaler Funknetzwerke einen selbständigen Eingriff in das GVIiS bedeuten, kann nun überlegt werden, welche Ermächtigungsgrundlage in der Strafprozessordnung einen solchen Eingriff rechtfertigen könnte. Die ursprünglich ins Visier genommenen Vorschriften1590 für verdeckte Ermittler (§§ 110a ff. StPO) und nicht offen ermittelnde Polizeibeamte (§§ 161, 163 StPO) scheiden damit von vornherein aus. Da derzeit lediglich § 100b StPO einen solchen 1588 Womit die Maßnahme der 2. Unterkategorie der Sekundärmaßnahme II zuzuordnen wäre. 1589 Womit die Maßnahme der Sekundärmaßnahme III zuzuordnen wäre. 1590 So im Rahmen der Einleitung, vgl. Abschnitt b) auf Seite 166 ff.
II. Sekundärmaßnahmen
333
Eingriff zu rechtfertigen vermag,1591 reduziert sich die Riege der potentiellen Ermächtigungsgrundlagen für „Informationstechnologische Täuschungen“ auf diese Norm. aa)
Anwendbarkeit von § 100b I StPO?
Der genaue Wortlaut von § 100b I StPO sei auch an dieser Stelle erneut angeführt: „Auch ohne Wissen des Betroffenen darf mit technischen Mitteln in ein von dem Betroffenen genutztes informationstechnisches System eingegriffen und dürfen Daten daraus erhoben werden (Online-Durchsuchung) [...]“.
Wie bereits ausgeführt, stellt § 100b I StPO eine eigene Ermittlungsmaßnahme mit eigenen Anordnungsvoraussetzungen dar.1592 Die einzelnen Merkmale und Anordnungsvoraussetzungen der Norm werden hier erneut kurz erläutert, um jeweils daran anschließend zu untersuchen, ob sich die „informationstechnologischen Täuschungen“ im Rahmen der Überwachung lokaler Funknetzwerke unter das jeweilige Merkmal subsumieren lassen. (1)
„Eingreifen in ein informationstechnisches System“
§ 100 b I StPO gestattet, dass in IT-Systeme „eingegriffen“ wird. Ein solches Eingreifen ist nicht bei jedweder Form des Zugriffs auf Daten eines informationstechnischen Systems gegeben, sondern (nur) dann, wenn dabei derart in ein IT-System eingedrungen wird, dass dadurch die Daten des betreffenden ITSystems verändert werden. Ein rein passives zusätzliches Empfangen der von einem IT-System ausgesendeten Daten genügt hingegen zum Beispiel nicht.1593 Um zu evaluieren, ob die „informationstechnologischen Täuschungen“ dieses Merkmal erfüllen, soll zunächst kurz rekapituliert werden, was dabei auf technischer Ebene genau passiert.1594 Im Falle des Einsatzes eines sogenannten Evil-Twins werden u.a. zunächst sog. Beacon-Frames an den WLAN-Adapter des Betroffenen gesendet, den dieser verarbeitet. Dem Betroffenen wird entsprechend der Evil-Twin in der Liste der anwählbaren Access-Points angezeigt.1595 Kommt die Verbindung mit dem Evil Twin daraufhin zustande, wird der vollständige Datenstrom vom Access Point des Betroffenen an den Evil Twin umgeleitet. Vergegenwärtigt man 1591 Siehe dazu bereits in Abschnitt (c) auf Seite 299. Wie bereits erwähnt wird hier bewusst darauf verzichtet, Aussagen zur Verfassungsmäßigkeit von strafprozessualen Norm zu treffen, vgl. oben in Fußnote 1166 auf Seite 244. 1592 Allgemein zu § 100b I StPO bereits in Abschnitt (4) auf Seite 296 sowie in Abschnitt h) auf Seite 250. 1593 Dazu bereits in Abschnitt aa) auf Seite 245 ff. 1594 Näheres mit Verweisen in den informationstechnologischen Teil in Abschnitt b) auf Seite 321. 1595 Allein durch diesen Vorgang könnten bereits (auch nicht telekommunikative) Daten auf dem System des Betroffenen verändert worden sein.
334
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
sich nun, dass es sich bei dem lokalen Funknetzwerk insgesamt um das informationstechnische System handelt, wird deutlich, dass ein „Eingreifen“ kaum massiver ausfallen können wird. Aber auch beim Social-Engineering-Ansatz1596 ergibt sich ein ähnliches Bild. In dem Moment, in dem der Betroffene etwa einen Link in einer manipulierten E-Mail anklickt, etabliert er dadurch eine Kommunikationsbeziehung zu einem fremden, von ihm gar nicht anvisierten Server. Der so initiierte Austausch von Daten mit seinem Endgerät über das Internet-Netzwerk oder gar das Herunterladen und Installieren von Schadsoftware erfüllt das Merkmal „Eingreifen in ein informationstechnisches System“ erkennbar. (2)
„Erheben von Daten aus dem informationstechnischen System“
§ 100b I StPO gestattet nicht nur das „Eingreifen“, sondern zusätzlich („und“) auch das „Erheben von Daten aus dem informationstechnischen System“. Diese Befugnis möchte der Gesetzgeber sowohl in Bezug auf das Eingriffsobjekt als auch in Bezug auf die Eingriffshandlung sehr weit verstanden wissen.1597 „Daten“ meint sowohl in inhaltlicher Hinsicht sämtliche Daten eines IT-Systems als auch in zeitlicher Hinsicht sämtliche Daten eines IT-Systems.1598 „Erheben“ umfasst sämtliche Formen des technischen Erfassens derjenigen Daten eines IT-Systems, die von dem betreffenden IT-System selbst erzeugt werden. In der Evil-Twin-Konstellation kann ein Erheben bereits in dem Austausch der Handshake-Frames von Evil Twin und betroffenem WLAN-Adapter und in der Etablierung einer Verbindung zwischen beiden erblickt werden. Bei SocialEngineering-Ansatz wird das Vorliegen des „Erhebens von Daten“ noch offensichtlicher, wenn der Betroffene etwa seine WLAN-Passphrase ungewollt an die staatlichen Behörden übermittelt. Denkbar wäre es aber wohl auch hier, das nachfolgende passive Mitschneiden und Speichern des Datenverkehrs am WLAN-Adapter (die Primärmaßnahme) als „Erheben von Daten“ zu betrachten. Damit müsste aber ein solcherart abgehörtes WLAN insgesamt auf § 100b I StPO gestützt werden und nicht nur die Durchführung der Sekundärmaßnahme III. (3)
Weitere Merkmale
§ 100b I StPO gestattet ein Vorgehen „auch ohne Wissen des Betroffenen“, also ein verdecktes bzw. heimliches Vorgehen.1599 Der Betroffene muss damit weder vor 1596 Erläuterungen zur Methode mit Verweisen in den informationstechnologischen Teil finden sich in Abschnitt b) auf Seite 321. 1597 Ausführlich in Abschnitt (b) auf Seite 298. 1598 Vgl. auch BT-Drucks. 18/12785, S. 54, abrufbar unter: http://dipbt.bundestag.de/ dip21/btd/18/127/1812785.pdf (Stand: Dezember 2017). 1599 Vgl. BT-Drucks. 18/12785, S. 46 und 54, abrufbar unter: http://dipbt.bundestag.de/ dip21/btd/18/127/1812785.pdf (Stand: Dezember 2017).
II. Sekundärmaßnahmen
335
noch während der Durchführung der Maßnahme unterrichtet werden.1600 Ebenfalls erfüllt sind die mit § 100a I S. 2 StPO identischen Merkmale „mit technischen Mitteln“ und „von dem Betroffenen genutztes“ (IT-System).1601
(4)
Sonstige Anordnungsvoraussetzungen von § 100b StPO
Rechtmäßig zulässig ist die „Online-Durchsuchung“ im Unterschied zur Telekommunikationsüberwachung erst bei dem Verdacht einer besonders schweren Katalogstraftat im Sinne des § 100b II StPO, vgl. § 100b I Nr. 1 StPO.1602 Der Straftatenkatalog entspricht dem für die Wohnraumüberwachung geltenden Katalog in § 100c II StPO. Zudem muss die Tat auch im Einzelfall schwer wiegen, § 100b I Nr. 2 StPO, und die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes des Beschuldigten muss auf andere Weise wesentlich erschwert oder aussichtslos sein, § 100b I Nr. 3 StPO. Auch im Übrigen muss der Verhältnismäßigkeitsgrundsatz gewahrt werden. Die auch hier geringere Eingriffsintensität der Maßnahme im Vergleich zu einer klassischen Online-Durchsuchung (kein Zugriff auf gespeicherte Daten) dürfte sich vor allem an dieser Stelle auswirken. Die Regelungen zum Schutz des Kernbereichs der privaten Lebensgestaltung und zum Schutz zeugnisverweigerungsberechtigter Personen findet sich nunmehr separat in § 100d StPO. Der Richtervorbehalt und weitere formelle Voraussetzungen finden sich in § 100e StPO. Die Maßnahme richtet sich grundsätzlich nur gegen den Betroffenen, der in § 100b III StPO als Beschuldigter präzisiert wird. § 100b III StPO ist § 100c III StPO nachgebildet.1603 Die Maßnahme darf demnach ausdrücklich auch durchgeführt werden, wenn andere Personen von der Maßnahme betroffen sind, weil sie etwa den gleichen Access Point wie der Betroffene nutzen, vgl. § 100b III S. 3 StPO. Ebenfalls ausdrücklich erlaubt ist ein Vorgehen gegen ein von einem unbeteiligten Dritten betriebenes lokales Netzwerk (=IT-System), wenn aufgrund von bestimmten Tatsachen anzunehmen ist, dass der Beschuldigte das betreffende WLAN mitbenutzt, § 100b III S. 2 Nr. 1 StPO, und zudem anzunehmen ist, dass ein Vorgehen gegen das IT-System des Beschuldigten allein nicht zum Erfolg führen wird, § 100b III S. 2 Nr. 2 StPO. Eine derartige einschränkende Subsidiaritätsregelung sieht die Telekommunikationsüberwachung im Übrigen 1600 Siehe Abschnitt cc) auf Seite 240. 1601 Siehe dort in Abschnitt (c) auf Seite 293, sowie in Abschnitt (d) auf Seite 294. 1602 Ob dieser Straftatenkatalog die besonders hohen Anforderungen des BVerfG an Eingriffe in das GVIiS erreicht, wird das BVerfG mit Sicherheit in nicht allzu ferner Zukunft noch zu entscheiden haben. Bereits ablehnend: Singelnstein/Derin, NJW, 2017, S. 2646 ff. (S. 2647). 1603 Vgl. BT-Drucks. 18/12785, S. 55, abrufbar unter: http://dipbt.bundestag.de/dip21/btd/ 18/127/1812785.pdf (Stand: Dezember 2017).
336
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
nicht vor. In Bezug auf die besonderen technischen Voraussetzungen verweist § 100b IV StPO auf § 100a V und VI StPO.1604 Da sich im Bezug auf diese Anordnungsvoraussetzungen keine Besonderheiten im Vergleich zu § 100a StPO und § 100c StPO ergeben und sie zudem bereits in zahlreichen anderen Veröffentlichungen beleuchtet wurden, wird auch an dieser Stelle auf eine eingehendere Erläuterung verzichtet.1605 d)
Zusammenfassung: Sekundärmaßnahmen III: „Informationstechnologische Täuschungen“ im Rahmen der Überwachung lokaler Funknetzwerke
„Informationstechnologische Täuschungen“ im Rahmen der Überwachung lokaler Funknetzwerke weisen aus rechtlicher Sicht nochmals einen anderen Charakter auf als die übrigen Sekundärmaßnahmen. Die Besonderheit liegt darin, dass durch die Täuschung (auf technischer Ebene) in Bezug auf das telekommunikative Gegenüber und die so aktiv erfolgte, wenn auch unbeabsichtigte Aufnahme einer Kommunikationsbeziehung zu einer staatlichen Stelle als Kommunikationspartner das Telekommunikationsgeheimnis keinen Schutz gewähren kann. Vielmehr verdrängt hier das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme das ebenfalls einschlägige Recht auf informationelle Selbstbestimmung auf dem Wege der Spezialität. Das hat letztlich zur Folge, dass Sekundärmaßnahmen der Kategorie III ausschließlich auf § 100b I StPO gestützt werden können und entsprechend hohen Hürden ausgesetzt sind. 4.
Zusammenfassung: Sekundärmaßnahmen
Die Ausführungen zu den Sekundärmaßnahmen haben nochmals verdeutlicht, wie technisch komplex eine praktisch durchgeführte WLAN-Überwachungsmaßnahme in der Regel ist und aus wie vielen einzelnen Teilmaßnahmen sie sich zusammensetzen kann. Diese Komplexität spiegelt sich auch in der rechtlichen Einordnung, sowohl in verfassungsrechtlicher als auch in strafprozessualer Hinsicht, und macht die Einordnung schwierig, multidimensional und umfangreich. Für die Sekundärmaßnahme I (Maßnahmen ohne Überwindung von Sicherheitsvorkehrungen) lässt sich festhalten, dass solche Maßnahmen dieser Kategorie, die keine Sicherheitsvorkehrungen von lokalen Netzwerken überwinden und gleichzeitig auf dem technisch dafür vorgesehen Weg erfolgen, insbesondere wenn die staatliche Stelle zudem als „Gegenüber des Datenaustauschs“ auftritt, nicht selbständig in Grundrechte des Betroffenen eingreifen, wenn dabei (nur) Daten betroffen sind, die keinen Bezug zu konkreten inhaltlichen Kommunikationsvorgängen im Netzwerk aufweisen und in ihrer Qualität und/oder Menge keine besondere Gefährdungslage für die Persönlichkeit des Betroffenen ergeben. 1604 Siehe Abschnitt (f) auf Seite 295. 1605 Siehe für weitere Nachweise: Abschnitt ee) auf Seite 242.
II. Sekundärmaßnahmen
337
Damit bedarf es auch keiner strafprozessualen Rechtfertigungsnorm für diese Maßnahmen. Sie sind ohne Weiteres zulässig. Beispiele für solche Maßnahmen sind z.B. das Lokalisieren und Zuordnen eines WLAN oder die Ermittlung der MAC-Adresse des Access Points mittels passiver Scanner. Gleiches gilt auch, wenn für diesen Zweck staatliche Stellen elektromagnetische Wellen in einen von Art. 13 I GG geschützten Raum senden, soweit dies ebenfalls auf dem technisch dafür vorgesehenen Weg erfolgt und sich das betroffene IT-System dafür geöffnet hat – etwa bei Verwendung eines aktiven Scanners oder dem Einloggen in ein offenes WLAN. Wird in einem lokalen Funknetzwerk der Datenaustausch zwischen Dritten (etwa zwischen dem Access Point und einem assoziierten Endgerät) zwar ohne Überwindung von Sicherheitsvorkehrungen, aber nicht auf dem technisch dafür vorgesehen Weg wahrgenommen, so ist lediglich das Grundrecht auf informationelle Selbstbestimmung betroffen, solange es sich um eine rein „technische Kommunikation“ (Maschine-zu-Maschine-Kommunikation) handelt. Eine solche Maßnahme, wie zum Beispiel bei der Ermittlung der MAC-Adressen der assoziierten Endgeräte oder der MAC-Adresse des Access Points in einem „Hidden Network“, kann auf die Ermittlungsgeneralklausel in §§ 161, 163 StPO gestützt werden. Für die Sekundärmaßnahmen II (Maßnahmen zur Überwindung von Sicherheitsvorkehrungen der betroffenen IT-Infrastruktur) lässt sich konstatieren, dass schon dem alleinigen, isolierten Überwinden der Sicherheitsvorkehrung selbst (durch das Dechiffrieren mit Hilfe eines anderweitig erlangten kryptographischen Schlüssels oder auf dem Wege einer reinen Kryptanalyse) ein selbständiger Eingriffscharakter zukommt. Als zeitlich leicht vorgelagerter Schritt vor der eigentlichen inhaltlichen Wahrnehmung und diese erst ermöglichend, stellt ein entsprechendes Vorgehen bereits einen eigenständigen Eingriff in Art. 10 I GG dar. Ein derartiger Grundrechtseingriff durch die Behörden lässt sich (nur) als Annexkompetenz zu § 100a I S. 1 StPO rechtfertigen. Werden die Sicherheitsvorkehrungen durch Eingriffe in den Datenverkehr einer Netzwerkinfrastruktur überwunden, gewährt ebenfalls, aufgrund der besonderen Eigenart der Maßnahme, allein das Telekommunikationsgeheimnis in Art. 10 I GG Schutz. Zwar scheidet eine Rechtfertigung über § 100a I S. 1 StPO ebenso wie über § 100a I S. 3 StPO aus, allerdings lässt sich ein solches Vorgehen auf § 100a I S. 2 StPO stützen. Eine Anwendung von § 100b I StPO scheidet deswegen aus, weil § 100a I S. 2 StPO und § 100b I StPO in einem Ausschließlichkeitsverhältnis zueinander stehen, so dass § 100b I StPO hier nicht zum Zuge kommen kann. Haben die Maßnahmen zur Überwindung von Sicherheitsvorkehrungen zudem Auswirkungen auf IT-Endgeräte des Betroffenen, stellen sie immer einen Eingriff in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme dar, der nicht von Art. 10 I GG verdrängt werden kann; es sei denn, es sind tatsächlich nur Daten ausschließlich mit Bezug zu einer laufenden Telekommunikation betroffen, was in der Praxis Seltenheitswert haben dürfte. Die Ursache liegt vornehmlich darin
338
J.
Analyse der einzelnen Kategorien von Ermittlungsmaßnahmen
begründet, dass Art. 10 I GG den entstehenden Gefahren nicht begegnen kann, wenn von einer Maßnahme Daten eines IT-Systems betroffen sind, die keinerlei Bezug zu einer laufenden Telekommunikation aufweisen. Da sowohl § 100a I S. 1 StPO als auch §§ 100a I S. 2 und S. 3 StPO keine Eingriffe in das GVIiS zu rechtfertigen vermögen, scheidet ihre Anwendung hier aus. Aber auch auf einer rein strafprozessualen Ebene wären die Normen auf die Maßnahmen mit Auswirkungen auf IT-Endgeräte nicht anwendbar; das gilt insbesondere für einen korrekt verfassungskonform ausgelegten § 100a I S. 2 StPO. Allerdings lässt sich diese (Teil-)Maßnahme auf § 100b I StPO stützen. Möglich wäre aber auch, dass eine Abhörmaßnahme (Primärmaßnahme), die mit einer solcher Teilmaßnahme einhergeht, insgesamt auf § 100b I StPO gestützt wird. Für die Sekundärmaßnahmen III („Informationstechnologische Täuschungen“ im Rahmen der Überwachung lokaler Funknetzwerke) lässt sich registrieren, dass sie auch aus rechtlicher Sicht nochmals einen anderen Charakter aufweisen als die übrigen Sekundärmaßnahmen. Die Besonderheit liegt darin, dass durch die Täuschung (auf technischer Ebene) in Bezug auf das telekommunikative Gegenüber und die so aktiv erfolgte, wenn auch unbeabsichtigte Etablierung einer Kommunikationsbeziehung zu einer staatlichen Stelle als Kommunikationspartner das Telekommunikationsgeheimnis keinen Schutz gewähren kann. Vielmehr verdrängt hier das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme das ebenfalls einschlägige Recht auf informationelle Selbstbestimmung auf dem Wege der Spezialität. Das hat letztlich zur Folge, dass Sekundärmaßnahmen der Kategorie III ausschließlich auf § 100b I StPO gestützt werden können und entsprechend hohen Hürden ausgesetzt sind.
Vierter Teil Ergebnisse und Zusammenfassung K.
Kernaussagen des Buches
Der sich anschließenden ausführlichen Darstellung der Ergebnisse und Zusammenfassungen sollen vier zentrale Befunde dieser Arbeit vorangestellt werden: 1. Die Feststellung, dass sich mittels der Überwachung lokaler Funknetzwerke auch eine Überwachung auf dem Übertragungsweg realisieren lässt, die in bestimmten Maße auch mit dem „Problem“ der Verschlüsselung umgehen kann1606 und deren Erfolgsaussichten nicht unwesentlich geringer sind als die Erfolgsaussichten des Einsatzes eines „Staatstrojaners“, hat Auswirkungen auf die Beurteilung der Verhältnismäßigkeit von QuellenTelekommunikationsüberwachung und Online-Durchsuchung. 2. Die in diversen Bundestagsdrucksachen dokumentierten Durchführungen der Maßnahme des „WLAN-Catchings“ durch staatliche Behörden vor dem 24.08.2017 waren dann strafprozessual nicht zulässig, wenn sie zum Zwecke der Strafverfolgung erfolgten und mit Eingriffen in den Datenverkehr einer Netzwerkinfrastruktur und/oder mit Auswirkungen auf IT-Endgeräte einhergingen. 3. Die mit Wirkung vom 24.08.2017 neu eingeführte Eingriffsbefugnis des § 100a I S. 2 StPO bedarf der verfassungskonformen Auslegung in dem Sinne, dass von der Maßnahme, sowohl in Bezug auf das Überwachungs-, aber auch 1606 Diese Aussage wird zunächst konkret nur für den Untersuchungsgegenstand dieser Arbeit, also für die Verschlüsselung im Bereich lokaler Funknetzwerke und für das verschlüsselte World Wide Web (HTTPs) getroffen. Exploitierbare Sicherheitslücken dürfte es aber in allen Einsatzbereichen von Verschlüsselung geben. Die Frage, ob das Ausnutzen von Sicherheitslücken durch staatliche Stellen generell erstrebenswert ist und nicht mit anderen staatlichen Zielstellungen in Konflikt steht, ist eine gänzlich andere. An dieser Stelle geht es ausschließlich darum, dass die Überwachung lokaler Funknetzwerke ein Minus zur Installation eines „Staatstrojaners“ auf einem Endgerät darstellt, welches in der Regel ebenfalls das Ausnutzen von Sicherheitslücken voraussetzt.
340
K.
Kernaussagen des Buches
in Bezug auf das Eingriffsobjekt der Maßnahme (gesamter Gegenstand der Maßnahme), ausschließlich flüchtige Telekommunikationsdaten betroffen sein dürfen. 4. Für die Maßnahme der staatlichen informationstechnologischen Täuschungen, welche die Funktionsweise von IT-Systemen (abweichend vom Interesse des Grundrechtsträgers) in der Art ändert, dass der Betroffene dabei eine Kommunikationsbeziehung zu einer staatlichen Stelle etabliert (wie es etwa beim Spear Phishing, dem gezielten Unterschieben von Schadsoftware über getarnte E-Mails – einem der wichtigsten Installationswege für den „Staatstrojaner“ – der Fall ist), kommt wegen der besonderen Eigenart der Maßnahme eine Rechtfertigung ausschließlich über § 100b I StPO in Betracht.
L.
Ergebnisse der informationstechnologischen Analyse
Ziel der informationstechnologischen Analyse in dieser Dissertation war die Untersuchung von Möglichkeiten („ob“) und die Beschreibung von Methoden („wie“) zur Überwachung text-basierter Kommunikationsanwendungen über das InternetNetzwerk. Dafür wurde eine besondere Methode angewandt. Konkrete Methoden und Maßnahmen wurden nicht nur theoretisch beschrieben, sondern auch wirklich unter Realbedingungen untersucht und getestet. Bedingung dabei sollte sein, dass sich eine Überwachungsmaßnahme eigenständig, ohne die Notwendigkeit des Mitwirkens von Internetdienstleistungsanbietern oder fremden staatlichen Behörden realisieren lässt. Als Ansatzpunkt wurde die lokale Small-Office/Home-OfficeNetzwerkumgebung gewählt. In die Analyse einbezogen wurden ausschließlich solche Methoden, die keinen Schadcode auf das informationstechnische Endgerät einer Zielperson schreiben (Trojaner oder Exploit-Kits waren deswegen gerade kein Untersuchungsgegenstand). Es sollte gezeigt werden, wie Überwachung auf dieser Ebene „von außen“ funktionieren kann, ohne den Zielcomputer, -laptop, -smartphone o.ä. zu infiltrieren, und welcher Mittel sich ein derartiger Ansatz bedienen muss. Nach einer Überprüfung und Analyse der Mittel wurde evaluiert, welche Erfolgsaussichten sich ergäben. Anvisiert werden mit einem derartigen Ansatz von vornherein nur solche Daten, die (willentlich) das Endgerät verlassen (senden, aber auch empfangen), nicht aber solche, die auf dem Endgerät gespeichert sind. Das Realisieren von Überwachungsmaßnahmen in diesem Kontext bedeutet auch und vor allem das Ausnutzen von Sicherheitslücken bzw. Schwachstellen in den eingesetzten Anwendungen/Implementierungen/Protokollen. Dabei ist ein abgestuftes Vorgehen erforderlich. Zunächst muss sich Zugriff auf das lokale Zielnetzwerk und seine Datenströme verschafft werden. Dann kann der Datenverkehr untersucht und eventuell manipuliert werden, um die angestrebten Inhaltsdaten von Kommunikationsvorgängen in Erfahrung zu bringen. Ist das funkbasierte Netzwerk nicht durch besondere Sicherheitskonzepte geschützt, ist der Zugriff von außen jederzeit möglich. Während sich herausgestellt hat, dass die Überwindung des partiell noch verbreiteten Wired-Equivalent-Privacy-Konzept (WEP) kein Problem darstellt, ist das neuere Sicherheitsschema Wi-Fi Protected Access (WPA/WPA2) grundsätzlich als intakt einzustufen. Mehrere Schwachstellen und Sicherheitslücken sorgen dennoch für einige bedeutsame Einfallstore, die zusammen eine
342
L.
Ergebnisse der informationstechnologischen Analyse
erfolgreiche Infiltrierung alles andere als unwahrscheinlich werden lassen. Ein Erfolg ist allerdings stark abhängig von individuellen (Netzwerk-)Faktoren, wie etwa der Länge der gewählten Passphrase, der Aktualität und den Einstellungen der Router-Firmware oder dem Hersteller des zum Einsatz kommenden Modells. Eine weitere Zugriffsmöglichkeit bietet das Umleiten des Netzwerkverkehrs (EvilTwin-Angriff) mit – bei entsprechendem Savoir-faire der Durchführung – guten, aber ebenfalls nicht sicheren Erfolgschancen.1607 Nach erfolgreichem Zugriff auf das lokale Zielnetzwerk können sowohl die Inhaltsdaten (hier: textbasierte Kommunikationsvorgänge) als auch die Zugangsdaten zu den Webdiensten (Passwörter/Benutzernamen) grundsätzlich überwacht werden, weil die im Internet-Netzwerk genutzten Protokolle ganz allgemein keine Verschlüsselung vorsehen. Das gilt unabhängig davon, welche Webdienste zur Kommunikation verwendet werden und ob der Informationsaustausch über E-Mail, Webforen, soziale Netzwerke oder Chats erfolgt. In jüngerer Zeit fand allerdings der Einsatz von Verschlüsselung (Kryptographie) auch oberhalb der Netzzugangsschicht stärkere Verbreitung, wenn auch nicht in allen Bereichen. Von dem weiten Feld der Verschlüsselung konnte in dieser Untersuchung nur ein kleiner Ausschnitt angerissen werden. Das Thema ist bei weitem von zu großem Umfang. Der angerissene Ausschnitt sollte aber exemplarisch zeigen, welche Probleme für einen Überwachenden entstehen, und verdeutlichen, auf welche Art und Weise damit umgegangen werden kann. Die Analyse konzentrierte sich daher ausschließlich auf verschlüsseltes World Wide Web (Hypertext Transfer Protocol over Transport Layer Security – HTTPs), weil diese Art der Verschlüsselung im Internet-Netzwerk derzeit am häufigsten zum Einsatz kommt. Damit stehen kommunikationsrelevante Internetdienste wie Webmail, soziale Netzwerke oder Internetforen im Fokus. Das HTTPs-Sicherheitskonzept muss ähnlich wie das Wi-Fi-Protected-Access-Konzept als grundsätzlich funktionstüchtig bezeichnet werden. Es erschwert ein Überwachen deutlich. Dennoch lassen sich auch hier zahlreiche Sicherheitslücken und Schwachstellen ausmachen, die Observierungsmaßnahmen ermöglichen können. Solche Sicherheitslücken sind allerdings nicht beständig. In steter Folge werden neue Sicherheitslücken entdeckt und nach einiger Zeit von den Herstellern wieder geschlossen. Das Geschehen gleicht einem permanenten Katz-und-Maus-Spiel. Die möglichen Methoden, diese Schwachstellen zu exploitieren, unterscheiden sich stark in Komplexität und Erkennbarkeit. Bei manchen kann es zudem nur effektiv sein, sich auf geringe Datenmengen wie Session-Cookies oder Login-Daten zu konzentrieren, die den Zugriff auf die gesamten (gespeicherten) Inhaltsdaten dann hinterher in einem zweiten Schritt indirekt über eine vorgetäuschte Authentifizierungsberechtigung 1607 Was freilich auch für die Erfolgsaussichten in Bezug auf die erfolgreiche Installation des „Staatstrojaners“ gilt.
L.
Ergebnisse der informationstechnologischen Analyse
343
bei dem Webdienst erlauben.1608 Grundsätzlich ist eine umfassende Einschätzung über die generellen Erfolgsaussichten der verschiedenen Methoden schwierig – insbesondere weil das Resultat stark von der eingesetzten Hard- und Software sowohl auf dem Server des Dienstleistungsanbieters als auch dem informationstechnischen System der Zielperson, der jeweiligen Konfiguration und vor allem der Aktualität abhängt. Angesichts der großen, weiter ansteigenden Zahl an Einfallstoren und dem Umstand, dass kaum ein Benutzer sein System jederzeit auf dem aktuellsten Stand haben dürfte, muss insgesamt jedoch eine hohe Wahrscheinlichkeit, mit einer der zahlreichen Methoden erfolgreich zu sein, konstatiert werden, ohne dass allerdings ein Erfolg garantiert wäre.1609 Das Realisieren von Überwachungsmaßnahmen im Rahmen des Internet-Netzwerks ist also alles andere als trivial. Je raffinierter und durchdachter die Angriffe sind, desto höher sind auch die Erfolgsaussichten, ein desto höheres Know-how setzen sie allerdings auch voraus. So lassen sich mit eigens programmierten, maßgeschneiderten Programmen effektivere Angriffe realisieren, von denen eine größere Zahl an Systemen und Konfigurationen betroffen sind, als mit frei verfügbaren Tools. Besondere Vorteile bietet das Ausnutzen der Zero-Day-Exploits (bisher allgemein unbekannte, daher noch nicht ausgebesserte Sicherheitslücken). Sie machen einen Erfolg sehr wahrscheinlich, weil noch kein Schutz existiert. Sie sind allerdings rar, müssen zunächst beschafft werden, etwa auf dem grauen Markt, oder (besser) selbst entdeckt werden. Ihr Einsatz setzt ebenfalls einen entsprechenden Sachverstand voraus. Ein fast noch wichtigerer Faktor ist, dass die ausgenutzten Schwachstellen und Angriffe stetig angepasst und auf dem aktuellen Stand gehalten werden müssen, mit jeder geschlossenen Sicherheitslücke tun sich in der Regel neue auf. Die Angriffe nehmen mit der Zeit an Komplexität zu, werden aber nicht unmöglich (siehe etwa die beschriebene Entwicklung im Zusammenhang mit HTTP Strict Transport Security). Das erfordert wiederum einen entsprechenden, kontinuierlichen Aufwand. Mit dem Einkauf passender Software ist es nicht getan. Den betroffenen Behörden bleibt nichts anderen übrig, als entsprechendes (eigenes) Fachwissen zu entwickeln. Es muss festgehalten werden, dass der Erfolg einer Überwachungsmaßnahme mit dem hier vorgestellten Ansatz nicht garantiert werden kann, es besteht nur eine gewisse, von vielen Faktoren abhängige, aber immerhin durchaus beachtliche Wahrscheinlichkeit. Das gilt aber ebenso für Methoden, bei denen versucht wird, nicht nur das lokale Netzwerk, sondern das gesamte informationstechnische System (Endgerät) der Zielperson zu infiltrieren. Auch der „Staatstrojaner“ muss zunächst einmal „über die Leitung“ auf dem Endgerät platziert/installiert werden. Ein Erfolg dieser Maßnahme kann ebenso wenig garantiert werden. Die Erfolgsaussichten 1608 Dabei stellen sich freilich Fragen in Bezug auf grenzüberschreitende Problemstellungen. 1609 Auch in Bezug auf diesen Befund lässt sich eine Parallele zum „Staatstrojaner“ ziehen.
344
L.
Ergebnisse der informationstechnologischen Analyse
insgesamt können unter Umständen sogar geringer sein, weil es oft schwieriger ist, die Sicherheitsvorkehrungen eines Endgerätes zu überwinden als die der lokalen Funknetzwerkinfrastruktur. Auch muss der „Staatstrojaner“ ebenso kontinuierlich angepasst werden. Abschließend lässt sich konstatieren, dass es technisch also durchaus möglich ist, Überwachungsmaßnahmen im Zusammenhang mit dem Medium InternetNetzwerk durch verschiedenste Werkzeuge und Methoden auch von außen („an der Leitung“) und ohne Mitwirken von Internetdienstleistungsanbietern im eigenen Hoheitsbereich zu realisieren. Das Eindringen in ein informationstechnisches Zielsystem etwa mit einem „Trojaner“ ist keineswegs die einzige Möglichkeit, wie im politischen, medialen, aber auch im rechtswissenschaftlichen Diskurs weit überwiegend behauptet wird.
M.
Zusammenfassung der rechtlichen Analyse
Auf juristischer Ebene muss hervorgehoben werden, dass die rechtliche Bewertung des tatsächlichen Vorgehens beim „WLAN-Catching“ der Überwachung lokaler Funknetzwerke komplex ist und eine ausdifferenzierte Betrachtungsweise erforderlich macht. Die rechtsanwendenden Strafverfolgungsbehörden sind insofern nicht zu beneiden. Für die rechtliche Bewertung ist es notwendig, das Überwachen lokaler Funknetzwerke wie folgt in vier unterschiedliche Handlungskategorien und einige Unterkategorien aufzugliedern: 1. Primärmaßnahme: Mitschneiden und Speichern des Datenverkehrs eines lokalen Funknetzwerks (Abhören des WLAN; WLAN-Catching) inkl. Überwachung des Surfverhaltens 2. Sekundärmaßnahmen I: Maßnahmen ohne Überwindung von Sicherheitsvorkehrungen (a) WLAN lokalisieren und zuordnen; Ermittlung der MAC-Adresse des Access Points (b) Maschine-zu-Maschine-Kommunikation: Ermittlung der MAC-Adressen der assoziierten Endgeräte mittels passiver Scanner; Hidden Networks (c) Das Senden von Datenpaketen an den Access Point: Verwendung aktiver Scanner; Einloggen in offenes WLAN 3. Sekundärmaßnahmen II: Maßnahmen zur Überwindung von Sicherheitsvorkehrungen (insb. Verschlüsselung) (a) Alleiniges Überwinden von Sicherheitsvorkehrungen von Telekommunikation (das „Knacken“ von Verschlüsselung) (b) Eingriffe in den Datenverkehr einer Netzwerkinfrastruktur zur Überwindung von Sicherheitsvorkehrungen (c) Maßnahmen mit Auswirkungen auf IT-Endgeräte (aber ohne Infiltration) zur Überwindung von Sicherheitsvorkehrungen
346
M.
Zusammenfassung der rechtlichen Analyse
4. Sekundärmaßnahmen III: „Informationstechnologische Täuschungen“ im Rahmen der Überwachung lokaler Funknetzwerke I. Zulässigkeit der Primärmaßnahme (Mitschneiden und Speichern des Datenverkehrs eines WLAN) 1.
Verfassungsrechtliche Vorgaben
Für die Primärmaßnahme ergibt sich aus verfassungsrechtlicher Sicht, dass sie durch das Mitschneiden und Speichern des Datenverkehrs eines lokalen Funknetzwerks (Abhören des WLAN) den Schutzbereich des Telekommunikationsgeheimnisses verletzt und deswegen einer besonderen Rechtfertigung in Form einer speziellen gesetzlichen Ermächtigungsgrundlage bedarf. Denn der Schutzbereich von Art. 10 I GG ist weit zu verstehen. Geschützt ist der gesamte Übermittlungsweg, soweit eine auf einem technisch bedingten Mangel an Beherrschbarkeit beruhende besondere Schutzbedürftigkeit des Betroffenen besteht – was bei lokalen Funknetzwerken der Fall ist. Geschützt ist auch nicht-interpersonale Kommunikation. Umfasst ist demnach die gesamte Bandbreite der vorstellbaren Nutzung des lokalen Funknetzwerks, soweit sie durch zumindest eine Person wenigstens entfernt initiiert wurde (auch wenn im konkreten Fall automatisiert, also ohne aktuellen Willen und Wissen des Betroffenen). Es sei denn, die Wahrnehmung der übertragenen Informationen ist nicht in irgendeiner Form Zugangshindernissen ausgesetzt und erfolgt auf dem dafür vorgesehenen Weg.1610 Die Primärmaßnahme greift auch in den Schutzbereich des Rechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ein, weil auch lokale Funknetzwerke (WLAN) als informationstechnische Systeme begriffen werden müssen. Allerdings tritt im Falle der Primärmaßnahme der Schutz durch das GVIiS hinter dem Schutz durch Art. 10 I GG zurück. Gleiches gilt für das Recht auf informationelle Selbstbestimmung. Es ergeben sich daraus allerdings besondere Anforderungen an die Eingriffsnorm.1611 Der Schutzbereich der Unverletzlichkeit der Wohnung gem. Art. 13 I GG ist nach hier vertretener Auffassung nicht eröffnet. Das Fernmelde- bzw. Telekommunikationsgeheimnis in Art. 10 I GG ist damit alleiniger Prüfungsmaßstab für Eingriffe durch die Primärmaßnahme in der Form des Abhörens des WLAN in die Vertraulichkeit der mit Hilfe von lokalen Funknetzwerken transportierten Daten. Das bloße Abhören des WLAN bzw. WLAN-Catching weist damit als Maßnahme eine entscheidende Besonderheit gegenüber der Quellen-Telekommunikationsüberwachung auf. Weil das Endgerät des Betroffenen nicht infiltriert werden muss, ergibt sich auch nicht das Problem der schwer zu kontrollierenden technischen 1610 Ausgenommen ist lediglich die reine Maschine-zu-Maschine-Kommunikation, vgl. Abschnitt c) auf Seite 263 ff. 1611 Abschnitt d) auf Seite 212 ff.
I. Zulässigkeit der Primärmaßnahme
347
Umsetzung der Beschränkung der Überwachungsmaßnahme. Es muss also nicht speziell sichergestellt werden (wie auch immer!)1612, dass nur ein „laufender Telekommunikationsvorgang“ betroffen ist, sondern ein solcher ist bei dieser Maßnahme nach dem hier entfalteten Verständnis des Begriffs per se betroffen. 2.
Strafprozessuale Zulässigkeit
Die Anwendbarkeit von § 100a I S. 1 StPO als Ermächtigungsgrundlage für die Primärmaßnahme kreist zentral um die Frage, ob die Datenströme des lokalen Netzwerks das Merkmal „Telekommunikation“ im Sinne der Norm erfüllen. Insbesondere bezüglich der Problematik, ob der Begriff auf interpersonale Kommunikation beschränkt ist, herrschen konträre Ansichten vor. Letztlich sollte auch eine verfahrensrechtliche Begriffsbestimmung die verfassungsrechtlichen Vorgaben bezüglich der Reichweite des Telekommunikationsgeheimnisses berücksichtigen, so dass nur solche mittels Telekommunikationsanlagen ausgesendeten, übermittelten oder empfangenen Signale (Telekommunikationsvorgang im Sinne des TKG), die auf dem dafür vorgesehenen Weg und durch den Verteilungsmodus der Zugangsbeschränkung (keine Überwindung konkreter Zugangshindernisse) eine Wahrnehmung durch die Allgemeinheit erlauben, aus dem Anwendungsbereich von § 100a I S. 1 StPO ausgeschieden werden. Damit kommt es grundsätzlich zum Gleichschritt des Anwendungsbereichs von § 100a I StPO in Bezug auf das Telekommunikationskriterium mit dem gegenständlichen Schutzbereich des Telekommunikationsgeheimnisses in Art. 10 I GG. Zu einem Auseinderdriften kommt es nur noch bei bestimmten Phasen der Zwischenspeicherung. Diese Ansicht hat auch das Bundesverfassungsgericht nunmehr ausdrücklich gebilligt. Von 100a StPO nicht erfasst ist damit lediglich die reine Maschine-zu-Maschine-Kommunikation, bei der jeglicher Bezug zu einer menschlichen Informationsgewinnung fehlt. Damit ist konkret der gesamte Rohdatenstrom eines lokalen Funknetzwerks, ausgenommen eine etwaige Maschine-zu-Maschine-Kommunikation, als Telekommunikation sowohl im verfassungsrechtlichen als auch im strafprozessualen Sinn zu verstehen. Das gilt auch für ein offen betriebenes WLAN, da eine fremde Wahrnehmung dieser Daten zwar mangels Verschlüsselung sehr einfach möglich ist, aber nicht auf dem dafür vorgesehenen Weg erfolgen kann. Auch ist im lokalen Funknetzwerk aus strafprozessualer Sicht die Nachrichtenübermittlung noch nicht beendet (respektive hat bereits begonnen), da sie noch nicht auf einem informationstechnischen System endgültig angekommen oder von einem solchen System endgültig verworfen worden ist. Weil eine solche heimliche Maßnahme auch von 1612 Es sei hier noch einmal an die Probleme bzw. Unmöglichkeit einer Beschränkung auf bestimmte Telekommunikationsvorgänge erinnert, vgl. die Stellungnahme des CCC an das Bundesverfassungsgericht zum BKA-Gesetz und zum Einsatz von Staatstrojanern, S. 8 ff., abrufbar unter: https://www.ccc.de/system/uploads/189/original/BKAG_ Stellungnahme.pdf (Stand: Dezember 2017).
348
M.
Zusammenfassung der rechtlichen Analyse
den Behörden selbständig durchgeführt werden kann, lässt sich im Ergebnis das passive Mitschneiden und Speichern des Datenverkehrs eines lokalen Netzwerks (Abhören des WLAN; WLAN-Catching), soweit die übrigen Anordnungsvoraussetzungen erfüllt sind, auf § 100a I S. 1 StPO stützen. Dabei dürfen neben Inhaltsdaten auch etwaige Verkehrsdaten mit erfasst werden. Das selbständige, isolierte Erheben von Verkehrsdaten ließe sich auf § 100g III StPO stützen, wenn man der hier vertretenen weiten Auslegung der Norm folgen mag. Eine Anwendbarkeit der §§ 94 ff. StPO, §§ 99, 100 StPO, § 102 StPO oder auch § 110 III StPO mit ihren jeweils niedrigeren Hürden scheidet aus unterschiedlichen Gründen aus. Gleiches gilt für die mit Wirkung vom 24.08.2017 durch das Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens neu eingefügten Ermächtigungsgrundlagen in den §§ 100a I S. 2, 3 StPO und § 100b I StPO. Es soll an dieser Stelle noch einmal betont werden, dass diese Einordnung allein für die Primärmaßnahme gilt, also das passive heimliche Mitschneiden des Datenstroms eines lokalen Funknetzwerks von außen, ohne aktives Eingreifen in den Netzwerkverkehr oder sonstige Daten eines IT-Systems. II. Zulässigkeit der Sekundärmaßnahmen I (Maßnahmen ohne Überwindung von Sicherheitsvorkehrungen) Maßnahmen der ersten Unterkategorie, also solche in Bezug auf lokale Funknetzwerke, die keine Sicherheitsvorkehrungen überwinden und auf dem technisch dafür vorgesehen Weg erfolgen, insbesondere wenn die staatliche Stelle zudem als „Gegenüber des Datenaustauschs“ auftritt, greifen nicht selbständig in Grundrechte des Betroffenen ein, wenn dabei (nur) Daten betroffen sind, die keinen Bezug zu konkreten inhaltlichen Kommunikationsvorgängen im Netzwerk aufweisen und in ihrer Qualität und/oder Menge keine besondere Gefährdungslage für die Persönlichkeit des Betroffenen ergeben. Damit bedarf es auch keiner strafprozessualen Rechtfertigungsnorm für diese Maßnahmen. Sie sind ohne Weiteres zulässig. Beispiele für solche Maßnahmen sind z.B. das Lokalisieren und Zuordnen eines WLAN oder die Ermittlung der MAC-Adresse des Access Points mittels passiver Scanner. Gleiches gilt auch für die Maßnahmen der zweiten Unterkategorie – etwa bei Verwendung eines aktiven Scanners oder dem Einloggen in ein offenes WLAN, wenn für diesen Zweck staatliche Stellen elektromagnetische Wellen in einen von Art. 13 I GG geschützten Raum senden, soweit dies ebenfalls auf dem technisch dafür vorgesehenen Weg erfolgt und sich das betroffene IT-System dafür geöffnet hat. Wird in einem lokalen Funknetzwerk der Datenaustausch zwischen Dritten (etwa zwischen dem Access Point und einem assoziierten Endgerät) zwar ohne Überwindung von Sicherheitsvorkehrungen, aber nicht auf dem technisch dafür
III. Zulässigkeit der Sekundärmaßnahmen II
349
vorgesehenen Weg wahrgenommen, so ist lediglich das Grundrecht auf informationelle Selbstbestimmung betroffen, solange es sich um eine rein „technische Kommunikation“ (Maschine-zu-Maschine-Kommunikation) handelt. Diese Maßnahmen der dritten Unterkategorie, wie zum Beispiel bei der Ermittlung der MAC-Adressen der assoziierten Endgeräte oder der MAC-Adresse des Access Points in einem „Hidden Network“, können auf die Ermittlungsgeneralklausel in §§ 161, 163 StPO gestützt werden. III. Zulässigkeit der Sekundärmaßnahmen II: Maßnahmen zur Überwindung von Sicherheitsvorkehrungen (insb. Verschlüsselung) Dem alleinigen, isolierten Überwinden der Sicherheitsvorkehrung selbst (durch das Dechiffrieren mit Hilfe eines anderweitig erlangten kryptographischen Schlüssels oder auf dem Wege einer reinen Kryptanalyse) kommt bereits ein selbständiger Eingriffscharakter zu. Als zeitlich leicht vorgelagerter Schritt vor der eigentlichen inhaltlichen Wahrnehmung und diese erst ermöglichend, stellt ein entsprechendes Vorgehen bereits einen eigenständigen Eingriff in Art. 10 I GG dar. Ein derartiger Grundrechtseingriff durch die Behörden lässt sich (nur) als Annexkompetenz zu § 100a I S. 1 StPO rechtfertigen. Die Eingriffe in den Datenverkehr einer Netzwerkinfrastruktur zur Überwindung von Sicherheitsvorkehrungen unterstehen aufgrund der besonderen Eigenart der Maßnahme allein dem Telekommunikationsgeheimnis in Art. 10 I GG. Eine Rechtfertigung über § 100a I S. 1 StPO scheidet allerdings ebenso wie über § 100a I S. 3 StPO aus. Geht ein Vorgehen beim Abhören eines lokalen Funknetzwerks über das passive Mitschneiden des Datenverkehrs und anschließende Versuche, die Verschlüsselung isoliert zu „knacken“, hinaus und wird stattdessen zusätzlich von Eingriffen in den Datenverkehr einer Netzwerkinfrastruktur begleitet, kann ein solches Vorgehen auch nicht mehr als Annexkompetenz auf § 100a I S. 1 StPO gestützt werden. Allerdings lässt sich ein solches Vorgehen auf § 100a I S. 2 StPO stützen. Angesichts der identischen Anordnungsvoraussetzungen zu § 100a I S. 1 StPO dürfte der Unterschied für die Ermittlungsbehörden damit aber lediglich formaler Natur sein. Eine Anwendung von § 100b I StPO scheidet deswegen aus, weil § 100a I S. 2 StPO und § 100b I StPO in einem Ausschließlichkeitsverhältnis zueinander stehen, so dass § 100b I StPO hier nicht zum Zuge kommen kann. Die Maßnahmen zur Überwindung von Sicherheitsvorkehrungen, die nicht nur Auswirkungen auf den Datenverkehr einer Netzwerkinfrastruktur, sondern auch Auswirkungen auf IT-Endgeräte1613 des Betroffenen haben, stellen immer einen Eingriff in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme dar, der nicht von Art. 10 I GG verdrängt werden 1613 Siehe Abschnitt e) auf Seite 301 ff.
350
M.
Zusammenfassung der rechtlichen Analyse
kann; es sei denn, es sind tatsächlich in der Gesamtheit ausschließlich Daten mit Bezug zu einer laufenden Telekommunikation betroffen – was in der Praxis Seltenheitswert haben dürfte. Die Ursache liegt vornehmlich darin begründet, dass Art. 10 I GG den entstehenden Gefahren nicht begegnen kann, wenn von einer Maßnahme Daten eines IT-Systems betroffen sind (nicht nur in Bezug auf das Überwachungs-, sondern auch in Bezug auf das Eingriffsobjekt der Maßnahme), die keinerlei Beziehung zu einer laufenden Telekommunikation aufweisen. Da sowohl § 100a I S. 1 StPO als auch §§ 100a I S. 2 und S. 3 StPO keine Eingriffe in das GVIiS zu rechtfertigen vermögen, scheidet ihre Anwendung hier aus. Aber auch auf einer rein strafprozessualen Ebene wären die Normen auf die Maßnahmen mit Auswirkungen auf IT-Endgeräte nicht anwendbar, das gilt insbesondere für einen korrekt verfassungskonform ausgelegten § 100a I S. 2 StPO. Allerdings lässt sich diese (Teil-)Maßnahme auf § 100b I StPO stützen. Möglich wäre aber auch, dass eine Abhörmaßnahme (Primärmaßnahme), die mit einer solchen Teilmaßnahme einhergeht, insgesamt auf § 100b I StPO gestützt wird. IV. Zulässigkeit der Sekundärmaßnahmen III: „Informationstechnologische Täuschungen“ im Rahmen der Überwachung lokaler Funknetzwerke Staatliche Identitätstäuschungen, die sich als „informationstechnologische Täuschungen“ darstellen, sind am Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme zu messen, wenn diese Täuschungen die Funktionsweise von IT-Systemen (abweichend vom Interesse des Grundrechtsträgers) in der Art ändern,1614 dass der Betroffene eine Kommunikationsbeziehung zu einer staatlichen Stelle etabliert.1615 Art 10 I GG kann dann nicht greifen, auch wenn die Maßnahme direkt mit der Preisgabe personenbezogener Daten einhergeht. Das Recht auf informationelle Selbstbestimmung wird von dem GVIiS auf dem Wege der Spezialität verdrängt (insofern kommt es zu einem Gleichklang mit dem Konkurrenzverhältnis zwischen Telekommunikationsgeheimnis und Recht auf informationelle Selbstbestimmung). Im Ergebnis entfaltet die Täuschung selbst aufgrund der Verdrängungsregel auf verfassungsrechtlicher Ebene gar keine Wirkung. Das GVIiS ist somit alleiniger grundrechtlicher Prüfungsmaßstab für die Sekundärmaßnahmen der dritten Kategorie. Das hat letztlich zur Folge, dass Sekundärmaßnahmen der Kategorie III ausschließlich auf § 100b I StPO gestützt werden können und entsprechend hohen Hürden ausgesetzt sind. Auch dieser Befund zeigt einmal mehr die Schwierigkeiten sowie die nicht auf den ersten Blick plausiblen Ergebnisse auf, die entstehen, wenn moderne technologische Vorgänge auf „analoges“ Recht treffen. Ein im Ergebnis auf technischer Ebene sehr ähnlicher Vorgang (Umleiten des WLAN-Datenverkehrs) 1614 Darin liegt der maßgebliche Unterschied zu den Sekundärmaßnahmen I. 1615 Darin liegt der maßgebliche Unterschied zu den Sekundärmaßnahmen II.
IV. Zulässigkeit der Sekundärmaßnahmen III
351
führt nur durch ein „Klicken“ (eine Mitwirkungshandlung) des Betroffenen und dadurch veränderte Kommunikationsbeziehungen zu einer gänzlich anderen verfassungsrechtlichen Bewertung mit weitreichenden (strafprozessualen) Folgen. Fehlt nämlich die Mitwirkungshandlung und erfolgt die Umleitung rein technisch im Hintergrund auf Ebene der Netzwerkinfrastruktur, fehlt es an der Aufnahme einer Kommunikationsbeziehung durch den Betroffenen mit einer staatlichen Stelle,1616 und der Schutz durch Art. 10 I GG kann greifen (der wiederum den Schutz durch das GVIiS verdrängt). Erfolgt die Umleitung des Datenverkehrs zu einer staatlichen Stelle jedoch aktiv aufgrund einer Handlung durch den Betroffenen (infolge der Täuschung),1617 kann Art. 10 I GG plötzlich keinen Schutz entfalten, da das Vertrauen in die Identität des kommunikativen Gegenübers gerade nicht geschützt wird. Das stattdessen einschlägige Recht auf informationelle Selbstbestimmung vermag jedoch, anders als Art. 10 I GG, das auch hier ebenfalls einschlägige GVIiS nicht zu verdrängen, welches damit zum Tragen kommt. Das Ergebnis kann man gutheißen, weil man in der Variante mit Mitwirkungshandlung den intensiveren Eingriff (Eingriff in IT-System und zusätzliche, durch Täuschung veranlasste Handlung) erblickt. Allerdings ließe sich auch in der Variante ohne Mitwirkungshandlung der intensivere Eingriff sehen, weil diese Maßnahme vom Betroffenen noch schwerer zu erkennen ist; das Vorgehen ist verdeckter. Schlösse man sich dieser Sichtweise an, wäre das Ergebnis insofern unschön, als der intensivere Eingriff den geringeren Schutz genießen würde. Die Ursache von alldem ist freilich in dem speziellen (subsidiären) Verhältnis von GVIiS und Telekommunikationsgeheimnis beheimatet.
1616 Womit die Maßnahme der 2. Unterkategorie der Sekundärmaßnahme II zuzuordnen wäre. 1617 Womit die Maßnahme der Sekundärmaßnahme III zuzuordnen wäre.
N.
Schlussfolgerung und thesenartiger Überblick I.
Schlussfolgerung für durchgeführte Maßnahmen des „WLAN-Catchings“ vor dem 24.08.2017
Die soeben dargestellten Ergebnisse der rechtlichen Untersuchung haben aber auch erhebliche Konsequenzen für sämtliche (strafverfolgenden) Überwachungsmaßnahmen, welche die Behörden vor dem 24.08.20171618 durchgeführt haben.1619 Der Befund der Bundesregierung in den regelmäßigen Antworten zu den entsprechenden Anfragen von Bundestagsabgeordneten in Bezug auf den Einsatz computergestützter Kriminaltechnik bei Polizeibehörden und damit die gängige Behördenpraxis, nämlich, dass für das Abhören des WLAN im repressiven Bereich (immer und grundsätzlich) allein § 100a I a.F. StPO einschlägig ist,1620 kann nicht gestützt werden. In den betreffenden Drucksachen des Bundestages finden sich leider keine näheren Erläuterungen, wie die Behörden das „WLAN-Catching“ in der Praxis (also mindestens seit 2007) technisch genau umsetzen und tatsächlich handhaben. Darüber können an dieser Stelle daher nur Vermutungen angestellt werden. Drei Szenarien sind denkbar: • Im ersten Szenario könnte die Maßnahme nur zur Anwendung gekommen sein, wenn der Betroffene lediglich ein unverschlüsseltes WLAN benutzt hat. In solch einer Situation fände wohl ausschließlich die Primärmaßnahme Verwendung, welche auch allein auf § 100a I a.F. StPO gestützt werden konnte. • Im zweiten Szenario käme auch bei einem verschlüsselten WLAN allein die Primärmaßnahme zum Einsatz. Dann wäre ein staatliches Vorgehen im Einklang mit der Strafprozessordnung möglich, allerdings dürfte der Erkenntnisgewinn der Behörden in diesem Szenario nahezu Null gewesen sein. 1618 Also bevor das Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens seine Wirkung entfaltet hat. 1619 Dazu näher oben in Abschnitt b) auf Seite 35. 1620 Vgl. etwa BT-Drucks. 17/8544, S. 16, abrufbar unter: http://dipbt.bundestag.de/dip21/ btd/17/085/1708544.pdf (Stand: Dezember 2017).
II. Thesenartiger Überblick
353
• Im dritten Szenario erfolgte ein Vorgehen auch mit Hilfe von Maßnahmen, die in dieser Arbeit in die Kategorie der Sekundärmaßnahmen II eingeordnet worden sind.1621 In diesem Falle war aber eine Rechtfertigung des damit verbundenen Grundrechtseingriffs nicht mehr allein über § 100a I a.F. StPO möglich. Die nunmehr einschlägigen Eingriffsbefugnisse des § 100a I S. 2 StPO und § 100b I StPO sind jedoch erst mit dem Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens neu in die Strafprozessordnung eingefügt worden. Bis dahin war ein entsprechendes Vorgehen somit gar nicht zulässig. Es muss daher final festgestellt werden: Ging eine von den Strafverfolgungsbehörden vor dem 24.08.2017 durchgeführte WLAN-Überwachungsmaßnahme bei der praktischen Umsetzung mit Eingriffen entweder in die Netzwerkinfrastruktur oder gar mit Auswirkungen auf das IT-Endgerät eines Betroffenen einher, was angesichts der ansonsten geringen Erfolgsaussichten einer Maßnahme nicht unwahrscheinlich ist, erfolgte ihre Durchführung nicht rechtmäßig. II.
Thesenartiger Überblick
Abschließend sollen die gefundenen Ergebnisse noch einmal thesenartig im Überblick dargestellt werden: 1. Der Schutzbereich von Art. 10 I GG ist weit zu verstehen. Umfasst ist insbesondere die gesamte Bandbreite der vorstellbaren Nutzung des InternetNetzwerkes, soweit sie durch zumindest eine Person wenigstens entfernt initiiert wurde (auch wenn im konkreten Fall automatisiert ohne aktuellen Willen und Wissen des Betroffenen). Es sei denn, die Wahrnehmung der übertragenen Informationen ist nicht in irgendeiner Form Zugangshindernissen ausgesetzt und erfolgt auf dem dafür vorgesehenen Weg.1622 2. Der gesamte Datenverkehr in lokalen Funknetzwerken ist von Art. 10 I GG geschützt, ausgenommen ist allein eine reine Maschine-zu-MaschineKommunikation. 3. Art. 10 I GG ist alleiniger Prüfungsmaßstab für Eingriffe in Form des passiven Mitschneidens und Speicherns des Datenverkehrs eines lokalen Funknetzwerks von außen. 4. Das passive Mitschneiden und Speichern des Datenverkehrs eines lokalen Funknetzwerks von außen lässt sich, soweit die übrigen Anordnungsvoraussetzungen erfüllt sind, auf § 100a I S. 1 StPO stützen. 1621 Präziser in die zweite und dritte Unterkategorie der Sekundärmaßnahme II, also die Eingriffe in den Datenverkehr einer Netzwerkinfrastruktur und die Maßnahmen mit Auswirkungen auf IT-Endgeräte. 1622 Ausgenommen ist lediglich die reine Maschine-zu-Maschine-Kommunikation.
354
N. Schlussfolgerung und thesenartiger Überblick
5. Das selbständige, isolierte Erheben von Verkehrsdaten eines lokalen Funknetzwerkes lässt sich auf § 100g III StPO stützen. 6. Das Lokalisieren und Zuordnen eines WLAN oder die Ermittlung der MAC-Adresse des Access Points mittels passiver Scanner sind ohne den Rückgriff auf eine strafprozessuale Rechtfertigungsnorm zulässig. 7. Das Verwenden aktiver Scanner oder das Einloggen in ein offenes WLAN sind ebenfalls ohne Weiteres zulässig, wenn sie auf dem technisch dafür vorgesehenen Weg erfolgen und das betreffende IT-System sich dafür geöffnet hat (Regelfall). 8. Das Wahrnehmen der Maschine-zu-Maschine-Kommunikation eines lokalen Funknetzwerkes, ohne dass dafür Sicherheitsvorkehrungen überwunden werden müssen, lässt sich auf die Ermittlungsgeneralklausel in §§ 161, 163 StPO stützen. 9. Das alleinige, isolierte Überwinden („Knacken“) von Verschlüsselung, etwa durch das Dechiffrieren mit Hilfe eines anderweitig erlangten kryptographischen Schlüssels oder auf dem Wege einer reinen Kryptanalyse, stellt bereits einen eigenständigen Eingriff in Art. 10 I GG dar, der (nur) als Annexkompetenz zu § 100a I S. 1 StPO gerechtfertigt werden kann. 10. Für Eingriffe in den Datenverkehr einer Netzwerkinfrastruktur zur Überwindung von Sicherheitsvorkehrungen scheidet eine Rechtfertigung über § 100a I S. 1 StPO ebenso wie über § 100a I S. 3 StPO und § 100b I StPO aus. § 100a I S. 2 StPO ist allein einschlägig. 11. Für Maßnahmen mit Auswirkungen auf IT-Endgeräte ist § 100a I S. 2 StPO nach gebotener, verfassungskonformer Auslegung nicht anwendbar. Vielmehr kann diese (Teil-)Maßnahme nur auf § 100b I StPO gestützt werden. 12. Für staatliche informationstechnologische Täuschungen, welche die Funktionsweise von IT-Systemen (abweichend vom Interesse des Grundrechtsträgers) in der Art ändern, dass der Betroffene dabei eine Kommunikationsbeziehung zu einer staatlichen Stelle etabliert, kommt ebenfalls ausschließlich eine Rechtfertigung über § 100b I StPO in Betracht.
Anhang A
I.
Einzelheiten zu der informationstechnologischen Untersuchung und Umsetzung
Der Zugriff auf den Datenverkehr eines (fremden) lokalen Netzwerks
1. Lokalisieren und Zuordnen des Access Points a)
Abbildung eines Beacon-Frames und Probe-Response-Frames
Beacon- (vgl. Abbildung A.1 auf der nächsten Seite)1623 und Probe-ResponseFrame (Abbildung A.2 auf Seite 357)1624 enthalten grundlegende Informationen über das WLAN, wie den Service Set Identifier des Heimnetzwerkes, die BSSID oder Informationen zur Verschlüsselung, einen Zeitstempel (für die Synchronisation wichtig), den Beacon-Intervall oder die unterstützten Datenraten (beispielhaft in den Abbildungen hervorgehoben).
b)
Beacon- und Probe-Response-Frame bei einem Hidden Network
Ein Beacon-Frame mit unterdrückter SSID erscheint wie in Abbildung A.3 auf Seite 357 zu sehen, ohne Service Set Identifier.1625 Die SSID lässt sich aber dennoch weiterhin im Probe-Response-Frame auslesen, vgl. Abbildung A.4 auf Seite 358.1626
356
Anhang A Einzelheiten zur Untersuchung und Umsetzung
Abbildung A.1: Beacon Frame
2. Der Zugang zum (fremden) Wireless LAN a)
WEP-verschlüsseltes WLAN
aa) Versendeter Datenteil bei WEP mit unverschlüsseltem Initialisierungsvektor bb)
Einzelheiten zu den Angriffen auf WEP
(1) Fluhrer/Mantin/Shamir Konkret erlaubt diese RC4-Schwachstelle, dass sich unter Simulierung des KSAAlgorithmus1627 mit Hilfe statistischer Auswertung Rückschlüsse für WEP-Pakete mit schwachen Initialisierungsvektoren ziehen (RC4-Korrelation) lassen, wenn 1623 1624 1625 1626 1627
Beacon Frame captured mit Wireshark. Probe Response Frame captured mit Wireshark. Captured mit Wireshark. Captured mit Wireshark. KSA ist ein Teil-Algorithmus von RC4 und für die anfängliche Permutation zuständig, dazu bereits im Deteail unter Abschnitt (2) auf Seite 431.
I. Der Zugriff auf den Datenverkehr eines (fremden) lokalen Netzwerks
Abbildung A.2: Probe Response Frame
Abbildung A.3: Beacon Frame mit unterdrückter SSID
357
358
Anhang A Einzelheiten zur Untersuchung und Umsetzung
Abbildung A.4: Probe Response Frame bei unterdrückter SSID
Abbildung A.5: IV-Teil eines WEP-Frames (Captured mit Wireshark)
I. Der Zugriff auf den Datenverkehr eines (fremden) lokalen Netzwerks
359
noch einige weitere Bedingungen erfüllt sind.1628 Es lässt sich von dem ersten Byte des Schlüsselstroms und den bekannten, ersten drei Bytes des RC4-Schlüssels auf das 4. Byte des RC4-Schlüssel schließen. Das 4. Byte entspricht dem 1. Byte des unbekannten, geheimen Teiles des RC4-Schlüssels (=Shared Key). Ist das richtige 4. Byte des RC4-Schlüssels gefunden, kann auf die gleiche Art und Weise das 5. Byte ausfindig gemacht werden und so weiter bis der gesamte Shared Key bekannt ist. (2) KoreK Die 17 von KoreK beschriebenen Korrelationen lassen sich in drei Gruppen unterteilen. Die erste Gruppe nutzt die bekannten Bytes des RC4-Schlüssels und das erste Byte des von RC4 generierten Schlüsselstroms, um auf das nächstfolgende Byte des RC4-Schlüssels zu schließen (dazu gehört die FMS-Methode). Die zweite Gruppe arbeitet mit den ersten beiden Bytes des Schlüsselstroms. Die Angriffe der dritten Gruppe dienen nicht dazu das nächste Byte zu finden, sondern dazu, bestimmte Werte auszuschließen und so die Angriffe der ersten beiden Gruppen effektiver zu machen.1629 Ein weiterer wesentlicher Unterschied besteht darin, dass nicht alle KoreK-Angriffe WEP-Pakete mit schwachen Initialisierungsvektoren voraussetzen.1630 (3)
Umsetzung einer WEP-Attack
Die schrittweise Infiltration eines WEP-geschicherten Wireless LANs wir im Folgenden mit der Aircrack-NG-Programmsuite realsiert. 1. Fake Authentication mit Aireplay-NG (Abbildung A.6):
Abbildung A.6: Fake-Authentication-Attack bei WEP
2. ARP-Replay-Attack mit dem Tool Aireplay-NG (Abbildung A.7 auf der nächsten Seite): 3. Mitschneiden der Informationen mit Airodump-NG (Abbildung A.8): 1628 So müssen etwa bestimmte Werte der S-Box während der KSA-Permutation stabil bleiben. 1629 Chaabouni, Break WEP Faster with Statistical Analysis, S. 15. 1630 Pyshkin/Tews/Weinmann, Breaking 104 Bit WEP in Less Than 60 Seconds, S. 189.
360
Anhang A Einzelheiten zur Untersuchung und Umsetzung
Abbildung A.7: ARP-Replay-Attack
Abbildung A.8: Mitschneiden der WEP-Pakete und IVs im Rahmen eines Angriffs auf WEP
4. RC4-Schlüsselcrack mit Aircrack-NG per Pyshkin/Tews/Weinmann-Methode (Abbildung A.9):
Abbildung A.9: Determinieren des vollständigen WEP-Schlüssels per PTW-Method
b)
WPA/WPA2 (PSK)-verschlüsseltes WLAN
aa)
WPA mit Temporary Key Integrity Protocol
(1)
RC4-Schlüsselgenerierung (per Frame) in TKIP
Während im WEP-Protokoll der Initialisierungsvektor und Shared Key nur aneinandergehängt wurden, legt die TKIP-Mixing-Funktion fest, wie für jedes einzelne
I. Der Zugriff auf den Datenverkehr eines (fremden) lokalen Netzwerks
361
Frame der RC4-Schlüssel zu berechnen ist. Sie arbeitet in zwei Phasen, um eine bessere Performance zu erzielen.1631 Die 48 Bit des TKIP-Initialisierungsvektor werden in einen 16-Bit-IV und einen 32-Bit-IV unterteilt. In Phase 1 wird der 32-Bit-IV mit dem 128 Bit langen temporären Schlüssel (Temporary Key (TK))1632 und der MAC-Adresse des Senders durchmischt. Das Ergebnis ist ein 80 Bit langer Zwischenschlüssel. In Phase 2 erfolgt eine Durchmischung des Zwischenschlüssels mit dem 16-Bit-IV und erneut mit dem TK. Die Phase zwei gibt als Ergebnis den RC4-Schlüssel mit einer Länge von 128 Bit und entspricht dem WEP-Seed in Wired Equivalent Privacy. (2)
(Weitere) Auswirkungen der neuen Schlüsselgenerierung
Zum einen werden die RC4-Korrelation, zum anderen werden die Kollisionen vermieden. Die Einbeziehung der MAC-Adresse in die Schlüsselgenerierung verhindert, dass in einem Netzwerk der gleiche Initialisierungsvektor von mehreren Hosts verwendet wird. Auch ist so bei Neuinitialisierung der IVs1633 sicher gestellt, dass keine gleichen Schlüssel für ein Frame benutzt werden. bb)
WPA2 mit AES-CCMP
Der Advanced Encryption Standard im Counter Mode ist für die Verschlüsselung zuständig, der Advanced-Encryption-Standard-basierte Cipher Block Chaining Message Authentication Code (CBC-MAC) sichert die Datenintegrität und -authentizität. (1)
AES-Counter Mode
Die eigentliche Chiffrierung des Klartextest erfolgt durch den Einsatz des Advanced Encryption Standard. AES1634 ist eine Blockchiffre1635 und standardisiert den Rijndael-Algorithmus für eine Eingabe-Blocklänge von 128 Bit. In WPA2 kommt AES im Counter Mode1636zum Einsatz. Im Counter Mode funktionieren Blockchiffren allerdings wie Stromchiffren, denn die Blockchiffre wird nur zur Erzeugung des Schlüsselstroms verwendet. Das macht auch hier die Verwendung eines Initialisierungsvektors erforderlich. 1631 Die bessere Performance wird erreicht, weil Phase 1 nicht jedes Mal wiederholt werden muss. Denn Phase 1 erzeugt einen Zwischenschlüssel, der 216 mal in Phase 2 verwendet wird, bevor erneut Phase 1 durchgeführt werden muss, vgl. Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 854. 1632 Zur Schlüsselhandhabung von TKIP sogleich in Abschnitt bb) auf Seite 90. 1633 Wenn sie in der Implementierung auf 0 gesetzt werden. 1634 Eine ausführliche Darstellung von AES findet sich in Abschnitt cc) auf Seite 415. 1635 Zur Unterscheidung von Block- und Stromchiffren siehe: Abschnitt bb) auf Seite 401. 1636 Zum Counter Mode bereits in Abschnitt cc) auf Seite 427.
362
(2)
Anhang A Einzelheiten zur Untersuchung und Umsetzung
CBC-MAC
Die Datenintegrität wird von Hashfunktionen1637 sichergestellt indem sie einen digitalten Fingerabdruck (Hash-Wert) erzeugen. Spezielle Arten von Hashfunktionen, sogenannte Message Authentication Codes (MAC)1638, können durch Einbeziehung eines symmetrischen Schlüssels Aussagen nicht nur über die Integrität, sondern auch über die Authentizität von Daten treffen.1639 Der Hash-Wert wird in WPA2 mit Hilfe von AES im CBC-Mode1640 (als Hashfunktion) unter Einbeziehung des Temporary Keys berechnet und an den Klartext angehängt. Konkret bedeutet das, dass der Klartext eigentlich mit AES im CBC-Mode verschlüsselt wird, dann aber nur der letzte Ausgabe-Block behalten und als Hash-Wert verwendet wird.1641 cc)
Einzelheiten zum Schlüsselmanagement
Unter Verwendung der Password-Based Key Derivation Function 2 (PBKDF2) wird aus Passphrase. SSID und SSID-Länge der PMK/PSK berechnet. Die PBKDF2 ist Bestandteil des Public-Key Cryptography Standard #5 (PKCS #5) v.2.0. Für eine detailierte Beschreibung siehe: https://tools.ietf.org/html/rfc2898 (Stand: Dezmember 2017). PBKDF2 wird in WPA/WPA2 derart umgesetzt, dass HMACSHA11642 4096-mal wiederholt und die SSID als Salt1643 verwendet wird.1644 Aus dem Pairwise Master Key wird bei jedem Verbindungsaufbau im Rahmen eines Authentifizierungs-4-Way-Handshakes1645 der (temporäre) Pairwise Transient Key (PTK) abgeleitet. Der PTK hat eine Länge von 512 Bit (TKIP) bzw. 384 Bit (AESCCMP). Die dritten 128 Bits des PTKs bilden den 128-Bit-langen Temporary Key (TK) für die eigentliche Datenverschlüsselung der Frames. In TKIP wird der TK in Phase 1 und 2 der Mixinig-Funktion verwendet, um den RC4-Schlüssel zu generieren. In AES-CCMP dient der TK als AES-Schüssel.1646 1637 Ausführlich zur Aufgabe und Funktionsweise von Hashfunktionen: Abschnitt VI. auf Seite 67. 1638 Nicht zu verwechseln mit der Media Access Control (MAC) - Adresse. 1639 Allgemein zu Message Authentication Codes: Abschnitt 4. auf Seite 489. 1640 Für Details zur Arbeitsweise des CBC-Mode siehe Anhang C, Abschnitt bb) auf Seite 427. 1641 Tanenbaum/Wetherall, Computernetzwerke, S. 933. 1642 Zu kryptologischen Hasfunktionen im Allgmeinen siehe: Abschnitt VI. auf Seite 67. Zum Secure Hash Algorithm (SHA) im Konkreten siehe: Abschnitt b) auf Seite 488. Ausführungen zu MAC und HMCA finden sich in Abschnitt 4. auf Seite 489. 1643 Zur Aufgabe einer zufälligen Zeichenfolge (Salt) in kryptologischen Hashfunktionen siehe bereits unter: Abschnitt 2. auf Seite 487. 1644 Olagunju/Seedorf , Requirements for Secure Wireless Networks: An Analysis of the WEP and WPA with Aircrack-ng Suite, S. 1. 1645 Siehe sogleich in Abschnitt cc) auf Seite 90. 1646 Dazu: Rech, Wireless LANs, S. 506.
I. Der Zugriff auf den Datenverkehr eines (fremden) lokalen Netzwerks
363
Ein sogenannter Re-Keying-Mechanismus sorgt zusätzlich dafür, dass der Temporary Key in gleichmäßigen Intervallen neu berechnet wird.1647 Die Neuberechnung erfolgt nach ca. 10000 verschlüsselten Frames.1648 dd)
Einzelheiten zur Authentifizierung und Assoziierung bei WPA/WPA2
Im Verlauf des Handshakes bestätigen sich Host und Access Point den Pairwise Master Key (PMK), berechnen den Pairwise Transient Key (PTK) und installieren die temporären Schlüssel. Der Access Point sendet in einem ersten Paket dem Host unverschlüsselt eine Nonce1649 (ANonce). Der Host bildet eine weitere Nonce (SNonce). Aus ANonce, SNonce, dem PMK, der MAC-Adresse des Hosts und der MAC-Adresse des Access Points kann der Host wiederum mit Hilfe einer HMAC-Funktion den PTK berechnen. In der zweiten Nachricht sendet der Host die (unverschlüsselte) SNonce an den Access Point. In dieser Nachricht ist auch eine MIC enthalten, die er mit den ersten 128-Bit des PTKs berechnet hat. Der Access Point kann nun seinerzeit den PTK berechnen und dann die MIC verifizieren. Verläuft die Verifizierung erfolgreich, hat der Host die Kenntnis des PMKs nachgewiesen. Über die dritte Nachricht weißt auch der Access Point nach, dass er den richtigen Pairwise Master Key kennt (das ist notwendig, damit ein Angreifer sich nicht als Access Point ausgeben kann) und die richtigen temporären Schlüssel berechnet hat. Er ordnet die Installation der temporären Schlüssel an. In der vierten und letzten Nachricht bestätigt der Host dem Access Point die Installation der Schlüssel. Damit ist sichergestellt, dass Host und Access Point über die gleichen temporären Schlüssel verfügen. Die verschlüsselte Kommunikation kann beginnen.1650 ee)
Attacks on WPA/WPA2
(1)
Brute-Force-Attack
(a)
Funktionsweise der Brute-Force-Attack
Wie bereits beim Schlüsselmanagement dargestellt, leitet sich der PMK wie folgt ab: Aus Passphrase, SSID, SSID-Länge wird der PMK durch 4096-fache Wiederholung einer Hashfunktion (HMAC-SHA1) berechnet. SSID und SSIDLänge lassen sich von einem Angreifer leicht passiv mitlauschen1651, so dass die Sicherheit des PMK lediglich von der Passphrase abhängt. Der PTK ist wiederum ein Hashwert (HMAC-SHA1 oder HMAC-MD5) aus ANonce, SNonce, dem 1647 Lashkari/Mansoori/Danesh, Wired Equivalent Privacy (WEP) versus Wi-Fi Protected Access (WPA), S. 448. 1648 Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 854. 1649 Vgl. Fußnote 309 auf Seite 82. 1650 Zum Ganzen: Rech, Wireless LANs, S. 509 f. 1651 Vergleiche Abschnitt aa) auf Seite 74.
364
Anhang A Einzelheiten zur Untersuchung und Umsetzung
PMK, der MAC-Adresse des Hosts und der MAC-Adresse des Access Points. ANonce und SNonce werden unverschlüsselt im Handshake ausgetauscht und können mitgeschnitten werden, auch die beiden MAC-Adressen sind leicht in Erfahrung zu bringen. Damit hängt die Sicherheit des PTK lediglich vom PMK und damit wiederum von der Passphrase ab.1652 Bestandteil ab dem zweiten Paket des Handshakes ist ein Hashwert als Integritätsprüfung des jeweiligen Handshake-Pakets (MIC). Mit Hilfe der ersten 128 Bit des PTKs1653 kann die betreffende MIC des Handshake-Pakets berechnet werden. Stimmen angehängte und selbstberechnete MIC überein, weiß der Access Point, dass der Host, über den richtigen PTK, und damit über den richtigen PMK verfügt – und umgekehrt.1654 Fängt also ein Angreifer mindestens zwei aufeinanderfolgende Pakete ab dem zweiten Paket des Handshakes ab,1655 verfügt er über alle notwendigen Informationen bis auf die Passphrase. Diese vermag er nur zu raten und auszuprobieren. Aus einer geratenen Passphrase kann er einen PMK, daraus die ersten 128 Bit des PTKs berechnen und damit die MIC erzeugen. Stimmen die MIC aus geratener Passphrase und abgefangener MIC überein, war die Passphrase richtig.1656 Ansonsten muss der Angreifer die nächste Passphrase probieren. (b)
Erstellen eigener Dictionary Files und Rainbow Tables
Eigene maßgeschneiderte Dictionary Files für eine Brute-Force-Angriff lassen sich etwa mit dem Tool Crunch1657 In Abbildung A.10 erstellt Crunch eine Liste mit allen denkbaren Zahlenkombinationen und einer Länge von 8-10 Stellen. Abbildung A.11 zeigt einen Einblick in eine solche Wordlist.
Abbildung A.10: Erstellen maßgeschneiderter Wordlist mit Crunch 1652 Dazu: Liu/Jin, Distributed method for cracking WPA/WPA2-PSK on multi-core CPU and GPU architecture, S. 3 f. 1653 Präziser: Dieser Teil des PTK wird in der Regel als Key Confirmation Key (KCK) bezeichnet. 1654 Takahashi, WPA Passive Dictionary Attack Overview, S. 2 f. 1655 Vergleiche http://www.aircrack-ng.org/doku.php?id=aircrack-ng (Stand: Dezember 2017). 1656 Takahashi, WPA Passive Dictionary Attack Overview, S. 3. 1657 https://sourceforge.net/projects/crunch-wordlist/ (Stand: Dezember 2017).
I. Der Zugriff auf den Datenverkehr eines (fremden) lokalen Netzwerks
365
Abbildung A.11: Ausschnitt aus der mit Crunch erstellten Wordlist
In Abbildung A.12 erzeugt das Tool genPMK ein Rainbow Table für die SSID „WirelessLAN“ und einer Wordlist.
Abbildung A.12: Erzeugen eines Rainbow Table für die SSID „WirelessLAN“
(c) Umsetzung der Brute-Force-Attack 1. Zunächst gilt es SSID und MAC-Adresse des Ziel-Netzwerkes zu bestimmen (vgl. nachfolgend Abbildung A.13)1658.
Abbildung A.13: Bestimmen der Parameter des Ziel-Netzwerkes
2. Mit Aireplay-ng wird entweder gezielt ein Host oder, wie in Abbildung A.14 demonstriert, alle assoziierten Hosts de-assoziert, so dass sie sich direkt wieder mit dem Access Point assoziieren. 1658 Mit Airodump-ng.
366
Anhang A Einzelheiten zur Untersuchung und Umsetzung
Abbildung A.14: Deauthentication Attack auf das Ziel-Netzwerk
3. Der im Rahmen der Wieder-Assoziierung ausgetauschte Handshake wird mit Airodump-ng mitgeschnitten (vgl. Abbildung A.15).
Abbildung A.15: Mitschneiden des 4-Way-Handshakes für den Brute-Force-Angriff
4. Ob das Mitschneiden des Handshakes erfolgreich war und alle notwendigen Informationen enthält, kann sowohl mit coWPAtty (vgl. nachfolgend Abbildung A.16), als auch mit Pyrit überprüft werden (vgl. weiter unten auf dieser Seite Abbildung A.17).
Abbildung A.16: Validierung des Handshakes mit coWPAtty
Abbildung A.17: Validierung des Handshakes mit Pyrit
5. Abschließend kann der eigentliche Brute-Force-Angriff in Ruhe durchgeführt werden. Abbildung A.18 auf der nächsten Seite zeigt einen nach kur-
I. Der Zugriff auf den Datenverkehr eines (fremden) lokalen Netzwerks
367
zer Zeit1659 erfolgreich durchgeführten Angriff auf die 20-stellige Passphrase „0120h9d1206124phic41“ mit Aircrack. Abbildung A.19 auf dieser Seite visualisiert den Angriff auf die gleiche Passphrase mit dem Tool Pyrit.
Abbildung A.18: Brute-Force-Attack mit Aircrack-ng
Abbildung A.19: Brute-Force-Attack mit Pyrit
(2)
Realisierung einer Evil-Twin-Attack
Dem Netzwerkmanager des avisierten Endgerätes „vertraute“ Access Points können oft über, vom nicht-assozierten WLAN-Adapter versendete, Probe-ResponseFrames herausgefunden werden (vgl. Abbildung A.20). Verfügt der Angreifer nicht über eine Richtfunkantenne, so kann er unter Umständen zumindest die Signalstärke seines WLAN-Adapters erhöhen (vgl. Abbildung A.21), um das Signal des Ziel-Access-Points zu überlagern. 1659 Der Angriff war nach so kurzer Zeit erfolgreich, weil sich die gesuchte Passphrase relativ weit vorn im eingesetzten Dictionary File befand.
368
Anhang A Einzelheiten zur Untersuchung und Umsetzung
Abbildung A.20: Probe-Request-Frame eines WLAN-Adapters
Abbildung A.21: Erhöhung der Signalstärke WLAN-Adapters auf 30 dBm
Erzeugt man wie in Abbildung A.22 einen Evil-Twin-Access-Point mit der gleichen SSID, aber einer unterschiedlichen MAC-Adresse (hier: AA:AA:AA:AA:AA:AA) für den Access Point, kann (mit Airodump-ng) der originale Access Point und der Evil-Twin-Access Point noch auseinander gehalten werden (nachfolgend Abbildung A.23).
Abbildung A.22: Erzeugen eines Evil-Twin mit einer anderen MAC
Abbildung A.23: Originaler Access Point und Evil Twin bei unterschiedlicher MAC
Erzeugt man den Evil-Twin allerdings auch mit gleicher MAC-Adresse und auf dem gleichen Funkkanal wie das Original (Abbildung A.24), ist das, wie in Abbildung A.25 zu sehen, nicht mehr möglich.
Abbildung A.24: Erzeugen eines Evil Twins mit gleicher MAC
I. Der Zugriff auf den Datenverkehr eines (fremden) lokalen Netzwerks
369
Abbildung A.25: Originaler Access Point und Evil Twin
Für den Anwender erscheint auch nur ein verfügbares Netzwerk, nämlich das mit dem stärkeren Signal – hier also der Evil-Twin, das eigentliche Netzwerk wird dem Anwender gar nicht mehr angezeigt. Erkennbar wird der Evil-Twin etwa auf dem einem Macbook nur am nicht vorhandenen „Schloss“, dass die fehlende Verschlüsselung des Evil-Twins anzeigt (siehe Abbildung A.26 nachfolgend auf dieser Seite).
Abbildung A.26: Für den Anwender verfügbare Netzwerke
Wird die bestehende Internet-Verbindung durch den Deauthentication-DoS-Angriff (vgl. Abbildung A.27 auf der nächsten Seite) unterbunden, steigt die Wahrscheinlichkeit, dass sich der Anwender (wenn nicht automatisch, zumindest manuell) mit dem Evil-Twin-Access Point verbindet. Wie in Abbildung A.28 und Abbildung A.29 auf der nächsten Seite deutlich zu sehen, ist es grundsätzlich auch möglich durch einen adäquaten Eintrag in das entsprechende Header-Field des Beacon-Frames, welches der Access Points aussendet, einen verschlüsselten Evil Twin zu simulieren. Das würde dem
370
Anhang A Einzelheiten zur Untersuchung und Umsetzung
Abbildung A.27: Unterbrechen der Internetverbindung mittels eines Deauthentication-DoS-Angriffs
Anwender die Unterscheidung zwischen originalem Access Point und Evil Twin nahezu unmöglich machen. Wirksam wäre das nur, wenn eine Assoziierung durch den Anwender mit jedem beliebigen Pre-Shared-Key möglich ist, denn den PreShared-Key kennt der Angreifer gerade nicht. Eine derartige Umsetzung ist derzeit noch nicht bekannt. Das Tool Airbase-ng etwa setzt diese Möglichkeit bisher nur rudimentär um.
Abbildung A.28: Erzeugen eines verschlüsselten Evil Twins
Abbildung A.29: Der verschlüsselte Evil Twin im graphischen Netzwerkmanager
II. (Inhaltliche) Untersuchung des Netzwerkverkehrs
II. 1.
371
(Inhaltliche) Untersuchung des Netzwerkverkehrs
Auswerten der Daten und Herausfiltern der Kommunikationsinhalte a)
Tools
Es finden hier vor allem zwei Programme Verwendung. Genutzt wird hautpsächlich das Netzwerk-Analyse-Tool Wireshark.1660 Des Weiteren wird teilweise auf die ebenfalls freie Toolsammlung Dsniff1661 zurückgegriffen, weil sie in der Darstellung übersichtlicher ist. aa)
Wireshark
Wireshark stellt die Daten vornehmlich als Rohdaten zur Verfügung und ermöglicht einen Einblick in die tatsächlichen ausgetauschten Datenpakete. Mit Wireshark können sämtliche Daten, die am WLAN-Adapter des Angreifers ankommen, gespeichert werden. Es lassen sich aber auch nur die Daten eines spezifischen Access Points sniffen. Der Datenverkehr kann verschlüsselt mitgeschnitten werden und nachträglich entschlüsselt werden. Wireshark ermöglicht es aber auch die Datenpakete „on the fly“ zu entschlüsseln und dechiffriert abzuspeichern. bb)
Dsniff
Die verschiedenen Tools der Toolsammlung Dsniff protokollieren nur ausgewählte Informationen und erfüllen damit bereits eine Filterfunktion. Dsniff ist bereits älteren Datums und hat den Nachteil, dass sie nur mit auf Netzzugangsschicht unverschlüsselten Daten als Eingabe arbeitet. Will man sie verwenden, wenn der Datenverkehr des Ziel-Netzwerks mit WEP oder WPA/WPA2 verschlüsselt ist, müssen die Daten zuerst aufbereitet und entschlüsselt werden. Die dechiffrierten Daten können dann mit Dsniff analysiert und gefiltert werden. b) aa)
E-Mails
E-Mails versenden per Simple Mail Transfer Protocol
Im Test-Szenario wurde von einem Laptop über den E-Mail-Client (Apple Mail) von der E-Mail-Adresse „quux@emai...“ an die E-Mail-Adresse „foo10@emai...“ eine Nachricht mit der Betreff-Zeile „I can feel it. I can feel it.“1662 geschickt. Der E-Mail-Client nimmt im Hintergrund mit dem Mail-Server des E-MailDienstleisers Kontakt auf und sendet die E-Mail über das SMTP-Protokoll. Das Datenpaket mit der SMTP-Nachricht im Internet Message Format wurde von dem „Angreifer-Laptop“ mitgeschnitten. Mit Wireshark lässt sich das Datenpaket 1660 https://www.wireshark.org/ (Stand: Dezember 2017). 1661 http://www.monkey.org/~dugsong/dsniff/ (Stand: Dezember 2017). 1662 Sagt Supercomputer HAL in Stanley Kubrick’s 2001: A Space Odyssey.
372
Anhang A Einzelheiten zur Untersuchung und Umsetzung
herausfiltern. Das Tool stellt die Informationen bereits aufbereitet dar. Im oberen Teil des Mitschnitts finden sich die Informationen zu den Protokolldateneinheiten wie in Abbildung A.30 auf dieser Seite zu sehen ist. Erkennbar werden zum Beispiel die zum Einsatz kommenden Protokolle oder im Falle einer E-Mail der Sender, der Empfänger und die Betreffzeile. Im unteren Teil des gleichen Frames findet sich der eigentliche Inhalt der E-Mail (Abbildung A.31 auf der nächsten Seite). Mailsnarf als Teil der Dsniff-Toolsammlung filtert die gleiche E-Mail selbstständig aus dem Datenstrom heraus und stellt, wie in Abbildung A.32 auf Seite 374 zu sehen, die relevanten Informationen im Überblick dar.1663
Abbildung A.30: Mit Wireshark gesniffte Beispiel-E-Mail (Header-Informationen)
bb)
E-Mails empfangen: POP3/IMAP
Mailsnarf sammelt auch die Frames von POP3 automatisiert – wie in Abbildung A.33 auf Seite 374 zu sehen. cc)
Verschlüsseltes World Wide Web
(1)
Einzelheiten zur Funktionsweise von SSL/TLS
Soll eine SSL/TLS-Verbindung etabliert werden, stellt der Client zunächst eine TCP-Verbindung zum Server her und teilt in einem ersten Schritt dem Server 1663 Konkret wurde hier der mit Wireshark zuvor aufgezeichnete Datenstrom mit dem Tool Tcpreplay auf dem lokalen Interface (lo) erneut „abgespielt“. Dieser simulierten Datenstrom wurde dann von Mailsnarf analysiert.
II. (Inhaltliche) Untersuchung des Netzwerkverkehrs
373
Abbildung A.31: Mit Wireshark gesniffte Beispiel-E-Mail (Inhalt der E-Mail)
unter anderem die höchste von ihm unterstütze Version von SSL/TLS sowie eine client-seitig generierte Zufallszahl (Nonce) mit. In dieser Nachricht legt der Client ebenfalls dar, welche Cipher Suites er unterstützt, also welche Kombination von kryptographischen Algorithmen für die verschiedenen Aufgaben von seiner Seite aus zum Einsatz kommen können. In der Antwortnachricht wählt der Server eine Version aus den vorgeschlagenen Protokollversionen und eine Kombination aus den vorgeschlagenen Cipher Suites aus. Er überträgt ebenfalls eine server-seitig generierte Zufallszahl an den Client. Damit haben sich Server und Client auf das nun folgende Prozedere geeinigt und verfügen jeweils über die zwei Nonces. Abhängig von der gewählten Cipher Suite kann der Server dem Client ein X.509Zertifikat (dabei handelt es sich primär um den signierten öffentlichen Schlüssel des Servers) senden, mit dessen Hilfe der Client in die Lage versetzt wird, zu prüfen, ob es sich bei der Gegenseite wirklich um den erwarteten Server handelt, und nicht etwa um einen Man-in-the-Middle-Angreifer. Der Client authentifiziert sich meist nicht durch ein Zertifkat, auch wenn es nach dem Protokoll möglich wäre. Nun berechnet der Client zunächst aus allen bis zum diesem Punkt ausgetauschten Nachrichten einen Hashwert. Er signiert diesen Hashwert zum Beispiel über den RSA-Algorithmus als Signaturverfahren mit seinem privaten Schlüssel und sendet
374
Anhang A Einzelheiten zur Untersuchung und Umsetzung
Abbildung A.32: Mit Mailsnarf mitgeschnittene Beispiel-E-Mail
Abbildung A.33: Mit Mailsnarf mitgeschnittener E-Mail-Abruf über das Post Office Protocol
II. (Inhaltliche) Untersuchung des Netzwerkverkehrs
375
das Ganze an den Server. Hierdurch kann der Server mit dem öffentlichen Schlüssel des Clients die Authentizität der bisherigen Nachrichten des Clients überprüfen. Wurde eine Cipher Suite mit dem RSA-Verfahren auch für den Schlüsselaustausch gewählt, generiert der Client ein sogenanntes Pre-Master-Secret und sendet es mit dem Public Key des Servers verschlüsselt an ihn (das Zertifikat des Servers enthält in der Regel1664 den öffentlichen Schlüssel des Servers.). Wurde hingegen eine Cipher Suite mit dem Diffie-Hellmann-Schlüsselaustausch gewählt, wird über diesen Algorithmus das Pre-Master-Secret zwischen Client und Server ausgehandelt.1665 Sowohl Server als auch Client sind daraufhin im Besitz der beiden Zufallszahlen und des Pre-Master-Secrets und können daraus jeweils ihr gemeinsames Geheimnis, das Master Secret berechnen. Aus dem Master Secret erzeugen beide mehrere Schlüssel, die von nun an für die gesamte Sitzung der symmetrischen Verschlüsselung und Authentifizierung der ausgetauschten Datenpakete dienen. Im letzten Schritt wird der Handshake abgeschlossen. Dabei wird ein Hashwert und ein Message Authentication Code – generiert aus allen vorherigen Nachrichten – verschlüsselt ausgetauscht. Ist die Entschlüsselung sowie die Überprüfung des Hashwerts und des Message Authentication Codes erfolgreich, gilt die Authentizität und Integrität des Handshakes sichergestellt. Damit soll etwa verhindert werden, dass ein Man-in-the-Middle-Angreifer die eingangs noch unverschlüsselt ausgetauschten Nachrichten mit der Festlegung der Cipher Suite dahingehend modifiziert, dass nur eine schwache Kombination an Algorithmen vereinbart wird, obwohl Client und Server eigentlich auch stärkere Algorithmen unterstützen würden. Ab diesem Punkt erfolgt der Austausch der Datenpakete nur noch verschlüsselt und authentifiziert.1666 Wie bereits erwähnt, unterstützt SSL/TLS verschiedene Kombinationen von kryptographischen Algorithmen, die sogenannten Cipher Suites. Client und Server legen darin fest, welcher Algorithmus als Signaturverfahren für die Authentifizierung, welcher Algorithmus für den Schlüsselaustausch, welcher Algorithmus für die eigentliche Verschlüsselung und welcher Algorithmus als Hashfunktion für die Datenintegrität genutzt werden soll. Eine Übersicht über die möglichen Kombinationen findet sich auf https://www.iana.org/assignments/tls-parameters/tls-
1664 Wenn nicht, kann der Server seinen öffentlichen Schlüssel separat mit der ServerKeyExchange-Nachricht übertragen. 1665 Alexander, Netzwerke und Netzwerksicherheit, S. 244 f. 1666 Zum Ganzen siehe: Rescorla, SSL and TLS: Designing and Building Secure Systems, S. 57 ff; Kurose/Ross, Computernetzwerke, S. 770 ff; Tanenbaum/Wetherall, Computernetzwerke, S. 961 ff; Schwenk, Sicherheit und Kryptographie im Internet, S. 92 ff.
376
Anhang A Einzelheiten zur Untersuchung und Umsetzung
parameters.xhtml (Stand: Januar 2015).1667 Tabelle A.1 listet die Cipher Suites und Algorithmen auf, die von besonderer Bedeutung sind. Tabelle A.1 Übersicht über einschlägige Cipher Suites Cipher Suite
SchlüsselAuthentifizierung Verschlüsselung Hashfunktion austausch RSARSA-Algorithmus RC4 Message Algorithmus Digest 5
TLS_RSA_ WITH_RC4_ 128_MD5 TLS_RSA_ RSARSA-Algorithmus Triple Data WITH_3DES_ Algorithmus Encryption EDE_CBC_SHA Standard im CBC-Modus TLS_ECDHE_ Elliptic Elliptic Curve Advanced ECDSA_WITH_ Curve Diffie- Digital Signature Encryption Hellmann AES_128_ Algorithm Standard im CBC_SHA256 CBC-Modus TLS_ECDHE_ Elliptic RSA-Algorithmus Advanced Curve DiffieRSA_WITH_ Encryption Hellmann AES_128_ Standard im CBC_SHA256 CBC-Modus
Secure Hash Algorithm Secure Hash Algorithm 2 Secure Hash Algorithm 2
Lange Zeit war TLS_RSA_WITH_RC4_128_MD5 die bevorzugte Cipher Suite der Browser.1668 Bei dieser Kombination kommt RSA sowohl für den Schlüsselaustausch als auch für die Authentifizierung zum Einsatz, die eigentliche Verschlüsselung erfolgt über die schnelle Stromchiffre RC4 bei einer Schlüssellänge von 128 Bit und als Hashfunktion wird das Message Digest 5-Verfahren (MD5) genutzt. Auf Serverseite war die Unterstützung der Kombination TLS_RSA_WITH_3DES_EDE_CBC_ SHA noch etwas weiter verbreitet.1669 Anstelle über RC4 wird bei dieser Cipher Suite die Verschlüsselung über die dreifache Ausführung des Data Encryption Algorithm (Encrypt-Decrypt-Encrypt-Variante) im Cipher Block Chaining-Modus realisiert. Statt MD5 wird der Secure Hash Algorithm (SHA) als Hashfunktion bevorzugt. Empfohlen wird derzeit (Stand: 2015) als sicher aber der Diffie-Hellman-Algorithmus über elliptische Kurven (ECDHE)1670 für den Schlüsselaustausch und RSA 1667 Die vom eigenen Browser unterstützten Cipher Suites zeigt eine Testeite der Universität Hannover: https://cc.dcsec.uni-hannover.de/ (Stand: Dezember 2017). Auf https:// www.ssllabs.com/ssltest/analyze.html (Stand: Dezember 2017) lässt sich herausfinden, welche Cipher Suites die einzelnen Webserver unterstützen. 1668 Ristic, Internet SSL Survey 2010, S. 40. 1669 Ebd. Vgl. Fußnote 1668 auf der vorherigen Seite. 1670 ECDHE = Elliptic Curve Diffie-Hellmann-Key-Agreement ephemeral.
II. (Inhaltliche) Untersuchung des Netzwerkverkehrs
377
oder der Digital Signature Algorithm über elliptischen Kurven (ECDSA)1671 als Signaturverfahren in Kombination mit einer mindestens 128 Bit starken Advanced Encryption Standard-Verschlüsselung (AES) und dem SHA-Nachfolger SHA-2 für die Integritätsprüfung.1672 Die meisten Browser sind in der Lage die Cipher Suite der aktuell genutzten Verbindung anzuzeigen, vgl. Abbildung A.34.
Abbildung A.34: Vom Browser angezeigte Cipher Suite der aktuellen Verbindung
1671 ECDSA = Elliptic Curve Digital Signature Algorithm. 1672 BSI, Kryptographische Verfahren: Empfehlungen und Schlüssellängen, S. 6.
Anhang B Detailinformationen zur Arbeitsweise des Internet-Netzwerks I.
Details zu den einzelnen Schichten des TCP/IP-Referenzmodells 1. a)
Anwendungsschicht
SMTP als Beispielprotokoll
Als typischer Fall für eines der unzähligen Protokolle der Anwendungsschicht soll das Simple Mail Transfer Protocol (SMTP) die Vorgehensweise dieser Protokolle exemplarisch klarmachen. aa)
Grundlegendes
SMTP und seine Erweiterungen spielen noch immer eine zentrale Rolle bei Benutzung des klassischen E-Mail-Dienstes (beim Versenden der E-Mails mit Hilfe eines E-Mail-Client wie etwa Thunderbird oder Outlook).1673 SMTP kommt dabei die Aufgabe zu den Transport der E-Mails vom E-Mail-Client des Anwenders zum Mail-Server des Dienstanbieters, ebenso wie den Transport von einem Mail-Server eines Anbieters zum Mail-Server eines anderen Anbieters zu organisieren.1674 bb)
Kontaktaufnahme
In RFC 5321 (SMTP)1675 und RFC 5322 (Internet Message Format)1676 sind die Regeln für die Kontaktaufnahme mit dem Mail-Server und die Art des Formats der E-Mail festgelegt, die eingehalten werden müssen, um vom Mail-Server verstanden werden zu können.1677 Ohne auf die Architektur und Funktionsweise des E-Mail1673 Nicht zu verwechseln mit Webmail-Diensten wie z.B. gmail.com oder hotmail.com, die die Verwaltung der E-Mails (auch) über den Browser und damit über das WWW erlauben. Vgl. Tanenbaum/Wetherall, Computernetzwerke, S. 733 f. 1674 Tanenbaum/Wetherall, Computernetzwerke, S. 725. Für den Abruf der Mails vom Mail-Server hingegen ist es nicht mehr zuständig ist, sondern das Post Office Protocol Version 3 (POP3), vgl. Kurose/Ross, Computernetzwerke, S. 157. 1675 abrufbar unter: http://tools.ietf.org/html/rfc5321 (Stand: Dezember 2017). 1676 abrufbar unter: http://tools.ietf.org/html/rfc5322 (Stand: Dezember 2017). 1677 Grimm/Pähler, E-Mail-Forensik – IP-Adressen und ihre Zuordnung zu InternetTeilnehmern und ihren Standorten, S. 19.
I. Details zu den einzelnen Schichten des TCP/IP-Referenzmodells
379
Dienstes in seiner Gesamtheit eingehen zu wollen,1678 stellen Sender (ClientRechner) und Mail-Server eine TCP-Verbindung her.1679 Der Client stellt sich entsprechend der SMTP-Protokoll-Regeln vor, gibt die gewünschte Absender- und Empfänger-Adresse an und kündigt die E-Mail an. Um SPAM zu vermeiden, sehen inzwischen die meisten E-Mail-Dienst-Anbieter zumindest eine Authentifizierung zwingend vor. Abschließend wird die TCP-Verbindung beendet.1680 Weil SMTP ein auf ASCII1681 basierendes Protokoll ist, lässt es sich einfach nachvollziehen. Im folgenden Beispiel wird die Verbindung durch den Inhaber von [email protected] mit dem Mail-Server seines Anbieters (Arcor AG & Co. KG) über Port 587 realisiert,1682 um eine E-Mail an [email protected] zu senden: telnet mail.arcor.de 587 (Aufbau der TCP-Verbindung Trying 151.189.21.116... über das Telnet-Protokoll) Connected to mail.arcor-online.net. Escape character is ’^]’. 220 mail-in-05.arcor-online.net ESMTP arcor.de Mailservices usermail Helo ns1.uzh.ch 250 mail-in-05.arcor-online.net Hello ns1.uzh.ch [130.60.179.35] auth login (Authentifizierung in Base64-Codierung) 334 VXNlcm5hbWU6 („Username: “ in Base64-Codierung) cXV1dXhAYXJjb3IuZGU= 334 UGFzc3dvcmQ6 („Password: “ in Base64-Codierung) TGV0bWVpbg== 235 2.7.0 Authentication successful mail from: [email protected] (SMTP-Befehl: Envelope-To) 250 2.1.0 Ok rcpt to: [email protected] (Envelope-From) 250 2.1.5 Ok data 354 End data with . to: Foobar (Beginn des eigentlichen Headers) from: Quuux subject: Test-Email (Ende des eigentlichen Headers) Hallo! . 250 2.0.0 Ok: queued as 85D50E542A quit
(E-Mail-Body)
1678 Für weitereführende Informationen siehe: https://www.kubieziel.de/computer/email. html (Stand: Dezember 2017). 1679 Vgl. RFC 5321, S. 4. Abrufbar unter: http://tools.ietf.org/html/rfc5321 (Stand: Dezember 2017). 1680 Zum ganzen Vorgang: RFC 5321, S. 16 ff. Abrufbar unter: http://tools.ietf.org/html/ rfc5321 (Stand: Dezember 2017). 1681 American Standard Code for Information Interchange. 1682 Die für die Zustellung der Nachricht wichtigen SMTP-Befehle MAIL FROM und RCPT TO sind nicht Bestandteil des eigentlichen E-Mail-Headers.
380
Anhang B Detailinformationen zur Arbeitsweise des Internets
221 2.0.0 Bye Connection closed by foreign host.
2. a)
Transportschicht
TCP als Beispielprotokoll
Das Transmission Control Protocol ist das wohl am weitesten verbreitete Protokoll der Transportschicht im Internet-Netzwerk und wird von den meisten Anwendungen wie World Wide Web und dem E-Mail-Dienst zur Übertragung genutzt.1683 aa)
Grundlegendes
TCP gilt als zuverlässiges und verbindungsorientiertes Protokoll.1684 Es stellt eine direkte Verbindung zwischen einem Anwendungsprozess auf dem Sender-Host und einem Anwendungsprozess auf dem Empfänger-Host her.1685 TCP ergänzt das unzuverlässige Internet Protocol und stellt sicher, dass über die vielen verschiedenen Netzwerke, die das Internet ausmachen, mit ihren verschiedenen Architekturen, Übertragungsgeschwindigkeiten und Paketgrößen, gewährleistet werden kann, dass die übertragenen Daten fehlerlos und in der richtigen Reihenfolge bei einer Anwendung ankommen.1686 Dafür werden die versendeten Segmente von TCP mit sogenannten Sequence Numbers durchnummeriert. Die Ankunft der Segmente bestätigt die Empfängerseite mit den Acknowledgment Numbers. Erhält der Sender in einer vorgegebenen Zeit keine Bestätigung für ein bestimmtes Segment sendet er es erneut. Mit Hilfe der Sequence Numbers setzt der Empfänger die Segmente in die richtige Reihenfolge. Erst wenn die Daten vollständig und geordnet sind, werden sie der Anwendung übergeben.1687 bb)
Verbindungsorientierung
Weil TCP ein verbindungsorientiertes Protokoll ist, muss vor der eigentlichen Datenübertragung eine logische Verbindung zwischen Sender und Empfänger aufgebaut und nach der Datenübertragung auch wieder abgebaut werden.1688 Man 1683 Alexander, Netzwerke und Netzwerksicherheit, S. 23; Kappes, Netzwerk- und Datensicherheit, S. 118. 1684 Im Gegensatz zum ebenfalls verbreiteten verbindungslosen User Datagramm Protocol (UDP), welches die Segmente auf das Geratewohl sendet ohne auf eine Bestätigung zu warten, so dass Dateneinheiten verloren gehen können. Es hat andere Vorteile und wurde für andere Aufgaben konzipiert, als TCP. 1685 Kurose/Ross, Computernetzwerke, S. 226. 1686 Hunt, TCP/IP - Netzwerk-Administration, S. 21; Tanenbaum/Wetherall, Computernetzwerke, S. 628. 1687 Dazu: Kappes, Netzwerk- und Datensicherheit, S. 118 f. 1688 Hunt, TCP/IP - Netzwerk-Administration, S. 21.
I. Details zu den einzelnen Schichten des TCP/IP-Referenzmodells
381
sollte bei Analyse des Netzwerkverkehrs wissen, dass in vielen Implementierungen die ersten übertragenen Bytes spezielle „leere“ Segmente ohne Nutzlast sind, was aber nicht zwingend erforderlich ist.1689 Ein typischer Verbindungsaufbau, oft als Three-Way-Handshake1690 bezeichnet, erfolgt in drei Schritten:1691 1. Schritt Der Sender verschickt an den avisierten Empfänger ein erstes Segment. Darin kündigt er den Wunsch nach einem Verbindungsaufbau durch das Setzen der SYN-Flag1692 im TCP-Header des Segmentes auf 1 an. Gleichzeitig wählt er eine (aus Sicherheitsgründen in der Regel zufällige) Sequence Number aus, die ebenfalls Bestandteil des TCP-Headers ist. SYN-Flag= 1, Seq.No.= x −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−→ 2. Schritt Der Empfänger bestätigt den Erhalt des Segmentes, in dem er das Acknowledgment-Feld im Header des Antwort-Segmentes mit der um eins erhöhten Seqence Number des Senders füllt und die ACK-Flag auf eins setzt. Gleichzeitig sendet er seine eigene Sequence Number (und setzt dementsprechend die SYN-Flag auch auf 1). ACK-Flag= 1, Ack.No.= x+1, SYN-Flag= 1, Seq.No.= y ←−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− 3. Schritt Der Sender bestätigt wiederum den Empfang des Antwort-Segmentes durch das Beschreiben seines Acknowledgment-Feldes mit der um eins erhöhten Sequence Number des Empfängers und dem Setzen der ACK-Flag. Zeitgleich erhöht er zur Durchnummerierung der Segmente seine Sequence Number um eins, setzt die SYN-Flag aber auf 0, weil diese Verbindung als hergestellt betrachtet wird. ACK-Flag= 1, Ack.No.= y+1, SYN-Flag= 0, Seq.No.= x+1 −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−→ 1689 Auch die verbingungsanbahnenden Segmente können schon Rohdaten enthalten, vgl. Kappes, Netzwerk- und Datensicherheit, S. 122. 1690 Exemplarisch für viele Andere: Kappes, Netzwerk- und Datensicherheit, S. 121. 1691 Zum Ganzen siehe: Zisler, Computer-Netzwerke: Grundlagen, Funktionsweise, Anwendung, S. 190; Kappes, Netzwerk- und Datensicherheit, S. 121 f; Kurose/Ross, Computernetzwerke, S. 294 ff. 1692 Mit Flags kann in der Informatik z.B. durch Setzen eines speziellen Bits auf 0 oder 1 ein Zustand markiert werden.
382
Anhang B Detailinformationen zur Arbeitsweise des Internets
Damit ist der Verbindungsaufbau abgeschlossen und die eigentliche Datenübertragung kann beginnen. Der typische Verbindungsabbau erfolgt ähnlich mit Hilfe der FIN-Flag.1693 3. a)
Internetschicht
IP(v4) als Beispielprotokoll
Das Internet Protocol ist das wichtigste1694 Protokoll der Internetschicht und bildet als Kerntransportprotokoll1695 das Rückgrat1696 des Internet-Netzwerkes. Es wird folgend das Internet Protocol in der Version 4 (IPv4) betrachtet, weil die Version 6 (IPv6) noch immer nicht zentral verbreitet ist.1697 aa)
Grundlegendes
IP ist ein unzuverlässiges und verbindungsloses Protokoll.1698 Die Dateneinheiten werden „auf gut Glück“ in das Netzwerk versandt.1699 „Auf gut Glück“ bedeutet, IP überprüft nicht, ob die Dateneinheiten fehlerfrei und vollständig ihr Ziel erreichen. Sie können verloren gehen, in unterschiedlicher Reihenfolge oder doppelt ankommen.1700 Das Internet Protocol arbeitet mit Methoden wie Adressierung, Weiterleitung (Forwarding) und Routing.1701 Adressierung etwa bedeutet, dass jede versendete Dateneinheit mit IP-Adressen (Quell- und Zieladresse) versehen ist. Die netzwerkübergreifend eindeutigen Adressen befinden sich am Anfang des Paketes als Bit-Folge.1702 Anhand dieser Adressen ist es dem Internet Protocol möglich einen Pfad durch die Netzwerke zu finden und die Daten zum gewünschten Endgerät zu routen.1703 bb)
Adressierung
IP-Adressen sind logische Adressen und hardwareunabhängig. Sie werden im jeweiligen Netzwerk zugewiesen. Die Zuweisung (in der Regel von ganzen 1693 1694 1695 1696 1697 1698 1699 1700 1701 1702 1703
Siehe Kappes, Netzwerk- und Datensicherheit, S. 122 f. Hunt, TCP/IP - Netzwerk-Administration, S. 14. Alexander, Netzwerke und Netzwerksicherheit, S. 12. Kappes, Netzwerk- und Datensicherheit, S. 112. Examplarisch kann die von Google Inc. veröffentlichte Statistik betrachtet werden, nach der derzeit ca. 21 % der Zugriffe auf Google-Services über IPv6 erfolgt (Dezember 2017), vgl. http://www.google.de/ipv6/statistics.html (Stand: Dezember 2017). Kappes, Netzwerk- und Datensicherheit, S. 112. Zisler, Computer-Netzwerke: Grundlagen, Funktionsweise, Anwendung, S. 104. Riggert, Rechnernetze: Grundlagen, Ethernet, Internet, S. 114. Ciccarelli et al., Networking Basics, S. 49. Alexander, Netzwerke und Netzwerksicherheit, S. 16. Riggert, Rechnernetze: Grundlagen, Ethernet, Internet, S. 130.
I. Details zu den einzelnen Schichten des TCP/IP-Referenzmodells
383
Adressblöcken) erfolgt ausgehend von der Internet Corporation for Assigned Names and Numbers (ICANN) über die regionalen Internetregistrare und den eigenen Internet Service Provider (ISP).1704 Die Zuordnung ist veränderlich und vergleichbar mit der Zuordnung amtlicher KFZ-Kennzeichen.1705 Für den Zeitraum der Partizipation am Internet muss die Zuordnung der IP-Adresse innerhalb des Internet-Netzwerkes allerdings weltweit eindeutig sein.1706 Über die regionalen Internetregistrare lassen sich nur die Besitzer1707 der IP-Adressräume öffentlich abfragen, so dass eine direkte Zuordnung der einzelnen IP-Adressen zu konkreten Nutzern durch jedermann zwar nicht möglich ist, eine geographische Eingrenzung des Aufenthaltsortes aber schon (Geolocation).1708 Zu beachten ist, dass nicht jede Teilnehmerstation eine eigene IP-Adresse besitzt, sondern jede Schnittstelle,1709 so dass Geräte mit mehreren Schnittstellen (z.B. Router) auch über mehrere IP-Adressen verfügen.1710 (1)
IP-Adressen
IP-Adressen sind 32 Bit (4 Byte) lang, bestehend aus vier Blöcken à 1 Byte.1711 Üblich ist die Darstellung in Dezimalschreibweise und Trennung der Blöcke durch Punkte. Die größte in 8 Bit darstellbare Dezimalzahl und somit größte Zahl eines Blockes ist 255 (11111111). • Beispiel: 134.34.212.10 • In binärer Schreibweise: 10000110 00100010 11010100 00001010 Der erste Teil der IP-Adressen besteht aus der Netzwerk-Adresse, der zweite Teil aus der Host-Adresse, mit jeweils variablem Anteil an der Gesamtgröße. Wie groß der jeweilige Anteil ist (z.B. 7 Bits für die Netzwerk-Adresse und 24 1704 Für die weitergehende Verteilung der Adressen eines Adressblockes an die einzelnen Endgeräte(-Schnittstellen) wird mittlerweile mehrheitlich das Dynamic Host Configuration Protocol (DHCP) verwendet, vgl. mit weiterführenden Dartellungen: Kurose/Ross, Computernetzwerke, S. 385 ff. 1705 Zisler, Computer-Netzwerke: Grundlagen, Funktionsweise, Anwendung, S. 82. 1706 Janowicz, Sicherheit im Internet, S. 18, 26 ff, Kurose/Ross, Computernetzwerke, S. 379. 1707 Oft der Internet Service Provider. 1708 Grimm/Pähler, E-Mail-Forensik – IP-Adressen und ihre Zuordnung zu InternetTeilnehmern und ihren Standorten, S. 3. 1709 Schnittstellen bezeichnen den Übergang von einer Teilnehmerstation zu einer physikalischen Leitung. 1710 Kurose/Ross, Computernetzwerke, S. 378 f. 1711 Alexander, Netzwerke und Netzwerksicherheit, S. 16.
384
Anhang B Detailinformationen zur Arbeitsweise des Internets
Bits für die Host-Adresse)1712 wurde früher durch Netzklassen bestimmt.1713 Die grundsätzliche Begrenzung des Adressraumes auf 4294967296 (232 ) Adressen1714 insgesamt, und die mit den Netzklassen einhergehende Verschwendung von IPAdressen, führte zur Etablierung des Classless Inter-Domain Routing (CIDR), bei dem die Aufteilung in Netzwerk-Teil und und Host-Teil flexibel über eine Netzmaske erfolgt.1715
(2)
Network Address Translation
Eine weitere, auch im Zusammenhang mit der Untersuchung des Netzwerkverkehrs relevante, Möglichkeit der steigenden Zahl ip-basierter Endgeräte Herr zu werden, ist der inzwischen weit verbreitete Einsatz von Netzwerk-Adressübersetzung (NAT)1716. Der Grundgedanke besagt, dass dem Betreiber (z.B. einem Haushalt) eines kleinen Heimnetzwerkes nur eine einzige IP-Adresse zur Nutzung nach außen im Internet-Netzwerk zugewiesen wird. Alle IP-fähigen Geräte (-Schnittstellen) innerhalb des Heimnetzwerkes verfügen über IP-Adressen aus speziellen, reservierten IP-Adressbereichen,1717 die im Internet-Netzwerk nicht verwendet werden dürfen. Die versendeten Dateneinheiten werden beim Verlassen des Heimnetzwerkes umadressiert. Ein NAT-beherrschender Router übersetzt die speziellen lokalen IP-Adressen in die eine öffentliche IP-Adresse. Die Antwort aus dem InternetNetzwerk wird über die von der NAT-Einheit angelegten Zuordnungstabelle unter Einbeziehung der TCP-Portnummern1718 dem entsprechenden Host innerhalb des Heimnetzwerkes zugeordnet und rückadressiert.1719 Für die Kommunikationspartner im Internet-Netzwerk sieht es so aus, als würden sie nur mit einem Host kommunizieren, auch wenn sich tatsächlich mehreren Hosts hinter dem NAT-fähigen Gerät verbergen.1720 Im Ergebnis besitzen verschiedene Hosts nach außen ein und dieselbe IP-Adresse, so dass eine eindeutige Zuordnung der im Internet-Netzwerk genutzten IP-Adresse zu einem Host nicht immer ohne Weiteres möglich ist.1721 1712 Das erste Bit wird für die Angabe der Klasse benötigt. 1713 Hunt, TCP/IP - Netzwerk-Administration, S. 29 und S. 30. 1714 https://www.ripe.net/about-us/press-centre/understanding-ip-addressing (Stand: Dezember 2017). 1715 Hunt, TCP/IP - Netzwerk-Administration, S. 35 f. 1716 Network Address Translation. 1717 Diese speziellen IP-Adressen sind dann in jedem Heimnetzwerk gleich wie z.B. die vertraute 192.168.0.x Adresse. 1718 Zur Aufgabe von TCP-Portnummer siehe Fußnote 1798 auf Seite 394. 1719 Zum Ganzen siehe: Tanenbaum/Wetherall, Computernetzwerke, S. 516 ff. 1720 Kurose/Ross, Computernetzwerke, S. 390. 1721 Tanenbaum/Wetherall, Computernetzwerke, S. 519.
I. Details zu den einzelnen Schichten des TCP/IP-Referenzmodells
cc)
385
Routing und Weiterleitung
Um einer präziseren Formulierung Willen sollen zunächst zwei Begriffe sauber getrennt werden. Die Weiterleitung im engeren Sinne meint lediglich die Übergabe der Daten von der Eingangsleitung (-Schnittstelle) an die Ausgangsleitung (-Schnittstelle) innerhalb eines Netzwerkknotens1722/eines Routers.1723 Mit Routing hingegen wird die Bestimmung des Weges/Pfades durch die verschiedenen Netzwerke hindurch beschrieben, die ein Datenpaket zwischen den Endgeräten wählt.1724 Anhand eines Abgleich der IP-Zieladresse mit der Routing-Tabelle entscheidet ein Knoten, an welche nächste Station er eine Dateneinheit versendet. Findet der Knoten zu der IP-Adresse einen entsprechenden Eintrag in der Tabelle, versendet er die Dateneinheiten gemäß des ermittelten Eintrages. Findet er keinen speziellen Eintrag, schickt er sie an eine zuvor eingestellte Standard-Station1725. Diese ist dann für den weiteren Weg zuständig und so fort. Sollte für das Ziel weder ein Eintrag existieren noch eine Standard-Station verfügbar sein, wird die Dateneinheit gelöscht und eine entsprechende ICMP-Nachricht versandt.1726 Die Routing-Tabellen werden dynamisch durch spezielle Routing-Protokolle wie zum Beispiel das Routing Information Protocol (RIP), das Open Shortest Path First (OSPF) und das Border Gateway Protocol (BGP) erzeugt.1727 Weil die potentielle Zahl an Verbindungsknoten im gesamten Internet-Netzwerk sehr hoch ist, können mit Hilfe des bereits angesprochenen CIDR mehrere Netze unter einer Adresse1728 angesprochen werden (Adress- bzw. Routenaggregation), so dass die Größe der Routing-Tabellen handhabbar bleibt.1729 Aus Perspektive der Netzwerkverkehrsanalyse ist folgendem Umstand Beachtung zu schenken: Weil die Weiterleitungstabellen im Schnitt ca. alle ein bis fünf Minuten erneuert werden, können aufeinanderfolgende Datagramme auf verschiedenen Pfaden zum Ziel-Host gelangen und in unterschiedlicher Reihenfolge ankommen.1730 1722 Diese Zwischenstationen werden häufig als Hops bezeichnet, vgl. Alexander, Netzwerke und Netzwerksicherheit, S. 49. 1723 Kurose/Ross, Computernetzwerke, S. 346. 1724 Janowicz, Sicherheit im Internet, S. 31. 1725 Default Gateway. 1726 Zum Ganzen: Riggert, Rechnernetze: Grundlagen, Ethernet, Internet, S. 121 f. 1727 Kappes, Netzwerk- und Datensicherheit, S. 115. 1728 Präziser: Präfix. 1729 Kurose/Ross, Computernetzwerke, S. 382 f. 1730 Kurose/Ross, Computernetzwerke, S. 358 f.
386
dd)
Anhang B Detailinformationen zur Arbeitsweise des Internets
Fragmentierung
Wie bereits erwähnt, ist eine Stärke des IP seine Fähigkeit mit unterschiedlichsten Medien und Protokollen der tiefer gelegenen Netzzugangsschicht umgehen zu können. Da es keine Vorschrift über die Größe der Dateneinheiten auf Netzzugangsebene gibt, muss sich IP flexibel dem zu Grunde liegenden Protokoll anpassen können.1731 Die IP-Dateneinheit darf nur maximal so groß sein, wie die Dateneinheit des jeweils konkret eingesetzten Netzzugangsschicht-Protokolls. Diese Einheit wird als maximale Übertragungseinheit (MTU)1732 bezeichnet.1733 Daher ist das IP auch in der Lage größere Dateneinheiten in kleinere Einheiten der Größe der MTU zu fragmentieren und später wieder zusammenzusetzen. Nur eine vollständig wieder zusammengesetzte Dateneinheit wird dem TransportschichtProtokoll übergeben1734 bzw. bei Verlust einzelner Fragmente verworfen.1735 Das Internet Protocol kalkuliert dabei nicht die MTU des gesamten Transportweges, sondern nur die MTU des direkt nachfolgenden Wegabschnittes mit ein.1736 Wird der Netzwerkverkehr an irgendeinem mittleren Teil der gesamten Übertragungsstrecke beobachtet, muss man sich bewusst sein, dass unter Umständen nur Fragmente einzelner Dateneinheiten analysiert werden können, denn das Zusammenfügen vollzieht sich erst in den Endgeräten und nicht in den einzelnen Teilstationen.1737 4. a)
Netzzugangsschicht (Sicherungs-/Bitübertragungsschicht) Ethernet als Beispielprotokoll der Netzzugangsschicht
Unter dem Stichwort Ethernet wird die, auf der Ebene der Netzzugangsschicht, weltweit am weitesten verbreitete1738 Protokollfamilie für (kabelgebunde) Netzwerke zusammengefasst.1739 Ethernet ist mit geringen Abweichungen von dem Institute of Electrical and Electronics Engineers (IEEE)1740 als Standard IEEE 802.3 normiert. 1731 1732 1733 1734 1735 1736 1737 1738 1739 1740
Riggert, Rechnernetze: Grundlagen, Ethernet, Internet, S. 119. Maximal Transmission Unit Hunt, TCP/IP - Netzwerk-Administration, S. 18. Kurose/Ross, Computernetzwerke, S. 375. Es ist dann Aufgabe des Protokolls der Transportschicht mit dem Problem des Verlustes umzugehen. Alexander, Netzwerke und Netzwerksicherheit, S. 13. Kurose/Ross, Computernetzwerke, S. 376. Es wurde von einer Ausbreitung von bis zu 90 % gesprochen, vgl. Rech, Ethernet: Technologien und Protokolle für die Computervernetzung, S. 31. Tanenbaum/Wetherall, Computernetzwerke, S. 329. Das IEEE ist ein weltweiter Berufsverband von Ingenieuren, siehe https://www.ieee. org/about/index.html (Stand: Dezember 2017).
I. Details zu den einzelnen Schichten des TCP/IP-Referenzmodells
aa)
387
Grundlegendes
Der Ethernet-Standard umfasst sowohl Beschreibungen für die Bitübertragungsschicht, wie etwa Vorschriften für die Aufbereitung der Daten in Abhängigkeit des übertragenden Mediums1741 oder Anforderungen an die einzelnen Netzwerkkomponenten,1742 als auch für die Schicherungsschicht, wie Zugriffsverfahren auf das Übertragungsmedium1743 – zum Beispiel ob das Medium frei bzw. belegt ist oder Probleme des gleichzeitigen Mehrfachzugriffs.1744 Ethernet existiert in vielen verschiedenen Ausprägungen für verschiedene Medien (z.B. Koaxial-, Twisted Pair-, Glasfaserkabel) und Übertragungsgeschwindigkeiten (10 MBit/s, 100 Mbit/s, 1 GBit/s, 10 GBit/s usw.).1745 Das klassische Ethernet unter Verwendung des CSMA/CD-Algorithmus1746 zur Kollisionsvermeidung ist heute weitestgehend von Switched Ethernet (im Vollduplex-Modus) verdrängt worden.1747 Ethernet stellt die Dateneinheiten an die einzelnen Netzwerkkomponenten mit Hilfe von Hardware-Adressen1748 zu. Weil die Reichweite von Hardware-Adressen auf ein gemeinsames lokales Netzwerk (LAN) beschränkt ist, funktioniert diese Art der Adressierung nur bis zur Netzwerkgrenze. Für den netzwerkübergreifenden Transport sind dann die bereits beleuchteten IP-Adressen notwendig.1749 bb)
Adressierung
Die Adressierung erfolgt über die MAC-Adresse. Sie ist weltweitig eindeutig.Die eindeutige Zuordnung ist möglich, weil die ersten drei Bytes1750 der MAC-Adresse vom IEEE zentral verwaltet werden.1751 Diese Bytes werden in der Regel als Organizationally Unique Identifier (OUI) bezeichnet und jeder Hersteller von Netzwerkschnittstellen muss einen solchen OUI bei der IEEE erwerben.1752 Für MAC-Adressen ist insgesamt eine Länge von 6 Byte (48 Bit) vorgeschrieben. Einer allgemeinen Übereinkunft gemäß, wird jedes Byte in hexadezimaler (Verwendung der Basis 16) Schreibweise dargestellt. Zu beachten ist, dass Ethernet die 1741 1742 1743 1744 1745 1746 1747 1748 1749 1750 1751 1752
Rech, Ethernet: Technologien und Protokolle für die Computervernetzung, S. 37 ff. Reisner, Ethernet: das Grundlagenbuch, S. 63. Rech, Ethernet: Technologien und Protokolle für die Computervernetzung, S. 59. Rech, Ethernet: Technologien und Protokolle für die Computervernetzung, S. 63 ff. Rech, Ethernet: Technologien und Protokolle für die Computervernetzung, S. 36. Carrier Sense Multiple Access with Collision Detection (CSMA/CD). Tanenbaum/Wetherall, Computernetzwerke, S. 329; Riggert, Rechnernetze: Grundlagen, Ethernet, Internet, S. 73. Dazu ausführlicher sogleich in Abschnitt (e) auf Seite 50. Dazu: Zisler, Computer-Netzwerke: Grundlagen, Funktionsweise, Anwendung, S. 77. Präziser: Bit 3 - Bit 24, vgl. Riggert, Rechnernetze: Grundlagen, Ethernet, Internet, S. 70. Eine entsprechende Datenbank findet sich zum Beispiel unter: http://www.coffer.com/ mac_find/ (Stand: Dezember 2017). Zum Ganzen: Kappes, Netzwerk- und Datensicherheit, S. 110.
388
Anhang B Detailinformationen zur Arbeitsweise des Internets
kanonische Form der Darstellung wählt. Das bedeutet, vereinfacht gesagt, dass die einzelnen Bits innerhalb eines Bytes von rechts nach links gelesen werden (Most Significant Bit).1753 • Beispiel:1754 00-23-32-C8-64-80 • In binärer Schreibweise: 00000000 11000100 01001100 00010011 00100110 00000001 Das erste Bit (I/G)1755 legt fest, ob sich um eine individuelle oder eine Gruppenadresse, das zweite Bit (U/L)1756, ob es um eine global eindeutige (also von der IEEE verwaltete) oder lokal vergebene Adresse handelt.1757 Die ersten beiden Bits haben also in der Regel beide den Wert 0 inne, gefolgt von dem OUI und abschließend dem individuellen Teil1758 der Adresse.1759 b) aa)
IEEE 802.11 (WLAN) als Beispielprotokoll der Netzzugangsschicht
Die IEEE 802.11-Protokollfamilie
Wie der IEEE 802.3-Standard (Ethernet)1760 umfasst auch die 802.11-Protokollfamilie mehrere Spezifikationen. Die wichtigsten sind 802.11a, 802.11b, 802.11g und 802.11n. Die verschiedenen Protokolle der 802.11-Familie einen viele Gemeinsamkeiten und die grundlegende Struktur. Differenzen ergeben sich hier vor allem auf der Bitübertragungsschicht infolge unterschiedliche Übertragungstechniken.1761 Deswegen weichen sie auch in Übertragungsgeschwindigkeit und genutzter Frequenz voneinander ab. Die folgende Tabelle B.1 auf der nächsten Seite fasst die diesbezüglichen Unterschiede zusammen:1762 bb)
Medienzugriff
Das übertragungstechnische Verfahren für den Zugriff auf den Access Point, insbesondere zur Lösung des Kollisionsproblems bei gleichzeitigem Mehrfach1753 1754 1755 1756 1757 1758 1759 1760 1761 1762
Plate, Grundlagen Computernetze, Abschnitt Ethernet. 00-23-32 ist z.B. ein OUI für Apple Inc. Individual/Group =ˆ 0/1. Universal/Local =ˆ 0/1. Riggert, Rechnernetze: Grundlagen, Ethernet, Internet, S. 70. Der individuelle Teil ist auf 224 =ˆ 16777216 verschiedene Adressen beschränkt, so dass große Hersteller mehrere OUI besitzen. Dazu: Plate, Grundlagen Computernetze, Abschnitt Ethernet. Siehe Anhang A, Abschnitt aa) auf der vorherigen Seite. Tanenbaum/Wetherall, Computernetzwerke, S. 350 f. Vgl. Rech, Wireless LANs, S. 5 ff.
I. Details zu den einzelnen Schichten des TCP/IP-Referenzmodells
389
Tabelle B.1 Die wichtigsten 802.11-(Teil-)Protokolle im Vergleich 802.11-Standard 802.11a 802.11b 802.11g 802.11n
Übertragungsgeschwindigkeit bis 54 MBit/s bis 11 MBit/s bis 54 MBit/s bis 600 MBit/s
Frequenzbereich 5 GHz 2,4 GHz 2,4 2,4 oder 5 GHz
zugriff, ähnelt im Grundprinzip dem Verfahren beim klassischen Ethernet.1763 Allerdings weist die Funkübertragung gegenüber der kabelgebundenen spezielle Charakteristika auf.1764 So arbeitet IEEE 802.11 wegen der hohen Ausfallwahrscheinlichkeit bei der Funkübertragung bereits auf der Sicherungsschicht (ähnlich wie TCP auf der Transportschicht1765) mit Bestätigungen und Wiederholungen des Übertragungsvorganges.1766 cc)
WPA2-Personal (PSK) vs. WPA2-Enterprise (802.1X)
(1)
Authentifzierung
WPA2-Enterprise knüpft für die Authentifzierung an das 802.1X-Protokoll an,1767 welches den Rückgriff auf das Extensible Authentication Protocol (EAP)1768 nahe legt.1769 Es setzt den zusätzlichen Betrieb eines separaten Authentifizierungsserver voraus, der den Zugriff auf das WLAN steuert.1770 Mit der Angabe z.B. eines persönlichen Benutzernamens und Kennwortes weist der Host seine Zugriffsberechtigung nach.1771 WPA2-Personal hingegen verfolgt einen völlig anderen Ansatz und verzichtet wegen des nicht unerheblichen Mehraufwandes auf das Betreiben eines zusätzlichen Servers. Es arbeitet stattdessen mit einem Pre-Shared-Key (PSK) zur Authentifizerung. Für jedes WLAN wird separat ein 8 - 63 Zeichen langes, gemeinsames Kennwort festgelegt, das den Teilnehmern 1763 Siehe Abschnitt aa) auf Seite 387. 1764 Die Kollisionserkennung zum Beispiel ist wegen Problemen wie Hidden Terminal oder Fading schwierig. Siehe mit weitergehenden Ausführungen: Tanenbaum/Wetherall, Computernetzwerke, S. 355. Man arbeitet deshalb bei IEEE 802.11 mit Kollisionsvermeidung, daher Carrier Sense Multiple Access with Collision Avoidance (CSMA/CA), vgl. Kurose/Ross, Computernetzwerke, S. 576. 1765 Siehe Abschnitt aa) auf Seite 380. 1766 Kurose/Ross, Computernetzwerke, S. 576. 1767 Rech, Wireless LANs, S. 491. 1768 Oft in der Variante EAP-TLS. 1769 Für die Übertragung vom Host zum Access Point ist häufig EAP over LAN-Protokoll, für die Übertragung vom AP zum Authentifizierungsserver das RADIUS-Protokoll zuständig, Geier, Implementing 802.1X Security Solutions, S. 40 f. 1770 Geier, Implementing 802.1X Security Solutions, S. 38 f. 1771 Geier, Implementing 802.1X Security Solutions, S. 44.
390
Anhang B Detailinformationen zur Arbeitsweise des Internets
bekannt sein muss.1772 Aus diesem Kennwort, der SSID und der SSID-Länge wird der PSK berechnet.1773 (2)
Verschlüsselung
Im Rahmen der Authentifizierung wird dabei (nach einigen weiteren Zwischenschritten) auch der Schlüssel zur Chiffrierung des Datenverkehrs berechnet.1774 Der Modus WPA2-Personal etwa leitet aus dem Pre-Shared-Key1775 den temporäre Sitzungsschlüssel ab, mit dem der Datenverkehr chiffriert wird.1776 Für die eigentliche Verschlüsselung sind zwei alternative Protokoll vorgesehen, das Temporal Key Integrity Protocol (TKIP)1777 oder das in WPA2 standardmäßig vorgesehene CCMP-Protokoll1778, wobei ersteres auf RC4, zweiteres auf AES im Counter Mode1779 basiert.1780 II.
Aufbau einzelner Protokolldateneinheiten
Im Folgenden soll ein kurzer Überblick über den Aufbau der einzelnen Dateneinheiten innerhalb der verschiedenen Schichten gegeben werden. Es wird sich indes auf die Dateneinheiten der Protokolle beschränkt, welche starke Verbreitung gefunden haben und bereits1781 beispielhaft ausgewählt wurden. 1.
Überblick
Die während des Verkapselungsprozesses durch jedes Protokoll an der Spitze zusätzlich angefügten, für die Verarbeitung bedeutsamen Zusatzinformationen heißen (protokollspezifischer) Header.1782 Unter Umständen können die Protokolle am Ende, nach der Nutzlast, Informationen etwa zur Entdeckung von Übertragungsfehlern anhängen, die Trailer1783 genannt werden.1784 Abbildung B.1 auf der nächsten Seite1785 zeigt die Veränderung der Protokolldateneinheiten beim Durch1772 1773 1774 1775 1776 1777 1778 1779 1780 1781 1782 1783 1784 1785
Rech, Wireless LANs, S. 512. Ebd. Vgl. Fußnote 1772. Holt/Huang, 802.11 Wireless Networks: Security and Analysis, S. 105. Präziser aus dem PMK (Pairwise Master Key), aber bei WPA-Personal ist PSK = PMK. Rech, Wireless LANs, S. 513. Zur Gewährleistung der Abwärtskompatibiliät. Counter Mode with Cipher Block chaining Message Authentication Code Protocol. Dazu ausführlich unten in Abschnitt cc) auf Seite 415. Holt/Huang, 802.11 Wireless Networks: Security and Analysis, S. 105 f. Abschnitt b) auf Seite 44. Engl.: Kopf. Vgl. Ciccarelli et al., Networking Basics, S. 42. Engl.: Schwanz. Ciccarelli et al., Networking Basics, S. 42. Abbildung nach: Alexander, Netzwerke und Netzwerksicherheit, S. 12 und Hunt, TCP/IP - Netzwerk-Administration, S. 12.
II. Aufbau einzelner Protokolldateneinheiten
391
laufen des Protokollstapels1786 und veranschaulicht die Zusammensetzung aus den einzelnen Bestandteilen, der letztendlich auf physikalischen Ebene übertragenen Dateneinheiten.
Abbildung B.1: Verkapselung der Daten beim Durchlaufen des Protokollstapels
2.
Aufbau einer Nachricht am Beispiel von SMTP
Im Rahmen von SMTP wird der Teil der Dateneinheit, der den eigentlichen Inhalt der Nachricht enthält, mit Body bezeichnet. Dem Body ist der E-Mail-Header vorangestellt.1787 Das E-Mail-Programm des Anwenders ist neben der Kontaktaufnahme1788 zum Mail-Server auch für das Einfügen der Header-Zeilen und die Formatierung der Nachricht zuständig. Einen Überblick über die wichtigsten Header-Zeilen gibt Tabelle B.2 auf der nächsten Seite.1789 Verpflichtend sind lediglich die zwei Header-Fields „Date: “ und „From: “, alle anderen sind optional.1790 RFC 5322 ermöglicht es auch eigene, nicht standardisierte 1786 In der Abbildung mit TCP als Transportschicht- und Ethernet als SicherungsschichtProtokoll. 1787 RFC 5322 spricht von Header Fields in Abgrenzung zum E-Mail-Body, vgl. RFC 5322, S. 6. Abrufbar unter: http://tools.ietf.org/html/rfc5322 (Stand: Dezember 2017). 1788 Siehe Abschnitt bb) auf Seite 378. 1789 Vgl. RFC 5322, S. 21 ff. Abrufbar unter: http://tools.ietf.org/html/rfc5322 (Stand: Dezember 2017). 1790 RFC 5322, S. 18. Abrufbar unter: http://tools.ietf.org/html/rfc5322 (Stand: Dezember 2017).
392
Anhang B Detailinformationen zur Arbeitsweise des Internets Tabelle B.2 Die wichtigsten Header-Zeilen von SMTP
Header-Field
Bedeutung
Date: From: Sender: To: Cc: Bcc: Message-ID: Subject: Return-Path: Received:
Sendezeitpunkt der Nachricht (Datum und Uhrzeit) Verantwortlicher Autor der Nachricht Tatsächlicher Versender der Nachricht DNS-Adresse(n) des Empfängers DNS-Adresse(n) weiterer Empfänger Adresse(n) für Blind-Kopien Vom E-Mail-Client oder SMTP-Server erzeugte eindeutige Kennung Betreff-Zeile der E-Mail Adress-Pfad zum Absender (meist nur dessen E-Mail-Adresse) Von übermittelnden Mail-Servern eingefügte Zeile mit Angaben zur Weiterleitung
Header-Fields zu kreieren. Ihnen ist in der Regel ein „X- “ vorangestellt.1791 Jeder die E-Mail weiterleitende Server erzeugt eine Received-Zeile mit Zeitpunkt und Informationen von welchem Mail-Server er die E-Mail empfangen und an welchen er sie weitergeleitet hat. Von unten nach oben gelesen lässt sich so grundsätzlich die Route der E-Mail nachvollziehen.1792 Zu konstatieren bleibt aber, dass das Protokoll vorsieht, dass alle Einträge im Header vom Sender vorgenommen und somit von ihm verfälscht werden können. Der Sender ist in der Lage die Header-Fields mit beliebigem Inhalt füllen, ohne dass sie auf Korrektheit überprüft würden.1793 Entsprechend ist es auch ohne Weiteres möglich, zusätzliche Received-Zeilen zu unterst einzufügen, die eine andere Route vortäuschen, oder einen beliebigen Absender zu suggerieren.1794 Der vollständige Header der im obigen Beispiel1795 von [email protected] an [email protected] gesendeten Nachricht stellt sich wie folgt dar: From - Thu Jul 4 12:54:00 2013 X-Account-Key: account1 X-Mozilla-Status: 0001 X-Mozilla-Status2: 00000000 1791 Tanenbaum/Wetherall, Computernetzwerke, S. 718. 1792 Grimm/Pähler, E-Mail-Forensik – IP-Adressen und ihre Zuordnung zu InternetTeilnehmern und ihren Standorten, S. 14. 1793 Grimm/Pähler, E-Mail-Forensik – IP-Adressen und ihre Zuordnung zu InternetTeilnehmern und ihren Standorten, S. 15. 1794 Grimm/Pähler, E-Mail-Forensik – IP-Adressen und ihre Zuordnung zu InternetTeilnehmern und ihren Standorten, S. 18 f. 1795 Siehe Abschnitt bb) auf Seite 378.
II. Aufbau einzelner Protokolldateneinheiten
393
X-Mozilla-Keys: Return-Path: [email protected] Received: from mail-in-05.arcor-online.net ([151.189.21.45]) by mx-ha.web.de (mxweb009) with ESMTP (Nemesis) id 0MSFsR-1UoLeY1pZj-00TUMm for ; Thu, 04 Jul 2013 12:53:49 +0200 Received: from mail-in-19-z2.arcor-online.net (mail-in-19-z2.arcor-online.net [151.189.8.36]) by mx.arcor.de (Postfix) with ESMTP id 37651E43E0 for ; Thu, 4 Jul 2013 12:53:49 +0200 (CEST) Received: from mail-in-05.arcor-online.net (mail-in-05.arcor-online.net [151.189.21.45]) by mail-in-19-z2.arcor-online.net (Postfix) with ESMTP id 3534E3F841A for ; Thu, 4 Jul 2013 12:53:49 +0200 (CEST) X-Greylist: Passed host: 130.60.179.35 X-DKIM: Sendmail DKIM Filter v2.8.2 mail-in-05.arcor-online.net 85D50E542A Received: from ns1.uzh.ch (unknown [130.60.179.35]) (Authenticated sender: [email protected]) by mail-in-05.arcor-online.net (Postfix) with SMTP id 85D50E542A for ; Thu, 4 Jul 2013 12:51:08 +0200 (CEST) to: Foobar from: Quuux subject: Test-Email Message-Id: Date: Thu, 4 Jul 2013 12:51:08 +0200 (CEST) Envelope-To:
Es lässt sich zum Beispiel herauslesen, dass die Nachricht vom Sender (ns1.uz.ch) über die Mail-Server der Arcor AG & Co. KG (mail-in-05.arcor-online.net, mail-in19-z2.arcor-online.net und mx.arcor.de) zum Mail-Server der 1&1 Mail & Media GmbH (mx-ha.web.de) gelangt ist. 3. Aufbau eines Segments am Beispiel von TCP In Abbildung B.2 auf der nächsten Seite findet sich eine Illustration des Aufbaus eines TCP-Segmentes. Es werden die verschiedenen Header-Fields und ihrer Reihenfolge im Segment-Header wiedergegeben. Enthalten sind auch Angaben zu ihrer jeweils im Standard festgelegten Länge in Bit. Die in der Abbildung, der Lesbarkeit wegen, untereinander dargestellten Header-Fields kann man sich als aneinandergereiht vorstellen. Weil das von der Größe flexible Optionen-Field in der Regel leer bleibt, hat ein typischer TCP-Header eine Länge von 20 Byte (160 Bit).1796 1796 Kurose/Ross, Computernetzwerke, S. 275.
394
Anhang B Detailinformationen zur Arbeitsweise des Internets
Abbildung B.2: Aufbau eines TCP-Segmentes
Einzelheiten zu den Informationen, die in den jeweiligen Header-Fields enthalten sind, und ihre Bedeutung werden nachfolgend in Tabelle B.3 auf der nächsten Seite überblicksartig zusammengefasst.1797 4. Aufbau eines Datagramms am Beispiel von IPv4 Um die im Zusammenhang mit dem Transport der Dateneinheiten beschriebenen Aufgaben1800 erfüllen zu können, müssen die Datagramme mit bestimmten 1797 Zum Ganzen vgl.: RFC 793, S. 14 ff. Abrufbar unter: http://tools.ietf.org/html/rfc793 (Stand: Dezember 2017); Alexander, Netzwerke und Netzwerksicherheit, S. 24 ff; Zisler, Computer-Netzwerke: Grundlagen, Funktionsweise, Anwendung, S. 188 f; Tanenbaum/Wetherall, Computernetzwerke, S. 633 ff; Kurose/Ross, Computernetzwerke, S. 277 f. 1798 Über die Port-Nummern erfolgt auf den beteiligten Rechnern die eindeutige Zuweisung an die konkrete Zielanwendung oder den Zielprozess durch das Betriebssystem, vgl. Kurose/Ross, Computernetzwerke, S. 123. Für mehr Details zur Adressierung mittels Port-Nummer und IP-Adresse (Sockets) siehe: Tanenbaum/Wetherall, Computernetzwerke, S. 629 f. 1799 Ist bspw. die initiale Sequence Number im Header des ersten Segmentes 1, dann wird bei einer Segmentlänge von 500 Byte, die Sequence Number des zweiten Segmentes 501 sein. 1800 Vgl. Abschnitt a) auf Seite 382 .
II. Aufbau einzelner Protokolldateneinheiten
395
Tabelle B.3 Die Header-Fields des Transmission Control Protocol Header-Field Quellport-Nummer: Zielport-Nummer: Sequence Number: Acknowledgment Number: Header-Länge: Reserved: Control-Flags: Empfangsfenster-Größe: Prüfsumme: Urgent Pointer: Optionen:
Bedeutung Port-Nummer1798 der Anwendung des Senders Port-Nummer der Anwendung des Empfängers Durchnummerierung der einzelnen Bytes (nicht der einzelnen Segmente!).1799 Sequence Number des nächsten Bytes, das der Empfänger vom Sender erwartet. Angabe zur Gesamtlänge des Headers, gezählt in 32-BitEinheiten (durch das flexible Optionen-Field kann der Header unterschiedliche Größen haben). Reserviert für zukünftige Entwicklungen. Derzeit unbenutzt und daher immer 0. Für den Handshake und die Flusskontrolle gebrauchte Flags (u.a. SYN- und ACK-Flag). Angabe, wieviel Bytes der Sender an einen Empfänger schicken kann, bevor eine Bestätigung notwendig wird (also ohne das der Puffer des Empfängers überläuft). Berechnung einer Prüfsumme unter Einbeziehung der Nutzlast zur Fehlererkennung bei der Datenübertragung. Lokalisierung des letzten Bytes im Falle der Versendung priorisierter Daten. Etwaige Möglichkeit zur Übergabe von erweiterten Funktionen, wie z.B. das Einfügen von Zeitstempeln.
Informationen ausgestattet sein. Diese standardisierten1801 Informationen finden sich, wie bereits bei TCP gesehen, zu Beginn eines jeden Datagramms als feste Abfolge von Bits, dem Header. Weil das Internet Protocol Version 6 nur eine mäßige Verbreitung gefunden hat, erfolgt auch hier lediglich eine Beschreibung des Headers von Version 4 des Internet Protocols. In Abbildung B.3 auf der nächsten Seite1802 wird der Aufbau im Überblick dargestellt. Die Länge der Header-Fields in Bit ist ebenfalls angeführt. Im Unterschied zur Darstellung des TCP-Segmentes wird die Darstellung schematisch zusammengefasst. Die Größe eines typischen IP-Headers, also ohne das variable Optionen-Field, beträgt ebenso wie die des TCP-Headers 20 Byte.
1801 Vergleiche (u.a.) RFC 791. Abrufbar unter: http://tools.ietf.org/html/rfc791 (Stand: Dezember 2017). 1802 Abbildung nach: Alexander, Netzwerke und Netzwerksicherheit, S. 13.
396
Anhang B Detailinformationen zur Arbeitsweise des Internets
Abbildung B.3: Aufbau eines IP-Datagramms
Nähere Informationen und Hinweise zur Bedeutung der einzelnen Header-Fields sind in nuce in der Tabelle B.4 auf der nächsten Seite aufgeführt:1803
5.
Aufbau eines Frames am Beispiel von Ethernet
Obwohl Ethernet in diversen Ausführungen1804 für unterschiedliche Medien, mit unterschiedlichen Geschwindigkeiten existiert, ist der Aufbau der Ethernet-Frames in allen Ausführungen gleich.1805 Es werden grundsätzlich zwei unterschiedliche Formate verwendet, der alte Ethernet-II-Frame und der in IEEE 802.3 standardisierte Frame. Beide Formate weichen aber nur geringfügig voneinander ab und sind zueinander kompatibel.1806 Der Aufbau, nachfolgend in Abbildung B.4 auf der nächsten Seite veranschaulicht, ist deutlich unkomplizierter als der Aufbau der 1803 Zum Ganzen vgl.: RFC 791, S. 11 ff. Abrufbar unter: http://tools.ietf.org/html/rfc791 (Stand: Dezember 2017); Kurose/Ross, Computernetzwerke, S. 372 ff; Alexander, Netzwerke und Netzwerksicherheit, 13 ff. 1804 Siehe Abschnitt aa) auf Seite 387. 1805 Riggert, Rechnernetze: Grundlagen, Ethernet, Internet, S. 65. 1806 Rech, Ethernet: Technologien und Protokolle für die Computervernetzung, S. 75 f.
II. Aufbau einzelner Protokolldateneinheiten
397
Tabelle B.4 Die Header-Fields des Internet Protocols (IPv4) Header-Field Version: IP-Header-Länge:
Type of Service/ DSCP: Gesamtlänge des Datagramms: Identification/Flags/ Fragment Offset: Time to live: Protokoll: Header Prüfsumme: IP-Quell-/IP-Zieladresse: Optionen:
Bedeutung Verwendete Version des Internet Protocols (also: 4). Angabe zur Gesamtlänge des Headers, gezählt in 32-Bit-Einheiten (durch das flexible Optionen-Field kann die Größe variieren) und so Hinweis zur Bestimmung des Beginns der Payload. Minimalwert ist 5. Dieses Feld kann zur Priorisierung von Datagrammen verwendet werden. Zur Erkennung des Endes eines Datagramms. Es handelt sich um Hilfsfelder für die oben beschriebene Fragmentierung von Datagrammen. Gibt die Lebensdauer eines Datagramms an, damit es nicht in einer Endlosschleife dauerhaft im Umlauf bleibt und Traffic produziert. Angabe des Transportschicht-Protokolls zur Übergang am Ziel-Host (z.B. 6 für TCP). Dient der Entdeckung einfacher Übertragungsfehler. Bezeichnung des Senders und Empfängers. Die Quell-Adresse lässt sich leicht fälschen. Möglichkeit der Erweiterung des Headers
Segmente und Datagramme. Die minimale Größe eines Ethernet-Frames muss 64 Byte,1807 die maximale Größe darf 1522 Byte nicht überschreiten.1808
Abbildung B.4: Aufbau eines Ethernet-Frames 1807 64 Byte Mindestlänge waren für den heute nicht mehr so bedeutsamen CSMA/CDAlgorithmus notwendig. Falls die Payload zu klein ist, wird sie mittels Padding aufgefüllt. Vgl. Rech, Ethernet: Technologien und Protokolle für die Computervernetzung, S. 78. 1808 Diese Festlegung orientierte sich an der damals üblicherweise vorhandenen Größe des (teuren) Arbeitsspeichers. Vgl. Tanenbaum/Wetherall, Computernetzwerke, S. 332.
398
Anhang B Detailinformationen zur Arbeitsweise des Internets
Eine Zusammenfassung der Aufgaben der einzelnen Header-Fields eines Frames findet sich in Tabelle B.5.1809 Tabelle B.5 Die Header-Fields von Ethernet Header-Field Start of Frame: Start of FrameDelimiter: Ziel-MAC-Adresse/ Quell-MAC-Adresse: VLAN-Tag: Länge/Typ:
Prüfsumme:
6.
Bedeutung Die ersten 7 Bytes bestehen abwechselnd aus Einsen und Nullen (1010101010...) und dienen der Synchronisation des Taktes von Sender und Empfänger. Hat den Wert 10101011. Die beiden Einsen am Ende dienen der Abgrenzung von Präambel und eigentlichem Frame. Dienen der Adressierung der Netzwerkkomponenten auf der Bitübertragungsschicht. Kennzeichnung für Virtual Local Area Networks. Im IEEE 802.3-Frame gibt dieses Feld die Länge des Frames an. Im klassischen Ethernet-Frame legt es fest, an welches Protokoll der darüberliegenden Schicht das Betriebssystem den Inhalt weiterzuleiten hat. Zum Beispiel 0x0800 für IPv4. Der Konflikt wird derart gelöst, dass jeder Wert, der kleiner als 1536 ist, als Längenangabe, jeder, der größer ist, als Angabe des Protokolltyps interpretiert wird. Erkennung von Übertragungsfehlern unter Verwendung des Cyclic Redundancy Check (CRC).
Aufbau eines Frames am Beispiel des 802.11-Protokolls
In der großen Ausfallwahrscheinlichkeit der Funkübertragung liegt die höhere Komplexität der Organisation des Datenverkehrs im WLAN begründet.1810 Daher definiert IEEE 802.11 drei verschiedene Typen von Frames: Daten-, Kontroll-1811 und Managementframes1812 mit jeweils eigenem Aufbau.1813 Auch der Aufbau der Datenframes selbst ist vielschichtiger als der Aufbau eines Ethernet-Frames, wie 1809 Zum Ganzen: Rech, Ethernet: Technologien und Protokolle für die Computervernetzung, S. 71 ff; Kurose/Ross, Computernetzwerke, S. 510 ff; Tanenbaum/Wetherall, Computernetzwerke, S. 331 ff; Zisler, Computer-Netzwerke: Grundlagen, Funktionsweise, Anwendung, S. 77 f. 1810 Rech, Wireless LANs, S. 179. 1811 Wie zum Beispiel Request-to-Send-Frames (RTS) oder Clear-to-Send-Frames (CTS). 1812 Etwa die Authentication-Frames des (4-way-)Handshakes oder auch Beacon- und Probe-Request-Frames. 1813 Tanenbaum/Wetherall, Computernetzwerke, S. 360.
II. Aufbau einzelner Protokolldateneinheiten
399
in Abbildung B.5 zu sehen ist. Dem eigentlichen Frame sind die Informationen der Bitübertragungsschicht vorgelagert.1814 Eine Übersicht gibt Tabelle B.6.1815
Abbildung B.5: Aufbau eines IEEE 802.11-Frames Tabelle B.6 Die Header-Fields von IEEE 802.11 Header-Field Rahmenkontrolle: Dauer: Ziel-MAC-Adresse: Quell-MAC-Adresse: MAC-Adresse Nr. 3: Sequenzkontrolle: MAC-Adresse Nr. 4: Prüfsumme:
Bedeutung Beinhaltet Informationen zu Aufbau und Funktion des Frames, wie z.B. die Angabe um welchen Typ von Frame es sich handelt. Dauer der Übertragung im Rahmen der Kollisionsvermeidung. Adresse des Empfängers. Im Falle des Sendens von einem Host im Infrastruktur-Modus z.B. die Adresse des Access Points. Adresse des Senders. Adresse des Kommunikationspartner hinter dem AP im kabelgebunden Netzwerkteil, oft der Router. Dient wie bei TCP der Durchnummerierung etwa zur Entdeckung von Duplikaten, wenn eine Bestätigung verloren geht. Nur für den Ad-hoc-Modus von Bedeutung. Erkennung von Übertragungsfehlern unter Verwendung des Cyclic Redundancy Check-Algorithmus (CRC).
1814 Bestehend aus einer Präambel zur Synchronisation (ähnlich wie bei Ethernet, siehe Abschnitt 5. auf Seite 396) und dem sogenannten PLCP-Header mit Angaben etwa zur Datenübertragungsrate, vgl. Riggert, Rechnernetze: Grundlagen, Ethernet, Internet, S. 261 f. 1815 Zum Ganzen: Rech, Wireless LANs, S. 179 ff.; Kurose/Ross, Computernetzwerke, S. 582; Tanenbaum/Wetherall, Computernetzwerke, S. 360.
Anhang C
Kryptologischer Hintergrund
Eine Darstellung der für das Verständnis von Anhang C notwendigen mathematischen Grundlagen findet sich in Anhang D auf Seite 491 ff. Es sei noch darauf hingewiesen, dass Teile dieses Abschnitts (vor allem in Bezug auf die Sicherheitseinschätzungen) den technologischen Stand im Jahr der Entstehung dieses Abschnitts (2014/2015) widerspiegeln. Sie wurden nicht aktualisiert, weil der entsprechende (erhebliche) Mehraufwand nicht in gleichem Maße für die rechtliche Analyse einen Mehrwert bedeuten würde, da das Grundprinzip das gleiche bleibt. I.
Kryptographische Algorithmen 1.
Symmetrische Algorithmen a)
Einführung
Symmetrische Verfahren arbeiten mit identischen Schlüsseln für die Teilnehmer.1816 Die Vertraulichkeit der Kommunikation bei Verwendung dieser Art von Kryptosystemen hängt von der Geheimhaltung der Schlüssel ab. Trotz des initialen Schlüsselaustauschproblems sind sie von großer praktischer Bedeutung, da sie sehr effizient und leicht zu implementieren sind.1817 Im Gegensatz zu asymmetrischen Algorithmen beruhen sie auf einfachen Rechenschritten und sind in mathematischer Hinsicht in der Regel leichter nachvollziehbar.1818 aa)
Permutation und Substitution
Symmetrische Algorithmen nutzen heute hauptsächlich die Prinzipien der Permutation1819 und der Substitution. Die Substitution ersetzt Zeichen des Klartextes durch Zeichen des Geheimtextes. Die Geheimtextzeichen können aus demselben Zeichenraum wie der Klartext stammen, müssen aber nicht.1820 Aus ABCD wird zum Beispiel QJ N X. Die Dazu bereits: Abschnitt 4. auf Seite 57. Delfs/Knebl, Introduction to Cryptography, S. 12. Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 291. In der Kryptographie hat sich dieser Ausdruck eingebürgert, teilweise wird auch von Transposition gesprochen. 1820 Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 293. 1816 1817 1818 1819
I. Kryptographische Algorithmen
401
Substitution hat den Zweck den (statistischen) Zusammenhang von Klartext- und Geheimtextzeichen zu verschleiern,1821 man spricht von Konfusion.1822 Der Vorgang der Permutation vertauscht lediglich die Anordnung der Zeichen eines Klartextes innerhalb ein und desselben Zeichenraumes.1823 ABCD wird zu CDAB. Die Permutation dient der Verteilung der im Klartext enthaltenen Informationen über den Geheimtext,1824 jede einzelne Information des Klartextes sollte möglichst viele Teile des Geheimtextes verändern, man spricht von Diffusion.1825
bb)
Blockchiffren vs. Stromchiffren
Es werden zwei Arten von symmetrischen Verschlüsselungsalgorithmen unterschieden. Die Block- und die Stromchiffren. Erstere zeichnen sich dadurch aus, dass der Klartext in einzelnen Blöcke von fester Länge bearbeitet wird.1826 Jeder Block wird mit demselben Schlüssel mittels derselben Verschlüsselungsfunktion chiffriert.1827 Stromchiffren hingegen bearbeiten den Klartext zeichenweise.1828 Die Abfolge von Klartextzeichen wird mit einer sich nach jedem Schritt ändernden Verschlüsselungsfunktion chiffriert.1829 Dazu wird eine Zufallsfolge (der Schlüsselstrom) generiert, die Zeichen für Zeichen mit der Abfolge von Klartextzeichen verknüpft.1830 Der Schlüssel hat also von vornherein die gleiche Länge wie der Klartext oder er wird aus einem kürzeren Schlüssel über ein vorher vereinbartes Verfahren auf die entsprechende Länge gestreckt.1831 Oder anders formuliert legen die Blockchiffren den Schwerpunkt auf eine komplizierte Verschlüsselungsfunktion, die Stromchiffren hingegen auf einen aufwendig erzeugten Schlüssel.1832 1821 Wobst, Abenteuer Kryptologie, S. 116. 1822 Nach den von Shannon vorgeschlagenen Konstruktionsprinzipien, vgl. Buchmann, Einführung in die Kryptographie, S. 87. 1823 Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 292. 1824 Wobst, Abenteuer Kryptologie, S. 116. 1825 Buchmann, Einführung in die Kryptographie, S. 87. 1826 Eine unterschiedliche Klartextlänge kann etwa dadurch ausgeglichen, dass der letzte Block aufgefüllt wird bis er die passende Länge hat. Dieser Vorgang wird als Padding bezeichnet. Für ein Beispiel siehe am Ende von Abschnitt (4) auf Seite 446. Vgl. auch Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 294. 1827 Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 68. 1828 Schneier, Angewandte Kryptographie, S. 4. 1829 Fumy/Rieß, Kryptographie, S. 107. 1830 Schmeh, Kryptografie, S. 264. 1831 Wilke/Küsters, Moderne Kryptographie, S. 24. 1832 Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 52.
402
cc)
Anhang C Kryptologischer Hintergrund
Produktchiffren/Substitutions-Permutationschiffren
Im Prinzip sind alle heute in der Praxis zur Anwendung kommenden Blockchiffren Produktchiffren. Produktchiffren kombinieren verschiedene einzelne an sich unsichere Konfusions- und Diffusionsoperationen mit dem Ziel die Sicherheit zu erhöhen.1833 Verwenden sie dabei als Operationen verschiedene Permutations- und Substitutionsvorgänge werden sie auch als Substitutions-Permutations-Chiffren1834 bezeichnet.1835 Werden sie rundenweise (wiederholt) ausgeführt spricht man von iterierter Blockchiffrierung.1836 dd)
Vernam-Chiffre/One-Time-Pad
Die Vernam-Chiffre, entwickelt bereits zu Beginn des zwanzigsten Jahrhunderts, geht auf Gilbert S. Vernam, einen Ingenieur bei AT&T, zurück.1837 Es handelt sich um eine Stromchiffre, bei der der Schlüssel die gleiche Länge wie der Klartext besitzt. Das Prinzip ist sehr einfach (siehe Abbildung C.11838). Der Klartext wird in Binärzahlen umgewandelt,1839 so dass er als Abfolge von 1 und 0 erscheint. Der Schlüssel, ebenfalls als Strom von Einsen und Nullen (allerdings zufällig gewählt) wird per XOR1840 mit dem Klartext verknüpft.1841
Abbildung C.1: Funktionsweise des One-Time-Pad 1833 1834 1835 1836 1837 1838 1839 1840 1841
Wobst, Abenteuer Kryptologie, S. 118. Auch Substitutions-Permutations-Netzwerke (SPN) genannt. Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 20 und 251. Schneier, Angewandte Kryptographie, S. 400. Schneier, Angewandte Kryptographie, S. 17. Zu diesem Schema siehe: Ertel, Angewandte Kryptographie, S. 51. Dazu bereits: Abschnitt II. auf Seite 508. Siehe Abschnitt 8. auf Seite 507. Dazu: Swoboda/Spitz/Pramateftakis, Kryptographie und IT-Sicherheit, S. 10 f.
I. Kryptographische Algorithmen
403
Wird der Schlüsselstrom der Vernam-Chiffre nur ein einziges Mal verwendet (OneTime-Pad) und sind die einzelnen Schlüsselparameter zufällig gewählt (Klartext und Geheimtext müssen voneinander statistisch unabhängig sein1842), so ist sie nachweisbar absolut sicher und kann nicht gebrochen werden.1843 Da aber Klartext und Schlüssel gleich lang sein müssen und für jede neue Nachricht ein neuer Schlüssel notwendig wird ist sie kaum praktikabel einsetzbar, denn anstelle der Übermittlung des Schlüssels könnte gleich der Klartext auf dem sicheren Weg gesendet werden.1844 b)
Ausgewählte Blockchiffren
Blockchiffren bilden in der Regel den wichtigsten Teil eines kryptographischen Systems.1845 Sie sind deutlich weiter verbreitet als Stromchiffren, was zum Teil darauf zurückzuführen sein wird, dass mit DES eine Blockchiffre erster (US-) Standard für einen kryptographischen Algorithmus wurde. Auch beim Wettbewerb für die Nachfolge von DES waren nur Blockchiffren zugelassen, so dass sich Forschung und Entwicklung entsprechend fokussierten.1846 aa)
Feistel-Chiffre
Da viele der heute genutzten Produktchiffren auf der Feistel-Chiffre1847 beruhen, soll diese vorgängig erläutert werden um das Grundprinzip zu verdeutlichen und das Verständnis der folgenden Blockchiffren zu vereinfachen. Sie bildet einen Spezialfall einer Substitutions-Permutations-Chiffre.1848 In einer Feistel-Chiffre (vgl. Abbildung C.2 auf der nächsten Seite)1849 durchlaufen die einzelnen Klartextblöcke mehrere Runden. Für jede dieser Runden wird aus dem Schlüssel ein Rundenschlüssel berechnet. Zunächst wird der Klartextblock in zwei Hälften geteilt, in eine linke Hälfte (K-Links) und eine rechte Hälfte (K-Rechts). In einer einzelnen Runde wird auf die rechte Hälfte unter Zuhilfenahme des jeweiligen Rundenschlüssels (s) die Verschlüsselungssfunktion ( f ) angewandt. Das Ergebnis fs (K-Rechts) wird per XOR-Verknüpfung1850 (⊕) mit der linken Hälfte verbunden. Als letzter Schritt wird für die nächste Runde die rechte mit der linken Hälfte vertauscht. Das Prozedere wird so oft wiederholt, wie viele Runden vom jeweiligen Algorithmus Ertel, Angewandte Kryptographie, S. 51. Dazu Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 21. Swoboda/Spitz/Pramateftakis, Kryptographie und IT-Sicherheit, S. 11. Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 223. Schmeh, Kryptografie, S. 267. Entwickelt in den 70er Jahren von Horst Feistel, einem IBM-Mitarbeiter. Vgl. Wobst, Abenteuer Kryptologie, S. 123. 1848 Siehe Abschnitt cc) auf der vorherigen Seite. 1849 Zu diesem Schema siehe: Wobst, Abenteuer Kryptologie, S. 123. 1850 Siehe Abschnitt 8. auf Seite 507.
1842 1843 1844 1845 1846 1847
404
Anhang C Kryptologischer Hintergrund
vorgeschrieben sind.1851 Innerhalb der Verschlüsselungsfunktion f wird Diffusion und Konfusion durch Permutation und Substitution erreicht.1852 Durch Austausch und rundenweise Wiederholung (iterierte Blockchiffrierung) erhöht sich die Sicherheit.
Abbildung C.2: Eine Runde einer Feistel-Chiffre
Das Besondere an Feistel-Chiffren ist aber die Tatsache, dass die Entschlüsselung unabhängig von Aufbau und Arbeitsweise der Verschlüsselungsfunktion f ist. Zur Dechiffrierung wird der Algorithmus in der gleichen Reihenfolge durchlaufen wie bei der Chiffrierung. Es wird keine Umkehrfunktion von f benötigt. Bei Konstruktion eines Algorithmus muss daher keine Funktion gesucht werden, die eine Umkehrung nur mit Hilfe des Schlüssels ermöglicht.1853 Das liegt daran, dass die rechte Hälfte nach Durchlaufen der Funktion, fs (K-Rechts), mit der linken Hälfte XOR-verknüpft wird.1854 Bei Entschlüsselung verknüpft man dieses 1851 Zur Funktionsweise siehe: Buchmann, Einführung in die Kryptographie, S. 103 f; Schneier, Angewandte Kryptographie, S. 401; Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 250 f. 1852 Siehe Abschnitt aa) auf Seite 400. 1853 Sondern es wird nur eine Funktion benötigt, die erfolgreich verschlüsselt, d.h. dass ohne den Schlüssel die Funktion nicht berechnet werden kann. Das erweitert und vereinfacht die Auswahl potentieller Funktionen erheblich. 1854 Die XOR-Verknüpfung erzeugt praktisch eine Invertierung.
I. Kryptographische Algorithmen
405
Ergebnis wieder mit fs (K-Rechts) per XOR und erhält so die linke Hälfte zurück.1855 Es gilt: K-Links1 = K-Rechts2 ⊕ fs K-Rechts = K-Links1 ⊕ fs K-Rechts ⊕ fs K-Rechts Für eine erfolgreiche Entschlüsselung muss also nur die Funktion und der Schlüssel gekannt werden. bb)
Data Encryption Standard (DES)
Der Data Encryption Standard wurde bereits 1976 als erster kryptographischer Algorithmus von der NBS1856 standardisiert. Das ANSI1857 erkannte den Standard 1981 (unter der Bezeichnung DEA) für die Privatwirtschaft an. Auch die ISO1858 benutzte DES in einem Authentifizierungsstandard (als DEA-1). Er hat viele moderne Entwicklungen beeinflusst und spielt auch heute noch eine eminente Rolle.1859 (1)
Überblick über die Funktionsweise von DES
Der Data Encryption Standard ist in seiner Grundstruktur eine Feistel-Chiffre.1860 Er verschlüsselt Daten in Blöcken der Länge 64 Bit. Die Schlüssellänge beträgt 56 Bit. DES benötigt 16 Runden für den gesamten Verschlüsselungsvorgang. Eine schematische Darstellung findet sich in Abbildung C.3 auf der nächsten Seite.1861 In einem ersten Schritt werden die Zeichen des 64-Bit-Blockes durch eine Anfangsspermutation vertauscht und in zwei 32-Bit-Blöcke (linke und rechte Hälfte) aufgeteilt. Auf den rechten 32-Bit-Block wird die Funktion f , bestehend aus vier Operationen, angewandt. Der danach entstandene 32-Bit-Block wird mittels XORVerknüpfung mit der linken Hälfte des ursprünglichen Eingabeblockes kombiniert und als neue rechte Hälfte bereitgestellt. Der ursprüngliche rechte Eingabeblock findet als neuer linker Block für die nächste Runde Verwendung. Dieser Vorgang wird mit wechselnden Rundenschlüsseln sechzehn Mal wiederholt. Die finale Schlusspermutation beendet den Chiffrierungsvorgang.1862 1855 Dazu: Schmeh, Kryptografie, S. 104 und Wobst, Abenteuer Kryptologie, S. 123 f. 1856 The National Bureau of Standards, heute National Institute of Standards and Technology (NIST). 1857 American National Standards Institute. 1858 International Standards Organisation. 1859 Mit weiteren Einzelheiten zur Geschichte des DES: Schneier, Angewandte Kryptographie, S. 309 ff; Wobst, Abenteuer Kryptologie, S. 124. 1860 Siehe Abschnitt aa) auf Seite 403. 1861 Für das Schema vgl. Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 254. 1862 Zum Ganzen: Schneier, Angewandte Kryptographie, S. 315 f; Schmeh, Kryptografie, S. 84; Fumy/Rieß, Kryptographie, S. 221 ff.
406
Anhang C Kryptologischer Hintergrund
Abbildung C.3: Die Funktionsweise von DES
I. Kryptographische Algorithmen
407
Für sämtliche Operationen (Substitutionen und Permutationen) des Algorithmus werden in den folgenden Detailbeschreibungen Tabellen angegeben. Diese Tabellen sind vom DES-Algorithmus vorgeschrieben und unveränderlich. In jeder Implementierung werden die gleichen Tabellen verwendet. Sie geben jeweils die veränderte Stellung der einzelnen Bits an. Der Eingabeblock oder der Schlüssel wird als Abfolge von Einsen und Nullen (also Bits) betrachtet, wobei das erste Bit die Position 1 hat, das zweite Bit die Position 2 usw. Das letzte Bit des Eingabeblocks etwa hat die Position 64. Die Tabellen geben von links oben nach rechts unten betrachtet die neue Position der jeweiligen Bits an. (2)
Die Erzeugung der Rundenschlüssel
Jede der 16 Runden von DES benötigt einen eigenen Teilschlüssel. Sie müssen aus dem zwischen den Kommunikationspartnern vereinbarten 64-Bit-DES-Schlüssel berechnet werden. Jedes achte Bit dieses Schlüssels ist ein sogenanntes Paritäts-Bit. Es dient lediglich als Prüfsumme um sicherzustellen, dass der Schlüssel fehlerlos übertragen wurde und muss außer Acht gelassen werden. Der Schlüssel wird damit auf 56 Bit, die eigentliche Schlüssellänge, verkürzt. Gleichzeitig wird der Schlüssel durchmischt und in zwei 28-Bit-Hälften geteilt. Diese Vorgänge werden gemeinsam in der Schlüsselpermutation gemäß Tabelle C.11863 vollzogen. Tabelle C.1 Schlüsselpermutation 56 1 10 19
49 58 2 11
Linke Hälfte 41 33 25 50 42 34 59 51 43 3 60 52
17 26 35 44
9 18 27 36
63 7 14 21
55 62 6 13
Rechte Hälfte 47 39 31 54 46 38 61 53 45 5 28 20
23 30 37 12
15 22 29 4
Das bedeutet das 56. Bit des 64-Bit-Schlüssels wird das erste Bit der linken Hälfte. Das 49. Bit das zweite Bit usw. Das 63. Bit wird das erste Bit der rechten Hälfte, das 55. Bit das zweite Bit usw. Die derart erhaltenen zwei Hälften zu je 28 Bit werden in jeder Runde um ein Bit oder zwei Bit gemäß Tabelle C.2 auf der nächsten Seite1864 verschoben. Abschließend werden in jeder Runde aus den zwei verschobenen 28-Bit-Teilschlüsseln 48 Bit gemäß Tabelle C.3 auf der nächsten Seite1865 ausgewählt,1866 vermischt und als Rundschlüssel übergeben (vgl. auch Abbildung C.4 auf Seite 409).1867 1863 1864 1865 1866 1867
Vgl. Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 256. Vgl Schneier, Angewandte Kryptographie, S. 318. Vgl. Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 256. Es findet dabei eine Kompression von 56 auf 48 Bit statt. Zum Ganzen: Stinson, Cryptography: Theory and Practice, S. 75 ff. und Buchmann, Einführung in die Kryptographie, S. 107 ff.
408
Anhang C Kryptologischer Hintergrund Tabelle C.2 Rundenweise Schlüsselverschiebung Runde Anzahl
1 1
2 1
3 2
4 2
5 2
6 2
7 2
8 2
9 1
10 2
11 2
12 2
13 2
14 2
15 2
16 1
Tabelle C.3 Schlüsselkompressionspermutation 14 3 23 16 41 30 44 46
(3)
17 28 19 7 52 40 49 42
11 15 12 27 31 51 39 50
24 6 4 20 37 45 56 36
1 21 26 13 47 33 34 29
5 10 8 2 55 48 53 32
Eine Runde des DES-Algorithmus
In jeder der sechzehn Runden von DES wird auf die rechte Hälfte der Eingabeseite mittels des jeweiligen Rundenschlüssels die Rundenfunktion angewandt und das Ergebnis mit der linken Hälfte verknüpft. Eine einzelne Runde ist in Abbildung C.4 auf der nächsten Seite1868 abgebildet. (a)
Die Rundenfunktion f
Innerhalb der Rundenfunktion durchläuft der rechte 32-Bit-Block eine Expansionspermutation und wird so auf 48 Bit vergrößert. Anschließend wird er mit dem jeweiligen Rundenschlüssel XOR-verknüpft. Das Ergebnis durchläuft die sogenannte S-Box-Substitution. Sie gibt als Zwischenergebnis wieder einen 32-Bit-Block aus, der die Funktion f abschließend noch einmal permutiert.1869 (aa)
Expansionspermutation und XOR-Verknüpfung
Die Expansionspermutation durchmischt gemäß Tabelle C.4 auf der nächsten Seite1870 die Reihenfolge erneut und vergrößert den Eingabestring von 32 auf 48 Bit, damit er mit dem jeweiligen Rundenschlüssel, ebenfalls in 48-Bit-Größe vorliegend, XOR-verknüpft werden kann. Um eine Vergrößerung von 32 auf 48 Bit zu erreichen, verwendet sie manche Bits doppelt, die dann in der Substitutionsbox auch doppelt verarbeitet werden. Das hat zur Folge, dass im nächsten Schritt ein Bit zwei verschiedene Substitutionen beeinflusst. Auf diese Weise führt eine 1868 Vgl. für dieses Schema Ertel, Angewandte Kryptographie, S. 63. 1869 Ertel, Angewandte Kryptographie, S. 63. 1870 Vgl. Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 253.
I. Kryptographische Algorithmen
409
Abbildung C.4: Eine Runde des DES-Algorithmus
kleinste Veränderung am Klartext zu einer großen Veränderung des Geheimtextes (man spricht vom Lawineneffekt). Darin liegt die eigentliche Bedeutung der Expansionspermutation.1871 Tabelle C.4 Expansionspermutation 32 4 8 12 16 20 24 28
1 5 9 13 17 21 25 29
2 6 10 14 18 22 26 30
3 7 11 15 19 23 27 31
4 8 12 16 20 24 28 32
1871 Dazu Schneier, Angewandte Kryptographie, S. 319.
5 9 13 17 21 25 29 1
410
(bb)
Anhang C Kryptologischer Hintergrund
S-Box-Substitution
Der Substitutionsvorgang in den acht unveränderlichen, identischen S-Boxen1872 ist diejenige Operation, die für die generelle Sicherheit des Data Encryption Standard am wichtigsten ist. Die S-Boxen sind in Tabelle C.5 auf der nächsten Seite wiedergegeben.1873 Der aus der vorhergehenden Operation entstandene 48-Bit-Block wird in 8 Blöcke à 6 Bit aufgeteilt. Jeder dieser 6-Bit-Blöcke wird nach festgelegtem Muster mit Hilfe je einer der acht S-Boxen in 4-Bit-Blöcke transformiert. Jede S-Box ist eine Tabelle mit vier Zeilen und 16 Spalten. Das Muster besagt, dass die beiden äußeren Bits des 6-Bit-Blockes zusammen die Zeile, die mittleren vier Bits die Spalte der S-Box angeben. Der so gefundene Wert (als 4-Bit-Zahl dargestellt)1874 ersetzt die im 6-Bit-Block dargestellte Zahl.1875 Die schematische Darstellung findet sich in Abbildung C.5.1876
Abbildung C.5: Schema der S-Box-Substitution
Betrachtet man bspw. die fünfte S-Box für den Fall, dass der fünfte der acht 6-Bit-Blöcke nach XOR-Verknüpfung mit dem Rundenschlüssel 110011 lautet. So besagt das Muster, dass die Binärzahl 11 die Zeile und die Binärzahl 1001 die Spalte festlegt. 11 als Dezimalzahl ist 3 und 1001 ist 9. In Zeile 3 und Spalte 9 der fünften S-Box findet sich die 15, als Binärzahl 1111. 110011 wird demnach durch 1111 substituiert. Die so erhaltenen acht 4-Bit-Blöcke ergeben zusammengefügt erneut einen 32-Bit- Block.
1872 S-Box-Substitution bezeichnet eigentlich doppelt, denn S-Box aus dem Engl. steht für Substitution Box. 1873 Vgl. Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 260. 1874 Falls die gefundene Zahl sich in weniger als 4 Bit darstellen lässt, wird vorn mit Nullen aufgefüllt. 1875 Dazu: Buchmann, Einführung in die Kryptographie, S. 107 und Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 309. 1876 Für dieses Schema vgl. Schneier, Angewandte Kryptographie, S. 320.
I. Kryptographische Algorithmen
411
Tabelle C.5 Die acht standardisierten S-Boxen Zeile 0 1 2 3
0 14 0 4 15
1 4 15 1 12
2 13 7 14 8
3 1 4 8 2
4 2 14 13 4
5 15 2 6 9
0 1 2 3
0 15 3 0 13
1 1 13 14 8
2 8 4 7 10
3 14 7 11 1
4 6 15 10 3
5 11 2 4 15
0 1 2 3
0 10 13 13 1
1 0 7 6 10
2 9 0 4 13
3 14 9 9 0
4 6 3 8 6
5 3 4 15 9
0 1 2 3
0 7 13 10 3
1 13 8 6 15
2 14 11 9 0
3 3 5 0 6
4 0 6 12 10
5 6 15 11 1
0 1 2 3
0 2 14 4 11
1 12 11 2 8
2 4 2 1 12
3 1 12 11 7
4 7 4 10 1
5 10 7 13 14
0 1 2 3
0 12 10 9 4
1 1 15 14 3
2 10 4 15 2
3 15 2 5 12
4 9 7 2 9
5 2 12 8 5
0 1 2 3
0 4 13 1 6
1 11 0 4 11
2 2 11 11 13
3 14 7 13 8
4 15 4 12 1
5 0 9 3 4
0 1 2 3
0 13 1 7 2
1 2 15 11 1
2 8 13 4 14
3 4 8 1 7
4 6 10 9 4
5 15 3 12 10
S-Box1 Spalte 6 7 11 8 13 1 2 11 1 7 S-Box2 6 7 3 4 8 14 13 1 4 2 S-Box3 6 7 15 5 6 10 3 0 8 7 S-Box4 6 7 9 10 0 3 7 13 13 8 S-Box5 6 7 11 6 13 1 7 8 2 13 S-Box6 6 7 6 8 9 5 12 3 15 10 S-Box7 6 7 8 13 1 10 7 14 10 7 S-Box8 6 7 11 1 7 4 14 2 8 13
8 3 10 15 5
9 10 6 12 11
10 6 12 9 3
11 12 11 7 14
12 5 9 3 10
13 9 5 10 0
14 0 3 5 6
15 7 8 0 13
8 9 12 5 11
9 7 0 8 6
10 2 1 12 7
11 13 10 6 12
12 12 6 9 0
13 0 9 3 5
14 5 11 2 14
15 10 5 15 9
8 1 2 11 4
9 13 8 1 15
10 12 5 2 14
11 7 14 12 3
12 11 12 5 11
13 4 11 10 5
14 2 15 14 2
15 8 1 7 12
8 1 4 15 9
9 2 7 1 4
10 8 2 3 5
11 5 12 14 11
12 11 1 5 12
13 12 10 2 7
14 4 14 8 2
15 15 9 4 14
8 8 5 15 6
9 5 0 9 15
10 3 15 12 0
11 15 10 5 9
12 13 3 6 10
13 0 9 3 4
14 14 8 0 5
15 9 6 14 3
8 0 6 7 11
9 13 1 0 14
10 3 13 4 1
11 4 14 10 7
12 14 0 1 6
13 7 11 13 0
14 5 3 11 8
15 11 8 6 13
8 3 14 10 9
9 12 3 15 5
10 9 5 6 0
11 7 12 8 15
12 5 2 0 14
13 10 15 5 2
14 6 8 9 3
15 1 6 2 12
8 10 12 0 15
9 9 5 6 12
10 3 6 10 9
11 14 11 13 0
12 5 0 15 3
13 0 14 3 5
14 12 9 5 6
15 7 2 8 11
412
Anhang C Kryptologischer Hintergrund
(cc)
P-Box-Permutation
Abschließend wird der 32-Bit noch einmal nach Tabelle C.61877 permutiert. Die Rundenfunktion ist damit beendet.1878 Tabelle C.6 P-Box-Permutation 16 2
(b)
7 8
20 24
21 14
29 32
12 27
28 3
17 9
1 19
15 13
23 30
26 6
4 22
18 11
31 4
10 25
Verbindung von linker und rechter Hälfte
Eine DES-Runde wird beendet indem der 32-Bit-Block, den die Rundenfunktion ausgibt, mit der linken Hälfte des eingangs aufgeteilten 64-Bit-Blockes XORverknüpft wird. Das Ergebnis bildet den rechten 32-Bit-Block für die nächste Runde, die ursprüngliche rechte Hälfte wird zur linken Hälfte der nächsten Runde.1879
(4)
Die weiteren Teilschritte
(a)
Anfangspermutation
Bevor die soeben beschriebenen sechzehn Runden des Data Encryption Standard beginnen wird vorgängig der 64-Bit-Block einmal durchmischt, siehe Tabelle C.7.1880 Darin liegt kein Mehrwert für die Sicherheit der Verschlüsselung. Der Sinn wird in der (damaligen) Hardware-Implementierung vermutet. In einer Software-Implementierung kostet sie nur Rechenzeit und wird oft weggelassen. Für die Schlusspermutation gilt das Gleiche.1881 Tabelle C.7 Anfangspermutation 58 62 57 61
1877 1878 1879 1880 1881
50 54 49 53
42 46 41 45
34 38 33 37
26 30 25 29
18 22 17 21
10 14 9 13
2 6 1 5
60 64 59 63
52 56 51 55
44 48 43 47
36 40 35 39
28 32 27 31
20 24 19 23
12 16 11 15
4 8 3 7
Vgl. Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 253. Schneier, Angewandte Kryptographie, S. 321. Ertel, Angewandte Kryptographie, S. 63. Vgl. Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 253. Vgl. Schneier, Angewandte Kryptographie, S. 316 f.
I. Kryptographische Algorithmen
(b)
413
Schlusspermutation
Nach Durchlaufen der 16 Runden werden die beiden 32-Bit-Blöcke nicht mehr vertauscht, sondern zu einem 64-Bit-Block verbunden. Er wird der Schlusspermutation nach Tabelle C.81882 unterworfen.1883 Tabelle C.8 Schlusspermutation 40 38 36 34
(5)
8 6 4 2
48 46 44 42
16 14 12 10
56 54 52 50
24 22 20 18
64 62 60 58
32 30 28 26
39 37 35 33
7 5 3 1
47 45 43 41
15 13 11 9
55 53 51 49
23 21 19 17
63 61 59 57
31 29 27 25
Entschlüsselung mit DES
Wie schon erwähnt1884 ist die Entschlüsselung in Feistel-Chiffren unabhängig vom Ablauf der Rundenfunktion f . Sie läuft genau gleich ab wie der Verschlüsselungsprozess. Die einzelnen Schritte des Algorithmus werden in derselben Reihenfolge abgearbeitet. Zu beachten bleibt lediglich, dass die Rundenschlüssel in umgekehrter Reihenfolge verwendet werden müssen.1885 (6)
Sicherheit von DES
Da der DES-Algorithmus seit vielen Jahren veröffentlicht und bekannt ist, wurde er vielfältig untersucht. Bekannte Angriffe aus der Kategorie der Chosen-PlainText-Angriffe1886 (etwa durch differentielle oder lineare Kryptanalyse) sind nicht effektiv durchführbar, da der bereits erwähnte Lawineneffekt DES sehr stark macht gegenüber jeder Art von Angriffen, die nach einem statistischen Zusammenhang suchen.1887 Es gibt 64 Schlüssel, die als schwache Schlüssel gelten und vermieden werden sollten, was angesichts des Schlüsselraumes von 256 Schlüsseln kein Problem darstellt.1888 Die eigentliche Schwachstelle von DES ist in der geringen Schlüssellänge von nur 56 Bit zu sehen. Das macht DES anfällig für Brute-ForceAngriffe bei denen der Angreifer alle in Frage kommenden Schlüssel durchprobiert. Angesichts immer leistungsstärkerer Rechner kann DES heute, wenn auch noch vielfach verwendet, nicht mehr als sicher gelten.1889 Vgl. Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 253. Schneier, Angewandte Kryptographie, S. 321. Siehe Abschnitt aa) auf Seite 403. Schmeh, Kryptografie, S. 87. Der Angreifer verfügt über selbstgewählte Klartext/Geheimtext-Paare, vgl. Abschnitt 1. auf Seite 62. 1887 Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 310 f. 1888 Schneier, Angewandte Kryptographie, S. 326 f. 1889 Schmeh, Kryptografie, S. 87 ff.
1882 1883 1884 1885 1886
414
(7)
Anhang C Kryptologischer Hintergrund
Triple-DES
DES bildet bzgl. der Mehrfachausführung des Algorithmus keine algebraische Gruppe.1890 Daher besteht theoretisch die Möglichkeit, dass sich mit Mehrfachverschlüsselung der Schlüsselraum und damit die Sicherheit von DES tatsächlich erhöht.1891 Die doppelte Verschlüsselung des Klartextes mit zwei verschiedenen Schlüsseln bringt gegenüber normalen DES allerdings aus kryptologischer Sicht wenig Vorteile. Der Schlüsselraum vergrößert sich nicht etwa auf 2112 Schlüssel. Denn kennt man ein Klartext/Geheimtext-Paar (Known-Plaintext-Angriff), wird ein Meet-in-the-Middle-Angriff1892 möglich. Der Klartext wird mit allen möglichen Schlüsseln chiffriert, der Geheimtext mit allen möglichen Schlüsseln dechiffriert und die Ergebnisse (in der Mitte) verglichen. Gleichen sie sich, so hat man auch den Schlüssel gefunden. Dieser Angriff ist nur doppelt so aufwendig wie ein Angriff auf einfaches DES.1893 Als sicher gilt hingegen die dreifache Verschlüsselung Triple-DES (3DES) mit zwei oder drei verschiedenen Schlüsseln. Sie lässt sich auf verschiedene Weise realisieren. In der Praxis wird sie oft derart implementiert, dass in der ersten Runde verschlüsselt, in der zweiten Runde (mit anderem Schlüssel) entschlüsselt1894 und in der dritten Runden wieder verschlüsselt wird. Das hat den Vorteil, dass man so unterschiedliche Sicherheitsstufen realisieren und sie mit einfachem DES kompatibel halten kann. Falls gewünscht kann einfach DES verschlüsselt werden indem man dreimal den gleichen Schlüssel verwendet (der Dechiffriervorgang in der Mitte hebt eine Verschlüsselung wieder auf).1895 Der effektive Schlüsselraum von 3DES beträgt so bei drei verschiedenen Teilschlüsseln 2112 und 256 Schlüssel bei einem Meet-in-the-Middle-Angriff und 2168 Schlüssel bei einem Brute-ForceAngriff.1896 Siehe Abschnitt 2. auf Seite 492. Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 257. Nicht zu verwechseln mit dem Man-in-the-Middle-Angriff. Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 311 f; Ertel, Angewandte Kryptographie, S. 68. Er erfordert allerdings hohe Speicherkapazitäten im Bereich von 500 Millionen GB, vgl. auch Schneier, Angewandte Kryptographie, S. 411 f und Wobst, Abenteuer Kryptologie, S. 192. 1894 Das bedeutet lediglich, dass die Rundenschlüssel in umgekehrter Reihenfolge verwendet werden. 1895 Zum Ganzen: Schmeh, Kryptografie, S. 107 f; Tilborg, Fundamentals of Cryptology, S. 69. 1896 Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 312; Schneier, Angewandte Kryptographie, S. 413 ff.
1890 1891 1892 1893
I. Kryptographische Algorithmen
cc)
415
Advanced Encryption Standard (AES)
Als sich abzeichnete, dass DES den Brute-Force-Angriffen nicht mehr gewachsen war, schrieb das National Institute of Standards and Technology (NIST) 1997 die Suche nach einem neuen Standard öffentlich aus. Als Sieger aus diesem Auswahlverfahrens ging der Rijndael-Algorithmus der Belgier Daemen und Rijmen hervor. Er setzte sich dabei gegen Algorithmen wie MARS von IMB, RC6 von den RSA Laboratories und Twofish von Bruce Schneier durch. Bei gleichem Sicherheitsniveau hat Rijndael den Vorteil, dass er in seiner Struktur einfach ist, sich daher leicht implementieren lässt und sehr effizient und ressourcenschonend arbeitet.1897 Am 26.11.2001 standardisierte das NIST als Nachfolger des DES einen Spezialfall des Rijndael-Algorithmus als Advanced Encryption Standard (AES).1898 Spezialfall deshalb, weil AES nur ein Blocklänge von 128 Bit und eine Schlüssellänge von 128, 192 oder 256 Bit erlaubt.1899 In den USA ist AES für amtliche Dokumente mit höchster Geheimhaltungsstufe zugelassen.1900 AES ist derzeit in vielen Anwendungen immer noch weit verbreitet. Er findet im Verschlüsselungsstandard für WLAN, im SSH-Protokoll, IPsec, PGP oder WinZip Verwendung.1901 (1)
Einordnung von AES
Der AES-Algorithmus ist keine Feistel-Chiffre, sondern gehört (nur) der übergeordneten Gruppe der Substitutions-Permutations-Chiffren1902 an.1903 Er führt rundenweise Substitution und Permutation(en) durch, allerdings auf den ganzen Eingabeblock und nicht nur auf eine Hälfte. Indem er auf eine vorherige Teilung und spätere XOR-Verknüpfung1904 mit der anderen Hälfte verzichtet, entfällt auch die wichtigste Eigenschaft der Feistel-Chiffren. Die Entschlüsselung verläuft nicht unabhängig von der Rundenfunktion. Im AES-Algorithmus müssen die einzelnen Operationen der Rundenfunktion zur Dechiffrierung invertiert werden.1905 (2)
Überblick über die Funktionsweise von AES
Auch AES durchläuft mehrere im Wesentlichen gleich aufgebaute Runden (iterierte Blockchiffrierung). Nur die die letzte Runde und die initiale Operation weichen 1897 Vgl. Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 313 f mit weiteren Details zur Historie. 1898 Buchmann, Einführung in die Kryptographie, S. 113. 1899 Der Rijndael-Algorithmus erlaubte noch weitere Block- und Schlüssellängen zwischen 128 und 256 Bit. 1900 Schmeh, Kryptografie, S. 127; Wilke/Küsters, Moderne Kryptographie, S. 66. 1901 Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 317. 1902 Zur Einteilung siehe Abschnitt cc) auf Seite 402. 1903 Swoboda/Spitz/Pramateftakis, Kryptographie und IT-Sicherheit, S. 81. 1904 Siehe Abschnitt 8. auf Seite 507. 1905 Schmeh, Kryptografie, S. 104.
416
Anhang C Kryptologischer Hintergrund
vom Schema ab (vgl. Abbildung C.6 auf der nächsten Seite).1906 Eine Runde setzt sich aus der Rundenfunktion mit drei verschiedenen Operationen und der abschließenden Verknüpfung mit dem jeweiligen Rundenschlüssel zusammen. Die drei Operationen führen eine Bytesubstitution, eine Zeilenverschiebung und eine Spaltenpermutation durch. Sie werden in der Regel als SubBytes, ShiftRows und MixColumns bezeichnet. SubBytes ist damit für die Konfustion durch Substitution zuständig, ShiftRows und MixColumns für Konfusion durch Permutation. ShiftRows durchmischt auf Zeilen- , MixColumns hingegen auf Spaltenebene. Das Ergebnis der Rundenfunktion wird mit dem durch Schlüsselexpansion erzeugten Rundenschlüssel XOR-verknüpft. Alle Operationen außer der XOR-Verknüpfung sind damit schlüsselunabhängig.1907 In der initialen Operation wird der 128-Bit-Eingabeblock vor Beginn der ersten Runde zunächst mit einem separaten (nullten) Rundenschlüssel XOR-verknüpft. Der Grund ist darin zu sehen, dass die drei Operationen der Rundenfunktion bekannt sind. Ein Angreifer könnte also mit dem Klartext die Operationen durchführen und würde bereits das Ergebnis der ersten Runde wissen ohne Kenntnis von dem Schlüssel zu haben.1908 Aus dem gleichen Grund wird auch in der letzten Runde die Operation MixColumns weggelassen, weil der Angreifer sie ohne Kenntnis des Schlüssels umkehren könnte, da MixColumns und XOR-Verknüpfung in der Reihenfolge vertauschbar sind ohne am Ergebnis etwas zu ändern.1909 Die Rundenzahl von AES hängt von der gewählten Schlüssellänge ab. Sie beträgt bei einer Schlüssellänge von 128 Bit zehn, bei 192 Bit zwölf und bei 256 Bit vierzehn Runden.1910 (3)
Eine Runde des AES-Algorithmus
Der AES-Algorithmus transformiert die Daten im Gegensatz zu DES hauptsächlich byteweise (1 Byte1911 ist ein Block der Länge 8 Bit). Der 128-BitEingabe-Block (Klartext) wird daher eingangs in sechzehn Byte-Blöcke aufgeteilt und als zweidimensional 4x4 Matrix (oder engl. Array) nach folgendem Muster geschrieben und verarbeitet. Sind die 16 Bytes im Eingabeblock als a0, a1, a2, a3, b0, b1, b2, b3, c0, c1, c2, c3, d0, d1, d2, d3 angeordnet, gestaltet sich die Matrix, von oben nach unten und von links nach rechts beschrieben, so:1912 1906 Schema in Anlehnung an: Ertel, Angewandte Kryptographie, S. 72. 1907 Zum Ganzen: Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 84 f; Ertel, Angewandte Kryptographie, S. 69 f; Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 414 ff. 1908 Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 85 f. 1909 Ebd. Vgl. Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 86 und Schmeh, Kryptografie, S. 131. 1910 Konheim, Computer Security and Cryptography, S. 314. 1911 Zum Beispiel: 01101111. 1912 Schmeh, Kryptografie, S. 128 f.
I. Kryptographische Algorithmen
Abbildung C.6: Funktionsweise von AES mit 128-Bit-Schlüssel in 10 Runden
417
418
Anhang C Kryptologischer Hintergrund Tabelle C.9 Struktur der 4x4 Matrix im AES-Algorithmus a0 a1 a2 a3
b0 b1 b2 b3
c0 c1 c2 c3
d0 d1 d2 d3
Diese Matrizen (und damit auch die jeweiligen Zwischenergebnisse der Teilschritte) werden intern als Zustände (oder engl. State) bezeichnet.1913
(a) (aa)
Die Rundenfunktion f Der endliche Körper GF(28 )
Weil AES keine Feistel-Chiffre ist, müssen die einzelnen Verschlüsselungsoperationen im Entschlüsselungsprozess, will man wieder den Klartext erhalten, invertiert werden. Wie bereits in Abschnitt 2. auf Seite 492, in Abschnitt 3. auf Seite 494 und in Abschnitt c) auf Seite 499 beschrieben, ist eine (eindeutige) Umkehrbarkeit in endlichen Körpern, auch Galois Field (GF) genannt, gegeben. Die Verknüpfung Multiplikation lässt sich mittels der multiplikativen Inverse invertieren. Diese mathematischen Prozesse sind eigentlich hauptsächlich für die asymmetrischen Verfahren von Bedeutung.1914 Der Advanced Encryption Standard arbeitet auf dem endlichen Körper GF(28 ), denn AES verarbeitet ganze Bytes. Ein Byte besteht aus 8 Bits. Jedes Bit kann zwei Werte darstellen, 0 und 1. Ein Byte kann also 28 = 256 verschiedene Werte (0-255) annehmen. Da 256 allerdings keine Primzahl ist, hilft hier die Arithmetik mod 256 nicht weiter, weil wie eingangs1915 beschrieben mod 256 keinen Körper bildet. Allerdings gibt es zu jedem endlichen Körper mod p sogenannte ErweiterungsKörper GF(pr ) mit jeweils pr Elementen (p ist ein Primzahl, r eine positive, ganze Zahl). Der endliche Körper mod p ist nur der kleinste endliche Körper (nämlich p1 ).1916 Der Erweiterungs-Körper GF(28 ) besteht damit aus 256 Elementen. Für AES werden die einzelnen Bytes als Elemente von GF(28 ) aufgefasst.1917
1913 1914 1915 1916 1917
Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 85. Siehe etwa beim RSA-Algorithmus in Abschnitt bb) auf Seite 441. Abschnitt c) auf Seite 499. Dazu: Kurzweil, Endliche Körper: Verstehen, Rechnen, Anwenden, S. 13. Zum Ganzen: Ertel, Angewandte Kryptographie, S. 175.
I. Kryptographische Algorithmen
(bb)
419
Polynome
Allerdings lässt sich in GF(28 ) nicht mit „normalen“ Zahlen rechnen. Die Elemente von GF(28 ) müssen speziell dargestellt werden.1918 AES wählt dafür die Polynomdarstellung. D.h. die einzelnen Bytes werden als Polynome 7. Grades oder kleiner mit Koeffzienten aus GF(2)1919 verstanden. Den Erweiterungs-Körper GF(28 ) erhält man dann aus dem Ring aller Polynome mit Koeffizienten aus GF(2), wenn man ein (an sich beliebiges, nur irreduzibles) Polynom 8. Grades als Modul verwendet.1920 Auch die Addition und Multiplikation in einem solchen Körper sind als Operationen mit Polynomen definiert.1921 Polynome haben die allgemeine Form:1922 P(x) = cr · x r + cr−1 · x r−1 + . . . + c1 · x + c0 Bsp.:
P(x) = 9 · x 4 + 5 · x 3 + 2 · x 2 + x + 7
Weil die Koeffzienten c dem Körper GF(2) entstammen, können sie nur die Werte 0 und 1 annehmen. Die einzelnen Bytes (des Klartext-Blockes) können in solche Polynome nach folgendem Schema umgerechnet werden: Aufbau des Bytes: Aufbau des Polynoms: Bsp.:
Byte = b7, b6, b5, b4, b3, b2, b1, b0 P(x) = b7 · x 7 + b6 · x 6 + b5 · x 5 + b4 · x 4 + b3 · x 3 + b2 · x 2 + b1 · x + b0 Byte = 11001011 P(x) = x 7 + x 6 + x 3 + x + 1
Die Addition der in Polynome umgewandelten Bytes in GF(28 ) ist definiert als Addition der einzelnen Koeffzienten mod 2. In Binärdarstellung entspricht das der bekannten XOR-Verknüpfung.1923 Beispiel: (x 7 + x 6 + x 3 + x + 1) ⊕ (x 7 + x + 1) = x 6 + x 3 11001011 ⊕ 10000011 = 01001000 1918 Dazu ausführlich: Kurzweil, Endliche Körper: Verstehen, Rechnen, Anwenden, S. 17 ff. 1919 Der endliche Körper mod 2 (GF(2)) besteht nur aus den Elementen 0 und 1. 1920 Dazu Swoboda/Spitz/Pramateftakis, Kryptographie und IT-Sicherheit, S. 72 f. 1921 Dazu Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 86 f. 1922 Swoboda/Spitz/Pramateftakis, Kryptographie und IT-Sicherheit, S. 73. 1923 Ertel, Angewandte Kryptographie, S. 176.
420
Anhang C Kryptologischer Hintergrund
Die Multiplikation ⊗ in GF(28 )ist komplizierter und definiert als Mulitiplikation von Polynomen modulo eines irreduziblen Polynoms.1924 AES verwendet als Modul das irreduzible Polynom m(x) = x 8 + x 4 + x 3 + x + 1.1925 Hierfür gibt es keine einfache Operation auf Byte-Ebene, sie lässt sich aber dennoch leicht implementieren.1926 Beispiel:1927 (x 6 + x 4 + x 2 + x + 1) ⊗ (x 7 + x + 1) mod (x 8 + x 4 + x 3 + x + 1) = x 13 + x 11 + x 9 + x 8 + x 6 + x 5 + x 4 + x 3 + 1 mod x 8 + x 4 + x 3 + x + 1 = = x7 + x6 + 1 auf Bit-Ebene bedeutet das: 01010111 ⊗ 10000011 = 11000001 (cc)
Byte-Substitution (SubBytes-Operation)
In SubBytes, der ersten Operation der Rundenfunktion, wird jedes Byte der 4x4-Matrix einzeln transformiert und an den nächsten Zustand (State) mit der gleichen Matrixposition übergeben. Diese Substitution wird durch zwei Schritte realisiert.1928 1. Ersetzen des Bytes durch sein multiplikativ inverses Element Für das jeweilige Eingangs-Byte der Matrix wird die multiplikative Inverse in GF(28 ) mit dem Modul x 8 + x 4 + x 3 + x + 1 berechnet. Auch im Bereich des Rechnens mit Polynomen kann die multiplikative Inverse über den erweiterten euklidischen Algorithmus berechnet werden.1929 2. Permutationsschritt Die multiplikative Inverse wird zusätzlich in zwei Einzelschritten vertauscht. • Zunächst werden die 8 Bits des Bytes mit einer festen 8x8 Matrix mod 2 multipliziert. • Anschließend wird ein festgelegtes Byte (ein Element aus GF(28 )) addiert (XOR-verknüpft). Ebd. Siehe Ertel, Angewandte Kryptographie, S. 176. Buchmann, Einführung in die Kryptographie, S. 115. Dazu ausführlich unten in Abschnitt (cc) und Abschnitt (ee) auf Seite 422. Für das Beispiel siehe Ertel, Angewandte Kryptographie, S. 176. Vgl. dafür Swoboda/Spitz/Pramateftakis, Kryptographie und IT-Sicherheit, S. 84; Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 87. 1929 Ertel, Angewandte Kryptographie, S. 176. Detailliert: Konheim, Computer Security and Cryptography, S. 316.
1924 1925 1926 1927 1928
I. Kryptographische Algorithmen
421
Besteht das im ersten Schritt aus dem Eingangs-Byte erzeugte jeweilige multiplikativ inverse Byte aus den Bits i7, i6, i5, i4, i3, i2, i1, i0 , wird folgendes berechnet:1930
Ausgabe-ByteSubBytes
1 © 1 1 1 = 1 0 0 «0
0 1 1 1 1 1 0 0
0 0 1 1 1 1 1 0
0 0 0 1 1 1 1 1
1 0 0 0 1 1 1 1
1 1 0 0 0 1 1 1
1 1 1 0 0 0 1 1
1 i 1 ª © 0ª © ª 1® i1 ® 1® ® ® ® 1® i2 ® 0® ® ® ® 1® i3 ® 0® ®· ®⊕ ® 0® i4 ® 0® ® ® ® 0® i5 ® 1® ® ® ® 0® i6 ® 1® 1¬ «i7 ¬ «0¬
Diese Schritte müssen aber in AES nicht für jedes Byte einzeln ausgeführt werden. Vielmehr lassen die Ergebnisse sich für alle 256 Elemente aus GF(28 ) im Voraus berechnen und als Verknüpfungstabelle zusammenfassen.1931 Das bedeutet, dass die Operation SubBytes sich als 16x16 Ersetzungstabelle (S-Box)1932 interpretieren und einfach implementieren lässt, so dass vom Algorithmus letztlich nur jedes Byte durch ein Byte der S-Box substituiert wird (vgl. Abbildung C.71933).
Abbildung C.7: Die Operation SubBytes
(dd)
Zeilenverschiebung (ShiftRows-Operation)
Die sich anschließende ShiftRows-Operation ist eine reine Permutations-Operation. Die Zeilen werden byteweise nach links verschoben. AES sieht vor, dass die erste Zeile ausgelassen wird, in der zweiten Zeile wird um ein, in der dritten Zeile um 1930 Für die feste binäre Matrix und das Additions-Byte siehe Buchmann, Einführung in die Kryptographie, S. 116. 1931 Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 315. 1932 Für den Aufbau der SBox siehe: Schmeh, Kryptografie, S. 130. 1933 Für die Abbildung siehe Wilke/Küsters, Moderne Kryptographie, S. 70.
422
Anhang C Kryptologischer Hintergrund
zwei und in der vierten Zeile um drei Bytes verschoben.1934 Das Prinzip ist in Abbildung C.81935 dargestellt.
Abbildung C.8: Die Operation ShiftRows
(ee)
Spaltentransformation (MixColumns-Op.)
Mix-Columns durchmischt die Bytes der 4x4-Matrix spaltenweise (siehe Abbildung C.9 auf der nächsten Seite1936). Für AES wird der Vorgang als Multiplikation von Polynomen beschrieben. Es wird dabei wie folgt vorgegangen. Die vier Bytes in der jeweiligen Spalte werden als Koeffizienten eines Polynoms 3. Grades oder kleiner der Form a3 · x 3 + a2 · x 2 + a1 · x + a0 interpretiert. Ein Byte wird dafür in hexadezimale Schreibweise umgewandelt und angegeben.1937 Zum Beispiel: 2D · x 3 + 42 · x 2 + 9E · x + 11. Dieses Polynom wird mit einem festen Polynom M(x) multipliziert mod (x 4 + 1). M(x) ist gleich m3 · x 3 + m2 · x 2 + m1 · x + m0 mit den Koeffizienten m0 = x, m1 = 1, m2 = 1, m3 = x + 1.1938 Das Besondere hierbei ist wiederum die Möglichkeit der leichten Implementierung, ähnlich wie bei SubBytes, weil die Polynome so gewählt sind, dass sich die jeweiligen Polynommultiplikationen als einfache Verschiebungs- und XOR-Vorgänge auf Byte-Ebene umsetzen lassen.1939 Weil x 4 + 1 im Gegensatz zu x 8 + x 4 + x 3 + x + 1 kein irreduzibles Polynom in GF(28 ) ist, bildet es keinen Körper. Da x 4 + 1 und M(x) aber teilerfremd sind, lässt sich ein inverses Polynom berechnen, um MixColumns für die Dechiffrierung zu invertieren.1940 Schmeh, Kryptografie, S. 130 f. Wilke/Küsters, Moderne Kryptographie, S. 79. Vgl. Wilke/Küsters, Moderne Kryptographie, S. 70. Für eine Umwandlungstabelle siehe bspw. https://www.ascii-code.com/ (Stand: Dezember 2017). 1938 Dazu Ertel, Angewandte Kryptographie, S. 177 und Swoboda/Spitz/Pramateftakis, Kryptographie und IT-Sicherheit, S. 84. 1939 Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 315; Schmeh, Kryptografie, S. 131 f. 1940 Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 88. 1934 1935 1936 1937
I. Kryptographische Algorithmen
423
Abbildung C.9: Die Operation MixColumns
(b)
XOR-Verknüpfung mit Rundenschlüssel (KeyAddition)
Alle bisherigen Operationen waren schlüsselunabhängig. Lediglich die eingangs und die nach der Rundenfunktion am Ende einer jeden Runde durchgeführte KeyAddition (mit ⊕ bezeichnet) bezieht den AES-Schlüssel mit ein. Der jeweilige Rundenschlüssel ist ebenfalls 128 Bit groß und wie die States als 4x4 Matrix aufgebaut. Für die KeyAddition wird jedes Byte der State mit dem Byte des Rundenschlüssels an der gleichen Position bitweise XOR-verknüpft.1941 Auf diese Weise werden die Transformationen der Runden einfach und effektiv schlüsselabhängig gemacht.1942
(4)
Erzeugung der Rundenschlüssel (Schlüsselexpansion)
Aus einem 128-Bit-AES-Schlüssel müssen elf 128-Bit-Rundenschlüssel (Rundenanzahl plus eins), aus einem 192-Bit dreizehn bzw. aus einem 256-Bit-AESSchlüssel fünfzehn 128-Bit-Rundenschlüssel generiert werden. Es sei der Fall eines AES-Schlüssels der Größenordnung 128 Bit betrachtet. Das bedeutet, dass insgesamt 176 Byte bzw. 1408 Bits an Rundenschlüssel benötigt werden. Die vier Spalten des 128-Bit-Schlüssels werden zu vier 32-Bit-Blöcken w0, w1, w2, w3 (Wörter genannt) zusammengefasst und blockweise bearbeitet. Aus diesen vier Wörtern setzt man die weiteren Wörter zu einer Schlüsselkette nach folgendem Muster zusammen(siehe Abbildung C.10 auf der nächsten Seite1943). Das erste Wort wird mit dem vierten Wort XOR-verknüpft und bildet das fünfte 1941 Dazu Ertel, Angewandte Kryptographie, S. 70 und Schmeh, Kryptografie, S. 132. 1942 Buchmann, Einführung in die Kryptographie, S. 117. 1943 Abbildung in Anlehnung an Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 89.
424
Anhang C Kryptologischer Hintergrund
Wort. Das zweite Wort wird mit dem gerade entstandenen fünften Wort XORverknüpft und führt zum sechsten Wort usw.1944
Abbildung C.10: Erzeugung des Rundenschlüssels in AES
Jedes vierte Wort (Wort 4, 8, 12, 16, usw.) wird bevor es entsprechend der eben beschriebenen Regel verknüpft wird noch in einer speziellen Funktion unter Verwendung der S-Box substituiert und permutiert.1945 Die derart entstandene Schlüsselkette aus 44 Wörtern (bzw. 176 Byte) wird nach jeweils vier Wörtern geteilt, so dass die elf Rundenschlüssel à 128 Bit entstehen. Der erste (nullte) Rundenschlüssel besteht also exakt aus den 128-Bit w0, w1, w2, w3 des AES-Schlüssels.1946 Die Expansion im Falle eines 192-Bit- bzw. 256-Bit-AES-Schlüssels folgt diesem Prinzip und entscheidet sich nur in den einzelnen Variablen.1947 (5)
Entschlüsselung mit AES
Für den Dechiffriervorgang wird der Algorithmus in umgekehrter Reihenfolge durchlaufen. Entsprechend müssen die Rundenschlüssel vom letzten zum ersten XOR-verknüpft werden. So wird als erster Schritt der Entschlüsselung der Geheimtext-Block mit dem letzten Rundenschlüssel mod 2 addiert. Auch innerhalb der Rundenfunktion werden die Operationen umgekehrt ausgeführt, d.h. zuerst MixColumns, dann ShiftRows, abschließend SubBytes. Die einzelnen Operationen müssen durch ihre Umkehroperationen unter Berechnung der jeweiligen Inversen ersetzt werden. Konkret heißt das für SubBytes kann eine spezielle inverse S-Box erstellt werden, die Zeilenverschiebung von ShiftRows wird in die andere Richtung vollzogen.1948 Nur die in der Umkehrung von MixColumns auftretenden 1944 Dazu Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 89. 1945 Ertel, Angewandte Kryptographie, S. 73; Schmeh, Kryptografie, S. 133. 1946 Swoboda/Spitz/Pramateftakis, Kryptographie und IT-Sicherheit, S. 83. 1947 Detailliert in Delfs/Knebl, Introduction to Cryptography, S. 25. 1948 Zum Ganzen: Swoboda/Spitz/Pramateftakis, Kryptographie und IT-Sicherheit, S. 82 und Schmeh, Kryptografie, S. 132.
I. Kryptographische Algorithmen
425
Polynommultiplikationen sind komplizierter und müssen mit Hilfe von zwei vorab erstellten Tabellen implementiert werden.1949
(6)
Sicherheit von AES
Durch den öffentlichen Auswahlprozess ist der Rijndael-Algorithmus einer eingehenden Untersuchung (insb. auch durch seine Mitbewerber) unterzogen worden. Bis heute ist keine Methode von praktischer Bedeutung entwickelt worden, um AES zu brechen.1950 Insbesondere ist er unempfindlich gegen die statistischen Angriffe der differentiellen und linearen Kryptanalyse.1951 Der aktuell beste Angriff stammt aus dem Jahr 2011 und ist ein Meet-in-the-Middle-Angriff1952 (Biclique-Angriff). Er wurde von Bogdanov/Khovratovich/Rechberger vorgestellt und ist zwar etwas schneller als ein Brute-Force-Angriff, aber immer noch bei weitem zu komplex, um effizient durchgeführt werden zu können.1953
dd)
International Data Encryption Algorithm (IDEA)
Der International Data Encryption Algorithm wurde 1991 von Massey/Lai an der ETH Zürich in Zusammenarbeit mit dem schweizerischen Elektronik-Konzern Ascom1954 entwickelt.1955 IDEA arbeitet auf einem 64-Bit-Eingabeblock mit einer Schlüssellänge von 128 Bit. Er ist weder eine Feistel- noch eine SubstitutionsPermutationschiffre, sondern nutzt Berechnungen in verschiedenen algebraischen Gruppen zu Konfusions- und Diffusionszwecken. IDEA verwendet dabei drei Operationen, die XOR-Verknüpfung, die Addition mod 216 und die Multiplikation mod 216 + 1.1956 Als Nachfolger von DES gedacht, war er anfangs weit verbreitet. Seine Bedeutung lies allerdings stetig nach, da andere frei verfügbare Algorithmen entwickelt wurden (IDEA war lange Zeit patentgeschützt) und er aufgrund der Eingabeblock-Länge nicht am publicityträchtigen AES-Wettbewerb1957 teilnehmen konnte.1958 1949 Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 316. 1950 Ertel, Angewandte Kryptographie, S. 74; Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 316 f. 1951 Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 90. 1952 Siehe Abschnitt (7) auf Seite 414. 1953 Bogdanov/Khovratovich/Rechberger, Biclique Cryptanalysis of the Full AES, abrufbar unter: https://eprint.iacr.org/2011/449.pdf). (Stand: Dezember 2017). 1954 Ascom Holding AG, Dübendorf. 1955 Schmeh, Kryptografie, S. 154. 1956 Schneier, Angewandte Kryptographie, S. 370. 1957 Siehe Abschnitt cc) auf Seite 415. 1958 Schmeh, Kryptografie, S. 155.
426
Anhang C Kryptologischer Hintergrund
c)
Betriebsmodi der Blockchiffren
In den bisherigen Ausführungen zu den verschiedenen Blockchiffren wird davon ausgegangen, dass der Klartext in der jeweils verlangten Eingabe-Blocklänge vorliegt. Denn nur dann ist der verwendete Algorithmus in der Lage ihn zu bearbeiten. Natürlich ist in der Praxis die zu übermittelnde Nachricht in der Regel länger. Das Verfahren, das beschreibt, wie die jeweilige Blockchiffre längere (oder auch kürzere) Klartexte verarbeiten kann, nennt man Betriebsmodus.1959 Es existieren fünf wichtige Betriebsmodi. Sie lauten Electronic-Codebook-Modus (ECB-Mode), Cipher-Block-Chaining-Modus (CBC-Mode), Counter-Modus (CTRMode), Cipher-Feedback-Modus (CFB-Mode) und Output-Feedback-Modus (OFBMode).1960 aa)
ECB-Mode
Im naheliegendsten Verfahren wird der (zu) lange Klartext einfach in Blöcke der verlangten Größe aufgeteilt.1961 Der nach der Teilung übrig gebliebene letzte Block wird mit Einsen und Nullen aufgefüllt und so auf die erforderliche Größe gebracht.1962 Da in diesem Modus die Blöcke unabhängig voneinander verschlüsselt werden, führt das dazu, dass jeder gleiche Klartext-Block in einen identischen Geheimtext-Block überführt wird.1963 Betrachtet man einen Block als ein Zeichen, handelt es sich im Prinzip um eine monoalphabetischen Chiffre mit 264 verschiedenen Zeichen, wenn die Blocklänge 64 Bit beträgt.1964 Das macht den Modus verwundbar, denn ein Angreifer könnte zumindest theoretisch für jeden Schlüssel ein separates Codebuch mit Klartexten und dazugehörigen Geheimtexten anlegen.1965 Der Hauptnachteil besteht aber darin, dass für den Empfänger nicht erkennbar, während des Übermittlungsvorganges, ganze Blöcke gelöscht, hinzugefügt oder manipuliert werden könnten.1966 Der ECB-Modus gilt daher nicht als sicher, auch wenn er sehr effizient ist. Er wird vorwiegend für die Verschlüsselung kurzer Nachrichten wie Passwörter oder Sitzungsschlüssel eingesetzt, bei denen diese Probleme aufgrund der Nachrichtenlänge keine Rolle spielen.1967 1959 1960 1961 1962 1963 1964 1965 1966 1967
Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 95. Schmeh, Kryptografie, S. 344. Wilke/Küsters, Moderne Kryptographie, S. 103. Diesen Vorgang bezeichnet man als Padding. Für Details siehe Schneier, Angewandte Kryptographie, S. 224 f. Zum gleichen Problem beim RSA-Algorithmus siehe: Abschnitt (3) auf Seite 459. Dazu Ertel, Angewandte Kryptographie, S. 75. Daher stammt auch der Name Electronic-Codebook-Modus, vgl. Schneier, Angewandte Kryptographie, S. 223. Schmeh, Kryptografie, S. 344. Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 96.
I. Kryptographische Algorithmen
bb)
427
CBC-Mode
Im CBC-Modus hängen die aus den Klartext-Blöcken zu generierenden GeheimtextBlöcke von allen vorangegangenen Geheimtext-Blöcken ab und sind daher veränderlich. Das wird erreicht in dem man einen Block nicht direkt verschlüsselt, sondern zunächst mit dem vorangegangenen (zuvor berechneten) GeheimtextBlock verknüpft (in der Regel per XOR-Verknüpfung, weil diese leicht invertierbar ist)1968 und dann erst verschlüsselt. Ist also ein gleicher Klartext-Block zu verschlüsseln, so wird der vorhergehende, einzubeziehende Geheimtext-Block in der Regel abweichen, so dass ein gleicher Klartext-Block nicht in einen identischen Geheimtext-Block überführt wird. Durch die Einbeziehung der vorangegangen Blöcke wird der jeweilige ausgegebene Geheimtext-Block randomisiert. Der erste Klartext-Block, für den noch kein Geheimtext-Block zur Verfügung steht, wird meist mit einem Initialisierungsblock verknüpft. Durch die Abhängigkeit der Blöcke wird ein Austausch oder eine Manipulation an einzelnen Blöcken bemerkbar, auch wenn sich der Fehler nicht auf den übernächsten Block fortpflanzt.1969 Allerdings erzeugt auch der CBC-Modus bei der (eher selten anzutreffenden) exakt gleichen Abfolge von Klartext-Blöcken die gleiche Abfolge von GeheimtextBlöcken, insofern ist er ebenso deterministisch wie der ECB-Modus.1970 Er wird meist für die Chiffrierung von Dateien verwendet.1971 cc)
CTR-Mode
Der Counter-Modus sorgt (ebenso wie der noch folgende CFB- und OFB-Modus) dafür, dass die Blockchiffren wie Stromchiffren1972 funktionieren. D.h. der Klartext wird nicht blockweise, sondern Zeichen für Zeichen verschlüsselt. Das hat insbesondere Performance-Vorteile und reduziert den Datenverkehr, wenn viele kurze Blöcke zu verschlüsseln sind, weil so das Auffüllen der Blöcke auf EingabeBlocklänge wegfällt.1973 Der Counter-Modus erzeugt mit Hilfe der Blockchiffre einen Schlüsselstrom mit dem die Klartext-Blöcke verknüpft werden. Dazu arbeitet er, wie der Name verrät, mit einem Zähler. Zunächst muss eine Zufallszahl als Initialisierungswert gewählt werden. Der Initialisierungswert wird mit dem Zähler für den ersten Block addiert (oder multipliziert oder angehängt oder sonst einem beliebigen Verfahren unterworfen) und dann mit der Blockchiffre verschlüsselt. Für jeden weiteren Block wird der Zähler gemäß des gewählten Verfahrens hochgezählt und mit dem Initialisierungswert verbunden und das jeweilige Ergebnis 1968 Zur XOR-Verknüpfung siehe: Abschnitt 8. auf Seite 507. 1969 Zum Ganzen: Schneier, Angewandte Kryptographie, S. 227 ff und Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 97 ff. 1970 Wilke/Küsters, Moderne Kryptographie, S. 105. 1971 Schmeh, Kryptografie, S. 346. 1972 Zu Stromchiffren siehe bereits oben Abschnitt bb) auf Seite 401 und ausführlich unter Abschnitt d) auf Seite 429. 1973 Vgl. Wobst, Abenteuer Kryptologie, S. 178 f.
428
Anhang C Kryptologischer Hintergrund
verschlüsselt. Die derart entstandenen Resultate ergeben aneinander gehängt einen Schlüsselstrom, der mittels XOR mit den Klartext-Blöcken zeichenweise verknüpft wird.1974 Der große Vorteil des Counter-Modus liegt darin, dass der Schlüsselstrom sich vorab (offline) und parallel berechnen lässt und aufgrund der XOR-Verknüpfung von Schlüsselstrom und Klartextes eine Umkehrfunktion nicht notwendig ist.1975 dd)
CFB-Mode
Im CFB-Modus wird der Schlüsselstrom im Gegensatz zum Counter-Modus in Abhängigkeit vom Geheimtext erzeugt. Der im vorherigen Schritt entstandene Geheimtext-Block wird erneut verschlüsselt (Schlüsselstrom) und quasi als Rückmeldung oder Rückkopplung1976 mit dem aktuellen Klartext-Block zeichenweise XOR-verknüpft, um so den neuen Geheimtext-Block zu erhalten.1977 Für den ersten Klartext-Block ist wieder ein zufälliger Initialisierungswert notwendig.1978 ee)
OFB-Mode
Der Output-Feedback-Modus ähnelt dem Counter-Modus. Auch hier ist der erzeugte Schlüsselstrom unabhängig vom Geheim- bzw. Klartext. Lediglich die Schlüsselstromerzeugung weicht ab und gleicht dem CFB-Modus. Nach Wahl eines zufälligen Initialisierungswertes wird dieser Wert mit Hilfe der Blockchiffre verschlüsselt, um dann, mit dem Klartext XOR-verknüpft, den Geheimtext zu bilden. Schritt eins des CFB- und des OFB-Modus gleichen sich somit. Im Folgenden wird aber für den nächsten Block der einmal verschlüsselte Initialisierungswert erneut verschlüsselt, für den darauf folgende Block der zweifach verschlüsselte Wert ein drittes Mal durch die Blockchiffre verändert usw.1979 Der Schlüsselstrom wird also durch fortwährendes Verschlüsseln des Initialisierungswertes erzeugt.1980 Der Vorteil von OFB (und auch CTR) gegenüber CFB liegt darin, dass sich wegen der Unabhängigkeit vom Geheimtext einzelne Fehler nicht fortpflanzen, der Nachteil darin, dass beim Fehlen eines ganzen Geheimtext-Blockes alle folgende Blöcke falsch entschlüsselt werden.1981 Dazu Schmeh, Kryptografie, S. 349. Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 100. Daher der Name Cipher-Feedback-Modus. Swoboda/Spitz/Pramateftakis, Kryptographie und IT-Sicherheit, S. 91. Schneier, Angewandte Kryptographie, S. 237. Die Ausgabe des Initialisierungswertes im vorherigen Schritt dient im aktuellen Schritt als namensgebende Rückmeldung. 1980 Dazu Schmeh, Kryptografie, S. 346 f und Swoboda/Spitz/Pramateftakis, Kryptographie und IT-Sicherheit, S. 92 f. 1981 Man spricht davon, dass Sender und Empfänger nicht mehr synchron sind, vgl. Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 102. 1974 1975 1976 1977 1978 1979
I. Kryptographische Algorithmen
d)
429
Ausgewählte Stromchiffren
Neben den Blockchiffren bilden die Stromchiffren die zweite Unterkategorie der symmetrischen Verschlüsselungsalgorithmen. Der Name leitet sich von dem Schlüsselstrom ab, den diese Verfahren erzeugen.1982 Der Schlüsselstrom wird in der gleichen Länge wie der Klartext generiert, um Zeichen für Zeichen (in der Regel Bit/Byte für Bit/Byte und eben nicht blockweise)1983 mit dem Klartext verknüpft zu werden.1984 Wie oben1985 bereits erwähnt, legen die Stromchiffren den Schwerpunkt nicht auf die „Verschlüsselungsfunktion“, sondern auf die aufwendige Erzeugung des Schlüssels. Das Prinzip gleicht dem des bereits beschriebenen One-Time-Pads1986 mit dem Unterschied, dass für das One-TimePad ein in seiner Gesamtheit zufälliger Schlüsselstrom verwendet wird, während die Stromchiffren aus einem kurzen Schlüssel in einem aufwendigen Verfahren einen „pseudozufälligen“ Schlüsselstrom konstruieren.1987 aa)
Allgemeines Prinzip von Stromchiffren
Stromchiffren arbeiten in zwei großen Teilschritten. Zunächst wird der Schlüsselstrom unabhängig (synchrone Stromchiffren) oder in Abhängigkeit (selbstsynchronisierende Stromchiffren) vom Klartext/Geheimtext erzeugt. Dazu muss ein Startwert (oft als Initialisierungsvektor bezeichnet) zwischen den Parteien vereinbart werden. Im Grundschema und einfachsten Fall (vgl. Abbildung C.11 auf der nächsten Seite1988) wird der Startwert dann in eine spezielle Funktion eingespeist. Das Ergebnis nach Durchlaufen der speziellen Funktion wird dann erneut eingespeist. Die so entstehenden (Zwischen-)Ergebnisse werden aneinandergereiht und ergeben den Schlüsselstrom. Die (Zwischen-)Ergebnisse nennt man interner Zustand oder Status (deswegen wird die spezielle Funktion hier als Zustandsüberführungsfunktion bezeichnet). Der symmetrische Schlüssel, also das zwischen den Kommunikationspartnern zu vereinbarende Geheimnis, kann entweder der Startwert sein oder er fließt in die Zustandsüberführungsfunktion ein, um den Startwert zu verändern oder auch beides.1989 1982 Katz/Lindell, Introduction to Modern Cryptography, S. 77. 1983 Bei den Blockchiffren hängt die Sicherheit ja gerade auch davon ab, dass der Klartext nicht in zu kleine Eingabeblöcke aufgeteilt werden kann, vgl. Fumy/Rieß, Kryptographie, S. 107. 1984 Schneier, Angewandte Kryptographie, S. 232. 1985 Siehe: Abschnitt bb) auf Seite 401. 1986 Siehe Abschnitt dd) auf Seite 402. 1987 Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 52; Schwenk, Sicherheit und Kryptographie im Internet, S. 11. 1988 Abbildung nach Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 53 und Schmeh, Kryptografie, S. 264. 1989 Zum Ganzen: Schmeh, Kryptografie, S. 264 ff und Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 191 ff.
430
Anhang C Kryptologischer Hintergrund
In einem zweiten Schritt wird der Schlüsselstrom mit dem Klartext(-strom) „verschlüsselt“. In der Regel handelt es sich dabei um eine simple XOR-Verknüpfung1990 von Klartext(-strom) und Schlüsselstrom, denn die Sicherheit einer Stromchiffre hängt nicht von der „Verschlüsselungsfunktion“, sondern von der Anzahl der möglichen internen Zustände und der Komplexität der Zustandsüberführungsfunktion ab.1991 Wird die XOR-Verknüpfung verwendet, muss aber streng darauf geachtet werden, dass ein Schlüsselstrom niemals doppelt verwendet wird, denn sonst kann ein Angreifer zwei verschiedene Geheimtexte XOR-verknüpfen und erhält so die XOR-Verknüpfung der beiden Klartexte, die oft eine zielführende Kryptanalyse erlaubt.1992
Abbildung C.11: Das Grundschema einer Stromchiffre
In modernen Stromchiffren wird häufig nicht einfach der Startwert in die Zustandsüberführungsfunktion eingespeist. Er wird zunächst in mehreren Schritten initialisiert. Auch werden die internen Zustände oft nicht direkt mit dem Klartext verknüpft, sondern zuvor noch einer Operation(en) unterworfen (SchlüsselstromExtraktion).1993 bb)
RC4/Arcfour
RC4 wurde 1987 von Ron Rivest1994 entwickelt. Die Funktionsweise des Algorithmus war sieben Jahre lang ein Betriebsgeheimnis der damaligen RSA Data 1990 1991 1992 1993 1994
Siehe Abschnitt 8. auf Seite 507. Fumy/Rieß, Kryptographie, S. 108. Schneier, Angewandte Kryptographie, S. 233. Schmeh, Kryptografie, S. 265. Der einige Jahre zuvor auch schon an der Entwicklung des RSA-Algorithmus beteiligt war, siehe Abschnitt b) auf Seite 439.
I. Kryptographische Algorithmen
431
Security Inc.1995, bevor es 1994 anonym in einer Mailing-Liste veröffentlicht und über das Usenet verbreitet wurde. Weil RC4 noch ein Markenzeichen der Firma ist, wird teilweise von Arcfour gesprochen, um etwaige Rechtsstreitigkeiten zu vermeiden.1996 RC4 arbeitet sehr schnell und ist weit verbreitet.1997 Der Algorithmus arbeitet im OFB-Mode1998, so dass der Schlüsselstrom unabhängig vom Klartext generiert wird.1999 (1)
Überblick über die Funktionsweise von RC4
Die Schlüsselstromerzeugung kann als zweistufig beschrieben werden. RC4 operiert dabei auf Bytes und arbeitet mit einer schon von den Blockchiffren bekannten Substitutionsbox (S-Box). Auf der ersten Stufe generiert der sogenannte KSA-Algorithmus2000 aus einer geordneten S-Box eine pseudozufällig angeordnete S-Box (Permutationsschritt). Auf der zweiten Stufe werden aus dieser generierten SBox pseudozufällig Bytes ausgewählt und als Teil des Schlüsselstroms ausgegeben (PRGA-Algorithmus2001). Nach Auswahl eines Bytes wird anschließend die S-Box noch weiter „durchgeschüttelt“, bevor das nächste Byte ausgewählt und an den Schlüsselstrom übergeben wird.2002 Die Verschlüsselung erfolgt abschließend durch bitweise XOR-Verknüpfung des Schlüsselstroms mit dem Klartext(-strom).2003 (2)
KSA-Algorithmus
(a)
Die einzelnen Schritte des Algorithmus
Der KSA-Algorithmus initiliasiert die S-Box für den PRGA-Algorithmus. Eingangs werden dazu zwei S-Boxen als Startpunkt geschaffen (RC4 kommt ohne Initialisierungsvektor aus). Beide haben die Größe von 256 Felder à 1 Byte (8 Bit), entsprechen also einer Gesamtgröße von 2048 Bit. Die erste, die Ausgangs-S-Box Si , wird linear mit den Zahlen 0 bis 255 gefüllt. Die einzelnen Felder werden mit S0, S1, S2, . . . , S255 bezeichnet, so dass folgende Belegung 1995 RSA Security LLC gehört heute zur DELL EMC Group, vgl. https://www.emc.com/ services/rsa-services/professional-services.htm (Stand: Dezember 2017). 1996 Dazu Wobst, Abenteuer Kryptologie, S. 217. 1997 Vaudenay, A Classical Introduction to Cryptography, S. 47. 1998 Siehe Abschnitt ee) auf Seite 428. 1999 Schneier, Angewandte Kryptographie, S. 455. 2000 Key Scheduling Algorithm, vgl. Konheim, Computer Security and Cryptography, S. 278. 2001 Pseudorandom Number Generator Algorithm, vlg. Konheim, Computer Security and Cryptography, S. 278. 2002 Dazu Swoboda/Spitz/Pramateftakis, Kryptographie und IT-Sicherheit, S. 69 und Schneier, Angewandte Kryptographie, S. 455. 2003 Vaudenay, A Classical Introduction to Cryptography, S. 47.
432
Anhang C Kryptologischer Hintergrund
S0 = 0, S1 = 1, S2 = 2, . . . , S255 = 255 entsteht. Bei der Variablen i handelt es sich also um einen Zähler, der hochgezählt wird und die einzelnen Felder in der S-Box adressiert. Die zweite, die Schlüssel-S-Box Ki , wird auch linear mit den Werten des Schlüssels in der Zuordnung K0, K1, K2, . . . , K255 belegt. Sollte der Schlüssel kürzer sein als 256 Byte (bzw. 2048 Bit) wird er so oft wiederholt bis diese S-Box voll ist.2004 Die Erzeugung der pseudozufälligen S-Box aus den beiden Start-S-Boxen vollzieht sich nach folgender Vorschrift2005 (der Ausgangswert der zweiten benötigten Variable j ist 0, L steht für die Schlüssellänge in Byte): j=0 Wiederhole für: i = 0 bis 255 : j = ( j + Si + K(i mod L) ) mod 256 Vertausche Si und S j Die Werte des geheimen Schlüssels (der Schlüssel-S-Box Ki entnommen) in Kombination mit der veränderlichen Variable j und dem Indexwert i bestimmen also welche beiden Felder innerhalb Ausgangs-S-Box Si vertauscht werden. Die Vorschrift wird 256-Mal wiederholt und die Felder so innerhalb von Si mehrfach vertauscht und „durcheinandergewirbelt“ bis eine pseudozufällige, nicht vorhersagbare S-Box entstanden ist.2006 (b)
Beispielrechnung (KSA)
Der Schlüssel lautet: Key (= 3 Byte) Key (ASCII) = 01001011 01100101 01111001 (Binär) = 75 101 121 (Dezimal) K = (75, 101, 121) ↓ Schlüssel-S-Box Ki : 75(K0 ) 101(K1 ) 121(K2 ) 75(K3 ) 101(K4 ) 121(K5 ) 75(K6 ) 101(K7 ) 121(K8 ) 75(K9 ) 101(K10 ) 121(K11 ) 75(K12 ) 101(K13 ) 121(K14 ) 75(K15 ) ... ... ... ... ... ... ... 75(K255 ) Ausgangs-S-Box Si : 0(S0 ) 1(S1 ) 2(S2 ) 3(S3 ) 4(S4 ) 5(S5 ) 6(S6 ) 7(S7 ) 8(S8 ) 9(S9 ) 10(S10 ) 11(S11 ) 12(S12 ) 13(S13 ) 14(S14 ) 15(S15 ) ... ... ... ... ... ... ... 255(S255 ) 2004 Deswegen wird in der Regel der Schlüssel auch als Vielfaches von 8 gewählt, vgl. Schmeh, Kryptografie, S. 268. 2005 Zum Ganze: Schneier, Angewandte Kryptographie, S. 455 und Konheim, Computer Security and Cryptography, S. 278 f. 2006 Swoboda/Spitz/Pramateftakis, Kryptographie und IT-Sicherheit, S. 70.
I. Kryptographische Algorithmen
433
Key Scheduling Algorithm (die ersten 3 von 256 Schritten): i
j
Si (Inhalt der S-Box)
Si ⇔ S j
j = (j + Si + K(i mod L) ) mod 256 –
0
–
0
1
2
3
4
5
6
...
255
0
0 + 0 + 75 (mod 256) = 75
S0 ⇔ S75
75
1
2
...
74
0
76
...
255
1
75 + 1 + 101 (mod 256) = 177
S1 ⇔ S177
75
177
2
...
176
1
178
...
255
2
177 + 2 + 121 (mod 256) = 44
S2 ⇔ S44
75
177
44
...
43
2
45
...
255
3
44 + 3 + 75 (mod 256) = 122
S3 ⇔ S122
75
177
44
122
...
3
123
...
255
...
(3)
PRGA-Algorithmus
(a)
Die einzelnen Schritte des Algorithmus
Zur Erzeugung des Schlüsselstroms wählt in einem ersten Schritt der PseudorandomNumber-Generator-Algorithm ein Byte aus der mit dem KSA-Algorithmus erzeugten S-Box nach folgende Vorschrift aus2007 (t ist lediglich eine weitere Variable für die Zwischenrechnung): Startwert: i = 0
j=0
i = i + 1 (mod 256) j = j + Si (mod 256) t = Si + S j Ausgabe-Byte: St
(mod 256)
Dieses pseudozufällig ausgewählte Byte bildet die ersten 8 Bit des Schlüsselstroms. Es folgt jeweils ein zweiter Schritt zur kontinuierlichen Weiterdurchmischung der S-Box nach folgender simpler Regel:2008 Vertausche Si und S j Die S-Box verändert sich also langsam während der Generierung des Schlüsselstroms. Die beiden Vorschriften werden so lange wiederholt bis ein Schlüsselstrom von gleicher Länge wie der Klartext entstanden ist, der, den Verschlüsselungsvorgang abschließend, mit dem Klartext XOR-verknüpft wird.2009 2007 Schmeh, Kryptografie, S. 268 f und Schneier, Angewandte Kryptographie, S. 455. 2008 Ebd. Vgl. Fußnote 2007. 2009 Ebd. Vgl. Fußnote 2007.
434
(b)
Anhang C Kryptologischer Hintergrund
Beispielrechnung
Die (fiktive!) S-Box soll zunächst lauten: 75(S0 )
177(S1 )
44(S2 )
122(S3 )
178(S4 )
56(S5 )
165(S6 )
93(S7 )
5(S8 )
130(S9 )
38(S10 )
210(S11 )
119(S12 )
185(S13 )
254(S14 )
76(S15 )
...
...
...
...
...
...
...
...
...
...
...
...
3(S28 )
...
...
...
...
21(S177 )
...
...
...
...
...
...
...
...
...
...
...
...
242(S198 )
...
...
...
...
...
...
240(S221 )
...
...
...
...
...
...
...
...
...
187(S255 )
Berechnung des 1. Ausgabe-Bytes: i=0
j=0
= i + 1 (mod 256) =1 = j + Si (mod 256) = j + S1 (mod 256) = 0 + 177 (mod 256) j = 177
i i j j
t = Si + S j (mod 256) t = S1 + S177 (mod 256) = 177 + 21 (mod 256) t = 198 Ausgabe-Byte: St = S198 = 242 Die ersten 8 Bit des Schlüsselstroms lauten: 11110010.
I. Kryptographische Algorithmen
435
Berechnung des 2. Ausgabe-Bytes: i=1
j = 177
= 1 + 1 (mod 256) =2 = j + Si (mod 256) = 177 + S2 (mod 256) = 177 + 44 (mod 256) j = 221
i i j j
t = Si + S j (mod 256) t = S2 + S221 (mod 256) = 44 + 240 (mod 256) t = 28 Ausgabe-Byte: St = S28 = 3
Die zweiten 8 Bit des Schlüsselstroms lauten: 00000011. Der bisher generierte Schlüsselstrom demzufolge: 1111001000000011. Und so fort.
(4)
Entschlüsselung
Die Entschlüsselung läuft aufgrund der Verwendung der XOR-Verknüpfung als abschließende „Verschlüsselungsfunktion“ genau gleich ab. Der Empfänger erzeugt mit Hilfe des (gleichen) symmetrischen Schlüssels einen identischen Schlüsselstrom. Diesen verknüpft er mit dem Geheimtext und erhält so wieder den Klartext.2010 Da der von RC4 erzeugte Schlüsselstrom unabhängig vom Klar-/Geheimtext ist, handelt es sich um eine synchrone Stromchiffre. Bei der Entschlüsselung muss also darauf geachtet werden, dass nicht ein oder mehrere Bit verloren gehen (oder hinzugefügt werden), denn ansonsten wird beim Entschlüsseln der Geheimtext mit einem (nach links oder rechts) verschobenen (asynchronen) und damit anderen Schlüsselstrom XOR-verknüpft, der als Ergebnis nicht mehr den ursprünglichen Klartext liefert.2011 2010 Denn bei einer erneuten XOR-Verknüpfung erhält man als Ergebnis wieder die Eingabeparameter. Zur Funktionsweise siehe: Abschnitt 8. auf Seite 507. 2011 Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 193.
436
(5)
Anhang C Kryptologischer Hintergrund
Sicherheit von RC4
Aufgrund ihrer geringeren Popularität ist die Sicherheit der Stromchiffren grundsätzlich nicht so gut untersucht wie die der Blockchiffren.2012 Für RC4 ist eine Substitutionsschwäche der ersten Bytes des Schlüsselstroms bekannt, die zur Unsicherheit des WEP-Standards2013 führte.2014 Allerdings lässt sich diese Schwäche umgehen, in dem man etwa bei der Implementierung festlegt, dass die erste Anzahl von Bytes des Schlüsselstroms ignoriert wird.2015 In jüngerer Zeit entdeckte Sicherheitsprobleme haben nun dazu geführt, dass die Nutzung von RC4 in TLS verboten wurde.2016 cc)
Weitere Stromchiffren
Wie bereits ausgeführt, kommt es bei den Stromchiffren darauf an einen pseudozufälligen Schlüsselstrom (in der Regel ausgehend von einem geheimen Startwert) zu erzeugen. Daher unterscheiden sich die verschiedenen existierenden Stromchiffren vor allem in dem Verfahren, das zur Erzeugung dieser pseudozufälligen Zahlenfolge eingesetzt wird.2017 Hauptsächlich zur Anwendung kommen dabei linear rückgekoppelte Schieberegister (LFSR2018) und nicht-linear rückgekoppelte Schieberegister (NLFSR2019).2020 LFSRs bestehen aus einem Schieberegister mit einer bestimmten endlichen Folge von Werten zu je einem Bit (0 oder 1) und einer Rückkopplungsfunktion. Die Generierung der pseudozufälligen Zahlenfolge geschieht durch wiederholte Verschiebung aller Bits und Berechnung des neuen Rand-Bits mit Hilfe der Rückkopplungsfunktion. Diese kombiniert nach ihrer jeweiligen Funktionsweise verschiedene Werte des Schieberegisters per XOR-Verknüpfung.2021 NLFSRs verwenden statt der XOR-Verknüpfung andere Funktionen als Rückkopplungsfunktion.2022 A5/1 etwa ist eine weitere bekannte, auf LFSR-basierende, Stromchiffre, die weltweit Einsatz in GSM-Handys zur Verschlüsselung der Funkübertragung gefunden hat.2023 2012 Katz/Lindell, Introduction to Modern Cryptography, S. 77. 2013 Wired Equivalent Privcay. 2014 Katz/Lindell, Introduction to Modern Cryptography, S. 77. Ausführlich zu WEP und seinen Schwäche dann in Abschnitt b) auf Seite 80. 2015 Ebd. Vgl. Fußnote 2014. 2016 https://tools.ietf.org/html/rfc7465 (Stand: Dezember 2017). 2017 Fumy/Rieß, Kryptographie, S. 109. 2018 Linear Feedback Shift Register. 2019 Non Linear Feedback Shift Register. 2020 Fumy/Rieß, Kryptographie, S. 109 f. 2021 Dazu Schneier, Angewandte Kryptographie, S. 429. 2022 Schmeh, Kryptografie, S. 259. 2023 Schmeh, Kryptografie, S. 271.
I. Kryptographische Algorithmen
2.
437
Asymmetrische Algorithmen
a) Einführung in die Public-Key-Kryptographie Wie zuvor2024 bereits dargestellt, liegt die Besonderheit der Public-Key-Verfahren bzw. asymmetrischen Algorithmen darin, dass jeder Teilnehmer zwei Schlüssel besitzt, wovon er einen öffentlich bereitstellt. Der Sender chiffriert die Nachricht mit dem öffentlichen Schlüssel des Empfängers, und dieser wandelt den Geheimtext mit Hilfe seines geheimen zweiten Schlüssels wieder in die Ausgangsnachricht (Klartext) um. Damit dieses Prinzip als Verschlüsselungsverfahren Sinn macht, muss es vor allem zwei Bedingungen erfüllen. Zum einen muss es logischerweise (nahezu) unmöglich sein aus dem öffentlichen Schlüssel und dem Geheimtext den Klartext zu berechnen, zum anderen muss es genauso wenig möglich sein von dem öffentlichen Schlüssel auf den geheimen Schlüssel schließen zu können. Um diese Bedingungen in mathematischen Anforderungen zu transkribieren verwendet man zwei Konzepte2025, die Einwegfunktion und die Einwegfunktion mit eingebauter Hintertür.2026 aa)
Einwegfunktion
Einwegfunktionen sind mathematische Funktionen2027, die einfach auszuführen (effizient zu berechnen), aber nahezu unmöglich umzukehren (zu invertieren) sind. Für jeden x-Wert aus einer bestimmten Menge X, lässt sich effizient der zugeordnete Funktionswert y aus der Menge Y mit f(x) = y berechnen. Umgekehrt lässt sich für jedes y nur extrem schwer sein Urbild x mit f(x) = y berechnen.2028 Als Veranschaulichung mag das Zerschlagen eines Tellers dienen. Es ist einfach ihn fallen und in tausende Scherben zerspringen zu lassen, aber extrem schwierig bis unmöglich die Bruchstücke wieder zu einem Teller zusammenzusetzen.2029 Genauso einfach ist in einem klassischen Telefonbuch zu einem Namen die zugehörige Telefonnummer zu finden, ist aber umgekehrt die Telefonnummer vorgegeben und der zugehörige Namen zu finden, wird die Suche sehr viel aufwendiger.2030 Es ist bisher niemandem gelungen zu beweisen, dass es Einwegfunktionen wirklich gibt, auch wenn weitläufig davon ausgegangen wird. Es existieren nur Kandidaten, Siehe Abschnitt 5. auf Seite 59. Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 114. Auch Trapdoor-Einwegfunktion genannt. Also die Zuordnung eines (x-)Wertes aus einer Menge zu genau einem (y-)Wert aus einer anderen Menge, vgl. Bronstein, Taschenbuch der Mathematik, S. 48. 2028 Zum Ganzen: Beutelspacher/Schwenk/Wolfenstetter, Moderne Verfahren der Kryptographie, S.12. 2029 Schneier, Angewandte Kryptographie, S. 34. 2030 Beutelspacher/Schwenk/Wolfenstetter, Moderne Verfahren der Kryptographie, S. 12 f.
2024 2025 2026 2027
438
Anhang C Kryptologischer Hintergrund
also Funktionen, für die noch kein effizientes Verfahren gefunden wurde, um sie zu invertieren und dies auch nicht als wahrscheinlich gilt.2031 Und diese Einwegfunktionen ermöglichen es nun, dass aus dem Klartext (in diesem Zusammenhang als Dezimalzahl vorgestellt) der Geheimtext berechnet wird, dieser Vorgang aber nicht invertierbar ist. Aus dem Geheimtext (und dem Chiffrierschlüssel) lässt sich umgekehrt nicht der Ursprungstext berechnen. bb)
Trapdoor-Einwegfunktion
Einwegfunktionen an sich würden dem kryptographischen Vorgang keinen Nutzen bringen, denn der Geheimtext ließe sich nicht mehr in Klartext zurück umwandeln, die Nachricht könnte auch vom Empfänger nicht mehr entschlüsselt werden. Ein Spezialfall der Einwegfunktion bildet die Einwegfunktion mit eingebauter Hintertür. Die Einwegfunktion bleibt an sich nicht effizient invertierbar, allerdings gibt es eine zusätzliche (geheime) Information mit welcher sich die Funktion doch wieder einfach umkehren und das Urbild berechnen lässt.2032 Vorstellen lässt sich dieses Prinzip anhand einer Uhr mit kompliziertem mechanischem Uhrwerk. Die Uhr in all ihre vielen Einzelteile zu zerlegen ist simpel, sie danach wieder zusammenzusetzen ist schwierig – es sei denn man ist im Besitz des Bauplans. Derjenige mit der Zusatzinformation des Bauplans kann den Vorgang effizient umkehren.2033 cc)
Mathematische Umsetzung
Zu klären bleibt, wie sich diese Anforderungen konkret mathematisch umsetzen lassen. (1)
Faktorisierung (großer Zahlen)
Das Faktorisieren, das Zerlegen einer Zahl in ihre Primfaktoren, ist die Umkehrung des Multiplizierens.2034 Für den Vorgang des Multiplizierens existieren gute Algorithmen, so dass selbst sehr große Zahlen in kurzer Zeit miteinander multipliziert werden können.2035 Ist allerdings nur das Produkt vorgegeben, ist kein effizienter2036 Algorithmus bekannt mit dem sich aus dem Produkt die (Prim-)Faktoren 2031 Bronstein, Taschenbuch der Mathematik, S. 351; Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 319; Schmeh, Kryptografie, S. 168. 2032 Zum Ganzen: Beutelspacher/Schwenk/Wolfenstetter, Moderne Verfahren der Kryptographie, S. 14. 2033 Für dieses Beispiel siehe: Schneier, Angewandte Kryptographie, S. 35. 2034 Dazu ausführlich sogleich. Siehe Abschnitt f) auf Seite 496. 2035 Schmeh, Kryptografie, S. 169. 2036 Zur Effizienz der Faktorisierungsalgorithmen vgl. Buchmann, Einführung in die Kryptographie, S. 163 ff.
I. Kryptographische Algorithmen
439
mit akzeptablem Rechenaufwand berechnen ließen.2037 Und das obwohl dieses ein sehr altes und gut erforschtes Problem darstellt. Man vermutet, dass es einen solchen Algorithmus auch nicht gibt.2038 Derjenige der allerdings ursprünglich aus den Faktoren das Produkt berechnet hat, besitzt die geheime Zusatzinformation, die in einem speziellen Algorithmus notwendig ist um den Berechnungsvorgang rückgängig zumachen, und an die alle anderen nicht gelangen können. Diesen Mechanismus macht sich der RSAAlgorithmus zunutze.2039 (2)
Diskreter Logarithmus
Im zweiten wichtigen Beispiel für eine Einwegfunktion ist die Schwierigkeit der Berechnung des diskreten Logarithmus von zentraler Bedeutung. Das algebraische („normale“) Logarithmieren ist die Umkehrung des Potenzierens für a x = y. Aber im Gegensatz zum Wurzelziehen2040 will man mit Hilfe des Logarithmierens nicht die Basis sondern den Exponenten x bei bekanntem a und y mit x = loga y (man spricht: der Logarithmus von y zur Basis a ist (der Exponent) x) berechnen.2041 Für das diskrete Logarithmieren, also dem Berechnen des Logarithmus über einem endlichen Körper,2042 ist kein effizienter Algorithmus bekannt,2043 wohingegen das modulare Potenzieren (die diskrete Exponentialfunktion) unproblematisch ist.2044 Darauf wird detailliert beim Diffie-Hellman-Schlüsselaustausch2045 und beim Elgamal-Algorithmus2046 eingegangen. b)
Der RSA-Algorithmus
Das RSA-Verfahren ist eines der ältesten und heute das mit Abstand bekannteste und wichtigste asymmetrische Verschlüsselungsverfahren.2047 Es ist in viele täglich genutzte Verschlüsselungsanwendungen und Protokolle wie SSL/TLS (https://) für das Aufrufen von verschlüsselten Websites, PGP und S/MIME im 2037 2038 2039 2040 2041 2042 2043 2044 2045 2046 2047
Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 319. Beutelspacher, Kryptologie, S. 114; Schneier, Angewandte Kryptographie, S. 185 ff. Siehe im Anschluss Abschnitt b). √ Das Berechnen der Basis a bei gegebenen y für a x = y mit a = x y, vgl. Bronstein, Taschenbuch der Mathematik, S. 8. Bronstein, Taschenbuch der Mathematik, S. 9. Hier v.a. im Bereich der modularen Arithmetik. Zu Gruppen und Körper siehe Schmeh, Kryptografie, S. 165 ff und Abschnitt 2. auf Seite 492. Bartholomé/Rung/Kern, Zahlentheorie für Einsteiger, S. 154 f. Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 319 f. Dazu ausführlich unter: Abschnitt b) auf Seite 506. Siehe Abschnitt c) auf Seite 459. Siehe Abschnitt d) auf Seite 467. Schneier, Angewandte Kryptographie, S. 532; Buchmann, Einführung in die Kryptographie, S. 137; Wobst, Abenteuer Kryptologie, S. 158; Wilke/Küsters, Moderne Kryptographie, S. 154.
440
Anhang C Kryptologischer Hintergrund
E-Mail-Bereich, auf RFID-Chips (etwa im Reisepass), im Bankenzahlungsverkehr (SWIFT) oder auf Zahlungskarten (Visa/MasterCard) implementiert.2048 Daher soll seine Funktionsweise hier in Gänze dargestellt und inklusive des mathematischen Hintergrundes erläutert werden. Nur so können in der kriminalistischen Untersuchung die Schwachstellen und Einfallstore gezeigt, die Probleme bei Überwachungsmaßnahmen untersucht, aufgezeigt und vor allem ausführlich begründet werden. RSA ist benannt nach seinen drei Entwicklern Ron Rivest, Adi Shamir und Leonard Adleman, es entstand 1978 bei dem Versuch Diffie und Hellman zu widerlegen und zu beweisen, dass Public-Key-Kryptographie unmöglich sei.2049 Insbesondere Ron Rivest gilt als einer der bedeutendsten Kryptografen überhaupt, der sich neben RSA für viele weitere verschlüsselungsrelevante Verfahren wie RC2, RC4, RC5 und RC6 oder MD2, MD4 und MD5 verantwortlich zeigte.2050 aa)
Das zugrunde liegende Prinzip
Als zielführender Ausgangspunkt soll vorab die mathematische Funktion dargestellt werden, die dem RSA-Algorithmus zugrunde liegt. Wichtig dabei ist sich von vornherein sowohl den zu verschlüsselnden Klartext K als auch den zu entschlüsselnden Geheimtext C als natürliche (Dezimal-)Zahlen vorzustellen.2051 Die Verschlüsselungsfunktion2052 lautet wie folgt (bei e handelt es sich um den Schlüssel zur Verschlüsselung, bei d um den zur Entschlüsselung und bei n um das Modul, das aus zwei zufälligen Primzahlen gebildet wird):2053 C = Ke
(mod n)
K = Cd
(mod n)
Die Entschlüsselungsfunktion:
Man kann diese Verschlüsselungs- und Entschlüsselungsfunktion auch als Zielvorgabe begreifen. Das ist das was der Algorithmus leisten können muss: wird der Klartext K (die in eine natürliche Zahl umgewandelte Nachricht) mit einer Zahl potenziert (und die Modulo-Operation durchgeführt), und danach das Ergebnis (der 2048 Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 321. 2049 Vgl. Schwenk, Sicherheit und Kryptographie im Internet, S. 13 und Beutelspacher/Schwenk/Wolfenstetter, Moderne Verfahren der Kryptographie, S. 19. 2050 Schmeh, Kryptografie, S. 734. 2051 Schmeh, Kryptografie, S. 174. Zur Umwandlung des Textes in natürliche Zahlen siehe unten Abschnitt (3) auf Seite 444. 2052 Eine diskrete Exponentialfunktion. 2053 Schneier, Angewandte Kryptographie, S. 533.
I. Kryptographische Algorithmen
441
Geheimtext C) erneut mit einer anderen Zahl potenziert, so muss die ursprüngliche Zahl K wieder herauskommen. Folgendes wird dabei eigentlich im Dechiffriervorgang berechnet: bei
K = Cd
(mod n)
und
C = Ke
K = Ke
(mod n)
K=K
ed
(mod n)
K=K
e·d
(mod n): d
(mod n)
(mod n)
Folglich muss als Voraussetzung für ein Funktionieren des Algorithmus K = K e·d (mod n) gelten. Denn nur so wird eine Konstellation geschaffen in der der eine Schlüssel (hier: e) als öffentlichen Schlüssel bekannt gegeben und mit Hilfe des anderen geheimen Schlüssel d der Ausgangstext wieder hergestellt werden kann. Werden e und d nun so ausgewählt, dass sie innerhalb einer multiplikativen Gruppe ein Element und die dazugehörige multiplikative Inverse bilden, so ergeben sie bei multiplikativer Verknüpfung e · d das neutrale Element 1.2054 Damit ist die gewünschte Bedingung erfüllt, denn K 1 = K.2055 bb)
Mathematische Umsetzung des Prinzips
Damit bleibt ein e · d von der Art zu finden, dass ebendieses Prinzip erfüllt. Dafür muss man wissen, dass dem RSA-Algorithmus als mathematisches Fundament der folgende durch simple Multiplikation mit K abgewandelte Satz von Euler-Fermat zugrunde liegt:2056 K ϕ(n) ≡ 1 (mod n)
Satz von Euler-Fermat: K ϕ(n)
bzw.
K ϕ(n)+1 ≡ K
Abwandlung: bzw.
mod n = 1
K
ϕ(n)+1
(mod n)
mod n = K
Da dieser Satz hier (auch wenn er an dieser Stelle nicht bewiesen werden soll) als gegeben betrachtet werden kann, ist darin schon das Prinzip mit dem gewünschten Ergebnis K = K zu erblicken. Um Zielvorgabe und die mathematische Grundlage 2054 Ausführlich zur multiplikativen Inversen siehe oben Abschnitt 3. auf Seite 494, Abschnitt c) auf Seite 499 und Abschnitt bb) auf Seite 502. 2055 Koblitz, A Course in Number Theory and Cryptography, S. 89. 2056 Vgl. Abschnitt b) auf Seite 504.
442
Anhang C Kryptologischer Hintergrund
in Einklang zu bringen, muss daher lediglich ein e · d gefunden werden für das gilt: e · d = ϕ(n) + 1. Denn dann kann ϕ(n) + 1 durch e · d ersetzt werden und damit gilt auch die Zielvorgabe K = K e·d (mod n). Betrachtet man nun die gesuchte Gleichung e · d = ϕ(n) + 1 und macht sich klar, dass im Bereich der Modulo-Rechnung bestimmte Vielfache von Ergebnissen eine Restklasse bilden, so lässt sich die Gleichung zu e·d = k·ϕ(n)+1 modifzieren. Diese Gleichung stellt sich in Modulo-Schreibeweise derart dar: e· d mod ϕ(n) = 1. Wie in den Grundlagen erörtert2057 handelt es sich bei der Berechnung von d um die Berechnung der multiplikativen Inversen modulo einer Zahl (hier: e). Diese Inverse gibt es dann (und sie ist eindeutig), wenn das Ausgangselement e zu dem die Inverse berechnet werden soll teilerfremd zu n, also ein Element aus der multiplikativen Gruppe Z∗n ist. Das ist der Fall, denn ϕ(n) gibt gerade alle zu n teilerfremden Zahlen an. Das bedeutet, dass man sich innerhalb des Restklassenringes Zn in dem Teilbereich der Menge der zu n teilerfremden Zahlen bewegt. Diese bilden, wie bereits ausführliche beschrieben,2058 eine multiplikative Gruppe Z∗n mit der Eigenschaft, dass es zu jedem Element der Gruppe genau ein inverses Element bzgl. der Multiplikationsverknüpfung gibt. Die multiplikative Inverse lässt sich über den erweiterten euklidischen Algorithmus (einfach) bestimmen. Wählt man also e und d entsprechend aus und beachtet man die noch zu erläuternden weiteren Voraussetzungen so erhält man nach Durchlaufen des Algorithmus wieder den Ausgangsklartext K. Der RSA-Algorithmus arbeitet mit einer Einwegfunktion2059 – dem bereits beschriebenen Problem der einfachen Multiplikation, aber schwierigen Faktorisierung2060 großer natürlicher Zahlen – in die eine Hintertür eingebaut wurde.2061 Das Faktorisierungsproblem wird wie folgt eingearbeitet. Das Modul n wird durch Multiplikation zweier in der Praxis sehr großer zufälliger Primzahlen gebildet: n = p · q. Ausgangselement e aus der multiplikativen Gruppe Z∗n und seine multiplikative Inverse d lassen sich eben nur ermitteln, wenn man ϕ(n), die Menge aller zu n teilerfremden Zahlen kennt. ϕ(n) lässt sich aber wiederum lediglich unter Mithilfe der Primfaktoren p und q mit ϕ(n) = (p − 1) · (q − 1) berechnen. Das bedeutet also, nur wer die Zusatzinformation (Hintertür) der Primfaktoren p und q von n kennt, kann (ohne das Faktorisierungsproblem zu lösen) die multiplikative Inverse berechnen und damit die diskrete Exponentialfunktion 2057 Vgl. Abschnitt bb) auf Seite 502. 2058 Vgl. Abschnitt 3. auf Seite 494, Abschnitt c) auf Seite 499 und Abschnitt bb) auf Seite 502. 2059 Siehe Abschnitt aa) auf Seite 437. 2060 Siehe Abschnitt (1) auf Seite 438. 2061 Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 117.
I. Kryptographische Algorithmen
443
C = K e (mod n) (den Verschlüsselungsalgorithmus) zurück in den Klartext K invertieren. Zu den einzelnen Schritten des Algorithmus, der Bildung des Schlüsselpaares und den mathematischen Hintergründen folgen die Ausführungen sogleich.
cc)
Vorüberlegungen
Bevor die einzelnen Schritte des Algorithmus dargelegt werden, sollen noch einige grundsätzliche Vorüberlegungen angestellt werden.
(1)
Größenordnung der Zahlen
In der Literatur wird häufig irreführend die Schlüssellänge des RSA-Algorithmus angeführt und von RSA-512, RSA-768, RSA-1024 etc. gesprochen. Gemeint ist damit aber nicht die Länge des Verschlüsselungs- oder Entschlüsselungsschlüssel e bzw. d, sondern die Länge des RSA-Moduls n. Wobei das Modul aus den beiden frei gewählten Primzahlen p und q mit n = p · q gebildet wird. Für den professionellen Einsatz in der Praxis empfehlen die RSA Laboratories derzeit die Verwendung von RSA-Modulen der Größe 1024 Bits, bei besonders wertvollen Informationen von 2048 Bits. 1024 Bits Modullänge bedeutet eine Zahl mit 309 Dezimalstellen, 2048 Bits 617 Dezimalstellen. Für die beiden Ausgangsprimzahlen heißt das, dass sie jeweils mindestens 150 bzw. 300 Dezimalstellen und mehr haben sollten. Um sich von den Zahlen eine Vorstellung machen zu können, hier das RSA-768Modul der RSA Factoring Challenge,2062 einer Zahl mit 232 Dezimalstellen, die 2009 erfolgreich in ihre beiden Primfaktoren zerlegt wurde:2063 12301866845301177551304949583849627207728535695953 34792197322452151726400507263657518745202199786469 38995647494277406384592519255732630345373154826850 79170261221429134616704292143116022212404792747377 94080665351419597459856902143413 2062 Die RSA Factoring Challenge war ein von den RSA Laboratories ausgerufener Wettbewerb der für die Faktorisierung bestimmter großer Zahlen ein Preisgeld ausgelobt hatte. 2063 Dies gelang einem internationaler Forscherteam mit mehreren hundert Rechnern nach zweieinhalb Jahren. Ihr Report ist abrufbar unter: https://eprint.iacr.org/2010/006.pdf (Stand: Dezember 2017).
444
Anhang C Kryptologischer Hintergrund
= 33478071698956898786044169848212690817704794983713 76856891243138898288379387800228761471165253174308 7737814467999489 x 36746043666799590428244633799627952632279158164343 08764267603228381573966651127923337341714339681027 0092798736308917
(2)
Voraussetzungen
Bei der Auswahl der beiden „zufällig gewählten“ Primzahlen, die das Modul n bilden, sollte neben der Größe auch darauf geachtet werden, dass sie von ungefähr gleicher Länge sind, insbesondere eine nicht viel kleiner als die andere ist,2064 sie dürfen aber auch nicht extrem dicht beieinander liegen,2065 da sie sonst unter Umständen schneller faktorisiert werden könnten.2066 Es muss sich dabei aber nicht unbedingt um starke Primzahlen2067 handeln, also Primzahlen, die durch ihre Eigenschaften (zum Beispiel p − 1 bzw. q − 1 enthalten große Primfaktoren)2068 nach bestimmten Faktorisierungsverfahren als schwer faktorisierbar gelten.
(3)
Vorbereitung und Umwandlung des Klartextes
In einem ersten Schritt wird die zu übermittelnde Nachricht aufbereitet. Da RSA nur Dezimalzahlen verarbeiten kann, muss der Klartext zunächst entsprechend kodiert werden. An dieser Stelle soll das Beispiel von oben2069 wieder aufgegriffen 2064 Ansonsten sind sie zu leicht über das Zahlkörpersieb zu faktorisieren, vgl. Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 120. 2065 Ansonsten funktioniert die Fermat-Faktorisierung zu effektiv, vgl. Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 120. 2066 Bronstein, Taschenbuch der Mathematik, S. 351. 2067 Vgl. zu den Eigenschaften starker Primzahlen: Schneier, Angewandte Kryptographie, S. 305. 2068 Enthalten sie aber besonders viele kleine Primteiler ist Pollard’s Rho-Algorithmus sehr effizient, vgl. Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 120. 2069 Siehe Abschnitt II. auf Seite 508.
I. Kryptographische Algorithmen
445
und „Ron Rivest“ mit Hilfe der ASCII-Tabelle2070 kodiert werden: Ron Rivest + 082 111 110
032 082
105 118
101
115
116
Diese Dezimalzahlen werden in Binärzahlen transformiert,2071 so dass jedes Klartextzeichen im Endeffekt durch 8 Bits dargestellt wird.2072 Beispiel: 082 +
111
01010010 01110110
110
032 082
01101111 01100101
105 118
01101110 01110011
101
00100000 01110100
115
116
01010010
01101001
Diese 8-Bit langen Blöcke von Binärzahlen werden zu Blöcken einer anderen Länge zusammengefasst Im folgenden Beispiel werden zwei 8-Bit-Blöcke nur zu einem 16 Bit-Block zusammengefasst, um im Beispiel die Größe der Zahlen nachvollziehbar zu halten. Es werden also nur zwei Blöcke zu einem Block zusammengefasst. In tatsächlichen RSA-Anwendung werden in der Regel 8 bzw. 16 Ziffern zu einem Block zusammengefasst, so dass 64- bzw. 128-Bit lange Binärzahlen entstehen. Beispiel: 01010010
01101111
01101110
00100000
01010010
01101001
01110110 01100101 01110011 01110100 + 0101001001101111 0110111000100000 0101001001101001 0111011001100101 0111001101110100
2070 Für eine Umwandlungstabelle vlg. etwa https://www.ascii-code.com/ (Stand: Dezember 2017). 2071 Dazu vgl. Abschnitt b) auf Seite 506. 2072 Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 325.
446
Anhang C Kryptologischer Hintergrund
Die einzelnen zusammengefassten Binärzahlenblöcke werden wieder zurück in Dezimalzahlen konvertiert.
Beispiel: 0101001001101111 0111011001100101 + 21103 28192
0110111000100000 0111001101110100
21097
0101001001101001
30309 29556
Auf diese Zahl kann nun jeweils der RSA-Algorithmus angewandt werden. Zu beachten bleibt, dass die jeweilige Blockgröße und damit die final zu verarbeitenden Dezimalzahlen durch das Modul n begrenzt sind.
(4)
Ausgabe des Geheimtextes als darstellbarer Text
Die nach Anwendung des RSA-Algorithmus ausgegebenen (verschlüsselten) Dezimalzahlen werden wieder in Binärzahlen umgewandelt, die dann vom EDVGerät versendet bzw. weiterverarbeitet werden können. Probleme entstehen nur, wenn sie als Geheimtext dargestellt und als Text (nicht als Binär-Code) versendet werden sollen (z.B. als E-Mail-Anhang, denn E-Mails sind immer textbasiert). Grundsätzlich könnten sie auch mit Hilfe des ASCII-Codes zurück in (Geheim-) Text transformiert werden. Problematisch ist dann aber, dass die ASCII-Codierung auch nicht darstellbare Steuerzeichen enthält, die nicht als Zeichen oder Ziffern abgebildet und daher nicht als Text versendet werden können. Deswegen wird meist noch ein weiterer Zwischenschritt eingebaut und mit Base64 codiert. Die 8-Bit-Binärzahlen werden mit Base64 in eine Zeichenfolge verwandelt, die nur aus darstellbaren ASCII-Zeichen zusammengesetzt ist. Dazu werden die 8-BitBinärzahlen in 6-Bit-Blöcke unterteilt (der Base64-Zeichensatz besteht aus 64 Zeichen und 26 = 64, daher 6-Bit) und nach der Base64-Tabelle konvertiert. Beispiel (da an dieser Stelle nur das Prinzip der Base64-Codierung gezeigt werden soll, wird auf die Anwendung des RSA-Algorithmus verzichtet und die Codierung
I. Kryptographische Algorithmen
447
nur anhand der unverschlüsselten Nachricht „Ron Rivest“2073 demonstriert): 21103 28192 21097 30309 29556 ⇓ 0101001001101111 0110111000100000 0101001001101001 0111011001100101 0111001101110100 ⇓ 010100 100110 111101 101110 001000 000101 001001 101001 011101 100110 010101 110011 011101 00 0000 000000 000000 | {z } Auffüllen mit Null-Bits ⇓ 20 38 61 46 8 5 9 ⇓ Um9uIFJpdmVzdA==2074
41
29
38
21
51
29
0
0
0
Der entstandene Geheimtext „Um9uIFJpdmVzdA==“ könnte nun als Text versendet werden und vom Empfänger dechiffriert werden.
(5)
„Berechnung“ der Primzahlen
Primzahlen können nicht berechnet werden. Stattdessen wählt man eine zufällige Zahl in der gewünschten Größenordnung aus, um dann zu testen, ob es sich dabei um eine Primzahl handelt. Diesen Vorgang wiederholt man so oft bis man eine Primzahl gefunden hat. Dazu werden Primzahlentests wie der Miller-Rabin-Test2075 oder der AKS-Test2076 verwendet.2077 2073 Für die ersten Schritten der hier fortgeführten Codierung vgl. Abschnitt (3) auf Seite 444. 2074 Das Gleichheitszeichen am Ende steht für die etwaigen Füllbytes. Ein „=“ entspricht 1 Füll-Byte, also 8 Null-Bits. 2075 Für die Darstellung des Algorithmus siehe: Schneier, Angewandte Kryptographie, S. 304. 2076 Agrawal-Kayal-Saxena-Test, vgl. Ribenboim, Die Welt der Primzahlen, S. 121. 2077 Zum Ganzen vgl. Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 120.
448
dd)
Anhang C Kryptologischer Hintergrund
Die einzelnen Schritte des Algorithmus
Nach der Erörterung der mathematischen Grundlagen, der Darlegung des grundlegenden Prinzips und den Vorüberlegungen können die einzelnen Schritte als Übersicht dargestellt werden.2078 1. Schlüsselerzeugung (durch den Empfänger) (a) Auswahl zweier Primzahlen p und q2079 Es werden zwei beliebige Primzahlen der dem gewünschten Sicherheitsfaktor entsprechenden Größenordnung ausgewählt. (b) Bildung des RSA-Moduls n Durch Multiplikation der beiden Primzahlen wird das Modul n gebildet mit n = p · q. (c) Berechnung von ϕ(n)2080 Die Berechnung des Euler’schen Funktionswertes des Moduls n, also die Anzahl der zu n teilerfremden Zahlen erfolgt über ϕ(n) = (p − 1) · (q − 1). (d) Auswahl einer zu ϕ(n) teilerfremden Zahl e Die Zahl e mit 0 < e < ϕ(n) kann an sich beliebig sein, allerdings wird häufig 65537 gewählt, da sie als Binärzahl sehr viele Nullen enthält2081 und daher me schnell binär exponiert werden kann. Die Teilerfremdheit der gewählten Zahl wird mit Hilfe des euklidischen Algorithmus bestätigt. (e) Vielfachsummendarstellung des ggT ϕ(n), d 2082 Mit Hilfe des erweiterten euklidischen Algorithmus kann im Folgeschritt die Vielfachsummendarstellung des größten gemeinsamen Teilers von e und ϕ(n) erzeugt werden. (f) „Berechung“ der modularen Inversen2083 2078 Für schematische Darstellungen des RSA-Algorithmus vgl. Schneier, Angewandte Kryptographie, S. 531 ff., Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 321 ff., Schmeh, Kryptografie, S. 174 ff., Wobst, Abenteuer Kryptologie, S. 158 ff., Beutelspacher, Kryptologie, S. 101 ff. 2079 Zu den Details vgl. Abschnitt (2) auf Seite 444 und Abschnitt (5) auf der vorherigen Seite. 2080 Vgl. Abschnitt e) auf Seite 496. 2081 65537 als Binärzahl lautet: 10000000000000001. 2082 Vgl. Abschnitt e) auf Seite 501. 2083 Vgl. Abschnitt bb) auf Seite 502.
I. Kryptographische Algorithmen
449
Die modulare Inverse lässt sich aus der so eben erzeugten Vielfachsummendarstellung ablesen. Unter Umständen muss die modulare Inverse noch von einer negativen ganzen Zahl in eine natürliche Zahl umgewandelt werden. (g) Zwischenergebnis (Schlüsselerzeugung): Den öffentlichen Schlüssel (für den Absender zur Verschlüsselung) bilden e und n, den geheimen Schlüssel (für den Empfänger zur Entschlüsselung) d (und n). Bei p, q und ϕ(n) handelt es sich um geheimzuhaltende Parameter. Da p und q nicht mehr benötigt werden können sie zur Erhöhung der Sicherheit2084 eliminiert werden.2085 2. Codierung2086 Der zu verschlüsselnde Text muss in Dezimalzahlen transformiert werden. Dabei wird die Nachricht in numerische Blöcke umgewandelt, die jeweils kleiner sein müssen als das Modul n, damit sich nach Anwendung der Entschlüsselungsfunktion auch wieder die ursprüngliche Zahl und nicht bloß eine zu K mod n kongruente Zahl ergibt. Die einzelnen Blöcke stellen im RSA-Kontext den eigentlichen Klartext K da. 3. Chiffrierung (a) Anwendung der Verschlüsselungsfunktion2087 Auf den Klartext kann nun die RSA-Verschlüsselungsfunktion angewandt werden. Man berechnet mit Hilfe des öffentlichen Schlüssels e für jeden der einzelnen Blöcke: C = Ke
(mod n)
(b) Erneute Codierung Die Folgen der einzelnen damit entstandenen Blöcke bilden den Geheimtext C. Sie können auf binärer Ebene weiterversendet werden oder nach erneuter Codierung mittlels ASCII und Base64 als darstellbarer Geheimtext versendet werden. 4. Dechiffrierung 2084 Denn darauf, dass der Angreifer p und q nicht berechnen kann, beruht schließlich ein Großteil der Sicherheit des RSA-Algorithmus, siehe dazu unten Abschnitt ff) auf Seite 457. 2085 Poguntke, Basiswissen IT-Sicherheit, S. 91; es sei denn es handelt sich um eine RSAImplementierung unter Verwendung des chinesichen Restsatzes, vgl. dazu Fußnote 2088 und Fußnote 2089 auf der nächsten Seite. 2086 Vgl. Abschnitt (3) auf Seite 444. 2087 Zur schnellen Berechnung von K e vgl. Abschnitt b) auf Seite 506.
450
Anhang C Kryptologischer Hintergrund
(a) U.U. Re-Codierung in Dezimalzahlen Falls eine Codierung über ASCII und Base64 o.ä. erfolgte, muss der Geheimtext C zunächst wieder in numerische Blöcke von Dezimalzahlen transformiert werden. (b) Anwendung der Entschlüsselungsfunktion Mit Hilfe des geheimen Schlüssels d können aus dem Geheimtext C blockweise die Dezimalzahlen des Klartextes K berechnet werden: K = Cd
(mod n)
Einige Implementierungen verwenden zur Beschleunigung der Berechnung den chinesischen Restsatz (Chinese Reminder Theorem – daher CRT-RSA). Dabei werden die Berechnungen Modulo n auf Berechnungen mit Modulo p und q zurückgeführt.2088 Deshalb kann der chinesische Restsatz auch nur zur Entschlüsselung eingesetzt werden, da eben p und q bekannt sein müssen. Er erhöht die Geschwindigkeit des Entschlüsselungsvorgangs um den Faktor 4.2089 5. Re-Codierung in die Ausgangsnachricht In einem letzten Schritt müssen die Blöcke der Dezimalzahlen zurück in die Ausgangsnachricht umgewandelt werden. ee)
Beispiel eines RSA-Verschlüsselungsvorganges
Zu Veranschaulichungszwecken soll nun der gesamte Verschlüsselungsprozess einmal beispielhaft anhand kleiner nachvollziehbarer Zahlen durchgerechnet werden. Es wird noch einmal darauf hingewiesen, dass in der Praxis wesentlich größere Zahlen Einsatz finden. Zur Größenordnung dieser Zahlen wird auf Abschnitt (1) auf Seite 443 verwiesen. Zu den Hintergründen der jeweiligen Rechenschritte ist auf die einschlägigen Abschnitte des RSA-Kapitels ab Seite 439 ff. zu verweisen. 1. Zu verschlüsselnde Nachricht Exemplarisch verschlüsselt werden soll: –
RSA funktioniert wie eine 1
–
2. Schlüsselerzeugung (durch den Empfänger) (a) Auswahl zweier beliebiger Primzahlen p und q
p = 197 q = 211
2088 Beutelspacher/Schwenk/Wolfenstetter, Moderne Verfahren der Kryptographie, S. 121; ausführlich: Stinson, Cryptography: Theory and Practice, S. 119 ff. 2089 Swoboda/Spitz/Pramateftakis, Kryptographie und IT-Sicherheit, S. 127.
I. Kryptographische Algorithmen
451
(b) Bildung des RSA-Moduls n
n= p ·q n = 197 · 211 n = 41567 (c) Berechnung von ϕ(n)
ϕ(n) = (p − 1) · (q − 1) ϕ(n) = (197 − 1) · (211 − 1) ϕ(n) = 196 · 210 ϕ(n) = 41160 (d) Auswahl einer beliebigen zu ϕ(n) teilerfremden Zahl e
e = 11 Kontrolle mit Hilfe des Euklidischen Algorithmus: ggT(41160, 11) =
41160 = 3741 · 11 + 9 ggT(11, 9) =
11 = 1 · 9 + 2 ggT(9, 2) =
9=4 ·2+1 ggT(2, 1) =
2=2 ·1+0 ggT(41160, 11) = 1 (e) Vielfachsummendarstellung des ggT(41160, 11) ggT(a, b) = s · a + t · b
1 = s · 41160 + t · 11 Euklidischer Algorithmus: ggT(41160, 11) = 1
41160 = 3741 · 11 + 9 ⇒
Erweiterter Euklidischer Algorithmus:
Umstellen nach r :
11 = 1 · 9 + 2
2 = 11 − 1 · 9
9=4 ·2+1
1=9−4 ·2
6=2 ·3+0
Einsetzen:
9 = 41160 − 3741 · 11 1=9−4 ·2 = 9 − 4 · (11 − 1 · 9) = 9 − 4 · 11 + 4 · 9 1 = −4 · 11 + 5 · 9 = −4 · 11 + 5 · (41160 − 3741 · 11) = −4 · 11 + 5 · 41160 − 18705 · 11 1 = 5 · 41160 − 18709 · 11
452
Anhang C Kryptologischer Hintergrund (f) „Berechung“ der modularen Inversen (1) ggT(a, b) = s · a + t · b
1 = s · 41160 + t · 11 1 = 5 · 41160 + (−18709) · 11 Eine modulare Inverse für die gilt e · d (mod ϕ(n)) = 1 mit e = 11 lautet d = −18709. (2) Wenn die modulare Inverse d wie in diesem Fall negativ ist, hätte man im Rahmen der Entschlüsselungsfunktion einen negativen Exponenten. Daher ist es notwendig eine positive multiplikative Inverse zu finden. Da wir uns im Bereich der Restklasse mod ϕ(n), hier also mod 41160 befinden, muss dazu nur ein (der kleinste) positiver Wert dieser Restklassengruppe gewählt werden. Man wählt dafür das kleinste k aus für das d 0 eine natürliche Zahl ist in:
d 0 = d + k · ϕ(n) = −18709 + 1 · 41160 d 0 = 22451
(g) Zwischenergebnis (Schlüsselerzeugung): Der (bekanntzumachende) öffentliche Schlüssel lautet: e = 11 in Verbindung mit n = 41567 Der (persönliche) geheime Schlüssel lautet: d = 22451 in Verbindung mit n = 41567 Die geheimen Parameter lauten: p = 197; q = 211; ϕ(n) = 41160 3. Codierung (a) Buchstabenweise Umwandlung mittels ASCII-Code RSA funktioniert wie eine 1
⇓ 82 83 65 32 102 117 110 107 116 105 111 110 105 101 114 116 32 119 105 101 32 101 105 110 101 32 49
(b) Transformierung der Dezimalzahlen in Binärzahlen
82 83 65 32 102 117 110 107 116 105 111 110 105 101 114 116 32 119 105 101 32 101 105 110 101 32 49 ⇓ 01010010 01010011 01000001 00100000 01100110 01110101 01101110 01101011 01110100 01101001 01101111 01101110 01101001 01100101 01110010 01110100 00100000 01110111 01101001 01100101 00100000 01100101 01101001 01101110 01100101 00100000 00110001
I. Kryptographische Algorithmen
453
(c) Zusammenfassen der Binärzahlen-Blöcke (hier im Beispiel von 8-Bit zu 16-Bit-Blöcken)
01010010 01010011 01000001 00100000 01100110 01110101 01101110 01101011 01110100 01101001 01101111 01101110 01101001 01100101 01110010 01110100 00100000 01110111 01101001 01100101 00100000 01100101 01101001 01101110 01100101 00100000 00110001 ⇓ 0101001001010011 0100000100100000 0110011001110101 0110111001101011 0111010001101001 0110111101101110 0110100101100101 0111001001110100 0010000001110111 0110100101100101 0010000001100101 0110100101101110 0110010100100000 0000000000110001
(d) Re-Konvertierung der 16-Bit-Blöcke in Dezimalzahlen2090
0101001001010011 0100000100100000 0110011001110101 0110111001101011 0111010001101001 0110111101101110 0110100101100101 0111001001110100 0010000001110111 0110100101100101 0010000001100101 0110100101101110 0110010100100000 0000000000110001 ⇓ 21075 16672 26229 28267 29801 28526 26981 29300 8311 26981 8293 26990 25888 49
4. Chiffrierung (a) Anwendung der Verschlüsselungsfunktion Exemplarisch:2091 (1) Verschlüsselungsfunktion
C = Ke
(mod n)
C = 2107511
(mod 41567)
2090 Diese Dezimalzahlen müssen kleiner sein als das Modul n (hier: 41567), da ansonsten bei der Dechiffrierung nicht der ursprünglichen Dezimalzahlen (also der Klartext), sondern nur Werte derselben Restklassengruppe herauskommen. 2091 Für den ersten in eine Dezimalzahl verwandelten 16-Bit-Block.
454
Anhang C Kryptologischer Hintergrund (2) Binäre Modulo-Exponentiation (Square and Multiply)
2107511
mod 41567 =
Vorüberlegung: Darstellung des Exponenten 11 im Dualsystem:
11 =ˆ 1 0 1 1 Umwandlung in Anweisungen des Algorithmus:
1 0 1 1 =ˆ QM 1. 2. 3.
QM
Q QM
QM 12 · 21075 = 21075
⇒ Modulo-Operation:
21075 mod 41567 = 21075
Modulo-Operation:
444155625 mod 41567 = 12230
210752 = 444155625
⇒
Q QM
122302 · 21075 = 3152248867500
⇒ Modulo-Operation:
4.
QM
3152248867500 mod 41567 = 1143 11432 · 21075 = 27533412675
⇒
27533412675 mod 41567 = 13813
Modulo-Operation:
(3) Ergebnis
C = Ke
(mod n)
C = 2107511
(mod 4)1567
C = 13813
(4) (Verschlüsselungs-)Ergebnis für alle Dezimalzahlen
21075 16672 26229 28267 29801 28526 26981 29300 8311 26981 8293 26990 25888 49 ⇓ Verschlüsselter Geheimtext als Dezimalzahlen:
13813 4760 32004 34648 20424 28524 11841 6836 11086 11841 487 4729 28342 15229
I. Kryptographische Algorithmen
455
(b) Exkurs: U.U. Codierung des Geheimtextes in darstellbaren Code (Base64)
13813 4760 32004 34648 20424 28524 11841 6836 11086 11841 487 4729 28342 15229 ⇓ Umwandlung in 16-Bit-Binärzahlen 0011010111110101 0001001010011000 0111110100000100 1000011101011000 0100111111001000 0110111101101100 0010111001000001 0001101010110100 0010101101001110 0010111001000001 0000000111100111 0001001001111001 0110111010110110 0011101101111101 ⇓ Aufteilen in 6-Bit-Blöcke 001101 011111 010100 010010 100110 000111 110100 000100 100001 110101 100001 001111 110010 000110 111101 101100 001011 100100 000100 011010 101101 000010 101101 001110 001011 100100 000100 000001 111001 110001 001001 111001 011011 101011 011000 111011 011111 01 0000 000000 000000 | {z } Auffüllen mit Null-Bits
k ⇓ Base64
13 31 20 18 38 7 52 4 33 53 33 15 50 6 61 44 11 36 4 26 45 2 45 14 11 36 4 1 57 49 9 57 27 43 24 59 31 16 0 0 ⇓ NfUSmH0Eh1hPyG9sLkEatCtOLkEB5xJ5brY7fQ==
5. Dechiffrierung (a) Re-Codierung in Dezimalzahlen Zur Vorbereitung für die Entschlüsselung müssen die verschlüsselten Daten wieder in Dezimalzahlen transformiert werden. Bei Re-Codierung aus Base64 ist zu beachten, dass die „=“-Zeichen am Ende der Base64-codierten Nachricht die Anzahl der Füll-Bytes angeben. Diese müssen in Form von „Null-Bits“ nach Umwandlung in 6-Bit-Blöcke analog zum Auffüllen bei der Codierung wieder herausgestrichen werden bevor eine Zusammenfassung in 16-Bit-Blöcke erfolgt. (b) Anwendung der Entschlüsselungsfunktion Exemplarisch:2092 (1) Entschlüsselungsfunktion
K = Cd
(mod n)
C = 1381322451
(mod 41567)
2092 Für den ersten in eine Dezimalzahl verwandelten 16-Bit-Block.
456
Anhang C Kryptologischer Hintergrund (2) Binäre Modulo-Exponentiation (Square and Multiply)
1381322451
mod 41567 =
Darstellung des Exponenten 11 im Dualsystem:
22451 =ˆ 1 0 1 0 1 1 1 1 0 1 1 0 0 1 1 Umwandlung in Anweisungen des Algorithmus:
1 0 1 0 1 1 1 1 0 1 1 0 0 1 1 =ˆ QM Q QM Q QM QM QM QM Q QM QM Q Q QM QM 01. 02. 03. 04. 05.
QM Q QM Q QM
12 · 13813 = 13813
⇒ Modulo-Operation:
13813
mod 41567 = 13813
Modulo-Operation:
190798969
Modulo-Operation:
572696939173
mod 41567 = 31479
Modulo-Operation:
990927441
mod 41567 = 11728
138132 = 190798969
⇒
mod 41567 = 6439 64392 · 13813 = 572696939173
⇒
314792 = 990927441
⇒
117282 · 13813 = 1899922676992
⇒
Modulo-Operation: 1899922676992 06.
QM
⇒
07.
QM
⇒
08.
QM
⇒
09.
Q
⇒
mod 41567 = 22100
221002 · 13813 = 6746407330000 Modulo-Operation: 6746407330000 Modulo-Operation:
10.
QM QM
⇒
12.
Q
⇒
13. 14. 15.
Q QM QM
2286520534228
mod 41567 = 5404
54042 · 13813 = 403384022608 Modulo-Operation:
403384022608
mod 41567 = 22365
Modulo-Operation:
500193225
mod 41567 = 17514
Modulo-Operation:
4237002327348
223652 = 500193225 175142 · 13813 = 4237002327348
⇒
11.
mod 41567 = 12866
128662 · 13813 = 2286520534228
mod 41567 = 37656
376562 · 13813 = 19586479503168 Modulo-Operation: 19586479503168
mod 41567 = 31360
Modulo-Operation:
983449600
mod 41567 = 15947
Modulo-Operation:
254306809
mod 41567 = 41470
Modulo-Operation:
23755057311700
313602 = 983449600 159472 = 254306809
⇒
414702 · 13813 = 23755057311700
⇒
mod 41567 = 28075
280752 · 13813 = 10887484298125
⇒ Modulo-Operation:
10887484298125
mod 41567 = 21075
(3) Ergebnis
K = Ce
(mod n)
C = 181322451 C = 21075
(mod 41567)
I. Kryptographische Algorithmen
457
(4) (Entschlüsselungs-)Ergebnis für alle Dezimalzahlen
13813 4760 32004 34648 20424 28524 11841 6836 11086 11841 487 4729 28342 15229 ⇓ Entschlüsselter Klartext als Dezimalzahlen:
21075 16672 26229 28267 29801 28526 26981 29300 8311 26981 8293 26990 25888 49
6. Re-Codierung der Dezimalzahlen in den Ursprungstext Nach Transformierung der Dezimalzahlen in 16-Bit-Binärzahlen und Aufteilung in 8-Bit-Blöcke können sie unter Beachtung der der aufgefüllten Null-Bits über die ASCII-Tabelle wieder in den Ausgangstext umgeformt werden.
21075 16672 26229 28267 29801 28526 26981 29300 8311 26981 8293 26990 25888 49 ⇓ RSA funktioniert wie eine 1
ff)
Sicherheitsprinzip von RSA
An dieser Stelle sollen nur die grundlegenden mathematischen Leitlinien erörtert werden, warum es sich beim RSA-Algorithmus um eine Einwegfunktion mit eingebauter Hintertür handelt. Auf die konkreten Schwachstellen und Angriffsmöglichkeiten wird detailliert in der Analyse des kriminalistischen Teils einzugehen sein. Grundsätzlich sind nur zwei Wege denkbar, um RSA vollständig zu „knacken“. Zum einen kann versucht werden den geheimen Schlüssel aus dem gegebenen öffentlichen Schlüssel zu berechnen, zum anderen kann versucht werden den Klartext K direkt durch Rückgängigmachen/Umdrehen der Verschlüsselungsoperation aus dem Geheimtext C zu berechnen. (1)
Berechnen des geheimen Schüssels
Öffentlich gegeben sind im RSA-Verfahren der öffentliche Schlüssel e und das RSA-Modul n. Zur Berechnung der mulitplikativen Inversen (dem geheimen Schlüssel d) müsste der Angreifer analog zum Teilnehmer des RSA-Kryptoschemas die Gleichung e · d (mod ϕ(n)) = 1 lösen.2093 Dazu müsste er entweder den Euler’schen Funktionswert des Moduls ϕ(n) direkt berechnen oder wenn er diesen über ϕ(n) = p· q berechnen wollte, das Modul n in seine beiden Primfaktoren p und 2093 Vgl. dazu Abschnitt bb) auf Seite 502.
458
Anhang C Kryptologischer Hintergrund
q zerlegen können. Beide Probleme sind identisch.2094 Oder anders formuliert, kein Angreifer kann aus dem öffentlichen Schlüssel den privaten Schlüssel berechnen, wenn er nicht das Modul n in seine Primfaktoren zerlegen kann.2095 Das Faktorisieren großer Zahlen ist ein altes mathematisches Problem. Es ist bis heute kein effektiver Algorithmus bekannt, der das in realisierbarer Zeit leisten kann. Es ist allerdings auch nicht bewiesen, dass es keinen derartigen Algorithmus gibt. Sollte dieser eines Tages entdeckt werden, wäre der RSA-Algorithmus hinfällig.2096 Solange handelt es sich bei dem Wissen um die Primfaktoren von n um diejenige Zusatzinformation, die die Hintertür dieser Einwegfunktion bildet.2097 Der aktuelle Rekord vom Dezember 2009 liegt wie bereits oben erwähnt2098 bei der Faktorisierung einer Zahl mit 232 Dezimalstellen (RSA-768) durch ein internationales 13-köpfiges Forscherteam aus 6 Institutionen unter Verwendung des aktuell effizientesten Faktorisierungsverfahren, dem Number Field Sieve.2099 Sie brauchten dafür mit Hilfe hunderter Rechner zweieinhalb Jahre.2100 Mit einem einzelnen 2,2 GHz AMD Opteron Prozessor und 2 GB RAM hätte allein das Sieben 1500 Jahre gedauert.2101 Das Faktorisieren einer Zahl der Modulgröße von 1024-Bit wäre nochmals ungefähr um den Faktor 1000 schwieriger.2102 (2)
Entschlüsseln ohne geheimen Schlüssel durch Invertieren
Neben dem öffentlichen Schlüssel e und dem Modul n ist auch der Geheimtext C bekannt, dieser muss schließlich übermittelt werden. Da die Verschlüsselungsoperation C = K e (mod n) lautet, könnte man auch daran denken diese Gleichung nach K umzustellen und K somit durch Invertieren dieser Gleichung ohne den geheimen Schlüssel d zu berechnen. Dazu müsste ein Angreifer „lediglich“ aus C die e−te Wurzel modulo n ziehen. Eine Methode für eine derartige Berechnung ist aber nicht bekannt.2103 Es sei festgehalten, dass bei Verwendung einer Modulgröße von 1024-Bit bzw. 2048-Bit, der Einsatz von RSA grundsätzlich (noch) als sicher gelten kann. 2094 Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 127 f. 2095 Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 128. 2096 Allerdings ist das nicht wahrscheinlich, da das Faktorisierungsproblem ein altes Problem ist, und ein große Zahl an Mathematikern sich seit langer Zeit damit beschäftigt und beschäftig hat, vgl. Beutelspacher, Kryptologie, S. 114. 2097 Bronstein, Taschenbuch der Mathematik, S. 351. 2098 Siehe Abschnitt (1) auf Seite 443. 2099 Kleinjung, Factorization of a 768-bit RSA modulus, S. 1, abrufbar unter https: //eprint.iacr.org/2010/006.pdf (Stand: Dezember 2017). 2100 Ebd. vgl Fußnote 2099. 2101 Ebd. vgl Fußnote 2099. 2102 Ebd. vgl Fußnote 2099. 2103 Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 98 f.
I. Kryptographische Algorithmen
(3)
459
Randomisierung
Der RSA-Algorithmus in seiner Grundform ist deterministisch.2104 Das bedeutet, dass er für den gleichen Klartext immer den gleichen Geheimtext ausgibt. Sollte ein Angreifer Teile des Klartextes erraten können (Known-Plaintext-Angriff2105), ist es ihm möglich daraus auf die anderen Klartexte zu schließen. Deshalb wird RSA etwa mit Hilfe des OAEP-Verfahrens2106 randomisiert.2107 c) Diffie-Hellman-Schlüsselvereinbarung Streng genommen handelt es sich bei der Diffie-Hellmmann-Schlüsselvereinbarung zwar um einen asymmetrischen Algorithmus, aber nicht um einen Verschlüsselungsalgorithmus, da er nicht geeignet ist ganze Nachrichten zu verschlüsseln, sondern, wie der Name bereits sagt, lediglich dem (erstmaligen) Austausch2108 des geheimen Schlüssels für die weitere Nutzung durch symmetrische Verschlüsselungsalgorithmen dient.2109 aa)
Das zugrunde liegende Prinzip
Wie der bereits vorgestellte2110 RSA-Algorithmus arbeitet Diffie-Hellman mit der modularen Exponentiation (diskrete Exponentialfunktion).2111 Allerdings macht er sich als Einwegfunktion im Gegensatz zu RSA nicht die Faktorisierung großer Zahlen, sondern den diskreten Logarithmus2112 zu nutze.2113 Die Basis-Operation lautet:
X = gx
(mod p)
Sender oder Empfänger wählen eine beliebige Primzahl p und eine beliebige natürliche Zahl g aus und tauschen sie über einen öffentlichen (unverschlüsselten) Kanal aus.2114 Sender und Empfänger müssen für ihre jeweilige Berechnung über 2104 2105 2106 2107 2108 2109 2110 2111 2112 2113 2114
Wilke/Küsters, Moderne Kryptographie, S. 156. Siehe Abschnitt III. auf Seite 62. Optimal Asymmetric Encryption Padding. Buchmann, Einführung in die Kryptographie, S. 147. Präziser: einer Vereinbarung, da beide Parteien an der Berechnung des Schlüssels beteiligt sind, vgl. Beutelspacher/Schwenk/Wolfenstetter, Moderne Verfahren der Kryptographie, S. 30. Schneier, Angewandte Kryptographie, S. 587. Für das Prinzip der hybriden Verschlüsselung siehe Abschnitt 6. auf Seite 61. Siehe Abschnitt b) auf Seite 439. Siehe Abschnitt 7. auf Seite 505. Siehe bereits Abschnitt (2) auf Seite 439. Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 113. Ferguson/Schneier, Practical Cryptography, S. 211.
460
Anhang C Kryptologischer Hintergrund
die identische Basis g und das identische Modul p verfügen. Sodann wählen sich Sender und Empfänger jeweils unabhängig voneinander einen (in der Größenordnung zwangsläufig voneinander abweichenden) geheimen Schlüssel x und führen die Basis-Operation aus. Das Ergebnis X tauschen sie aus, so dass jeder das Ergebnis der Berechnung mit dem (geheimen) Schlüssel des Anderen erhält. Abschließend führen sie die Operation erneut mit diesem Ergebnis des Anderen als neuer Basis und ihrem eigenen geheimen Schlüssel durch. Das nun erhaltene Ergebnis s ist bei beiden Teilnehmern gleich und kann im Folgenden als Schlüssel für einen symmetrischen Chiffrieralgorithmus verwendet werden.2115 Vergleiche dazu Abbildung C.12.2116
Abbildung C.12: Die Diffie-Helman-Schlüsselvereinbarung
Bei jeder Schlüsselvereinbarung werden von den Teilnehmern neue Exponenten x und y gewählt und somit jedes Mal neue X und Y erzeugt, die währenddessen quasi gleichzeitig übermittelt werden.2117 2115 Zum Ganzen: Schneier, Angewandte Kryptographie, S. 587 und Swoboda/Spitz/Pramateftakis, Kryptographie und IT-Sicherheit, S. 129 f. 2116 Zu dieser Verbildlichung siehe Beutelspacher/Schwenk/Wolfenstetter, Moderne Verfahren der Kryptographie, S. 29. 2117 Stinson, Cryptography: Theory and Practice, S. 271.
I. Kryptographische Algorithmen
bb)
Parameterauswahl
(1)
Primzahl p
461
Die Primzahl p wird zufällig gewählt. Dabei geht man genau wie beim RSAAlgorithmus2118 so vor, dass man beliebige Zahlen (der gewünschten Größenordnung) mit Primzahltests solange durchprobiert und prüft, ob es sich bei der ausgewählten Zahl um eine Primzahl handelt, bis der Test positiv ausfällt. Sie muss lediglich von geeigneter Dimension sein, um die Bestimmung des diskreten Logarithmus wunschgemäß schwierig zu gestalten. In der Praxis wählt man in der Regel Zahlen der Größe von 1024 Bit (Dezimalzahlen mit etwas mehr als 300 Stellen).2119 (2)
Basis g
Die Basis g mit 2 ≤ g ≤ p − 2 2120 sollte ein erzeugendes Element (Generator oder Primitivwurzel)2121 der (zyklischen) primen Restklassengruppe2122 mod p sein.2123 Als Generator wird ein Element der Gruppe bezeichnet, durch das sich jedes einzelne Element der Gruppe als Potenz dieses einen Elementes darstellen (erzeugen) lässt.2124 Der Sinn liegt darin, dass die prime Restklassengruppe zyklisch ist (die darin vorkommenden Zahlen/Elemente sich also irgendwann wiederholen) und es daher sinnvoll ist, ein Element zu wählen, dass beim Potenzieren möglichst viele verschiedene Elemente dieser Gruppe als Ergebnis hat,2125 um so die Wahrscheinlichkeit zu verringern, dass der Angreifer effizient eine Tabelle der Potenzen anlegen kann, um den Exponenten einzugrenzen.2126 Auch für die Bestimmung von Generatoren existiert kein Algorithmus. Wie bei den Primzahlen muss getestet werden, ob es sich bei dem ausgewählten Element um einen Generator handelt.2127 In der Praxis sind p und g auch oft vorgegeben und werden von vielen Teilnehmern verwendet.2128 2118 Siehe Abschnitt (5) auf Seite 447. 2119 Swoboda/Spitz/Pramateftakis, Kryptographie und IT-Sicherheit, S. 129; Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 139. 2120 Buchmann, Einführung in die Kryptographie, S. 154; Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 414. 2121 Ausführlich zu Generatoren siehe Schmeh, Kryptografie, S.167. 2122 Siehe zu primen Restklasengruppen Abschnitt c) auf Seite 499. 2123 Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 113; Buchmann, Einführung in die Kryptographie, S. 154;Wilke/Küsters, Moderne Kryptographie, S. 164. 2124 Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 413. 2125 Ertel, Angewandte Kryptographie, S. 95. 2126 Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 139. 2127 Bundschuh, Einführung in die Zahlentheorie, S. 55 f. 2128 Schmeh, Kryptografie, S. 170.
462
(3)
Anhang C Kryptologischer Hintergrund
Geheimer Exponent x
Als geheimer Exponent kann von den Teilnehmern jede natürliche Zahl x mit 1 ≤ x ≤ p − 1 gewählt werden.2129 Es wird empfohlen ihn zumindest halb so groß zu wählen wie die Größe des damit zu generierenden gemeinsamen symmetrischen Schlüssels.2130 cc)
Die einzelnen Schritte des Algorithmus
Der Ablauf der Diffie-Hellman-Schlüsselvereinbarung wird im Folgenden zusammenfassend als Übersicht abgebildet.2131 1. Parameterauswahl durch den Empfänger oder den Sender Einer der beiden Teilnehmer bestimmt die öffentlichen Parameter, die Basis g und die Primzahl p. Beide Teilnehmer wählen sich ihren jeweiligen geheimen Exponenten x bzw. y. 2. Mitteilung der öffentlichen Parameter Der eine Teilnehmer teilt dem anderen Teilnehmer g und p mit. 3. Zwischenrechnung des Senders Der Sender berechnet mit Hilfe seines geheimen Schlüssels x den Wert X: X Sender = g x
(mod p)
Anschließend sendet er den Wert X an den Empfänger. 4. Zwischenrechnung des Empfängers Der Empfänger berechnet mit Hilfe seines geheimen Schlüssels y den Wert Y: Y Empfänger = g y
(mod p)
Und schickt den Wert Y an den Sender. 5. Berechnung des Schlüssel s durch den Sender s = Yx
(mod p)
2129 Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 415. 2130 Diffie-Hellman Group Exchange for the Secure Shell (SSH) Transport Layer Protocol, S. 5, vgl. http://www.ietf.org/rfc/rfc4419.txt (Stand: Dezember 2017). 2131 Für die schematische Darstellung siehe Stinson, Cryptography: Theory and Practice, S. 271 ff; Ferguson/Schneier, Practical Cryptography, S. 210 f; Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 414 ff.
I. Kryptographische Algorithmen
463
6. Berechnung des Schlüssels s 0 durch den Empfänger s0 = X y
(mod p)
7. Ergebnis Empfänger und Sender verfügen über den gemeinsamen (geheimen) Schlüssel, da s = s 0. dd)
Beispielrechnung
Die Beispielrechnung soll das Prinzip der Diffie-Hellman-Schlüsselvereinbarung veranschaulichen. Um sie nachvollziehbar zu halten, werden entsprechend kleine Zahlen gewählt.2132 1. Parameterauswahl durch den Empfänger oder den Sender Primzahl: p = 13 Die Restklassengruppe mod 13 hat ϕ(12) = 4 Generatoren, nämlich 2, 6, 7, 11.2133 Basis: g = 11 2. Auswahl der geheimen Schlüssel Sender wählt: x = 19 Empfänger wählt: y = 23 3. Mitteilung der öffentlichen Parameter 4. Zwischenrechnung des Senders Der Sender berechnet mit Hilfe seines geheimen Schlüssels x den Wert X:2134 X Sender = g x
(mod p) 19
= 11 (mod 13) = 61159090448414546291 (mod 13) X Sender = 2 Anschließend sendet er den Wert X an den Empfänger. 2132 Für die in der Praxis üblichen Zahlen siehe Abschnitt bb) auf Seite 461. 2133 Für weitere Details zur Anzahl der Generatoren in einer Restklassengruppe siehe Buchmann, Einführung in die Kryptographie, S. 55. 2134 Für die Berechnung großer Potenzen mittels Square-and-Multiply sei auf die RSABeispielrechnung unter Abschnitt ee) auf Seite 450 und auf Abschnitt 7. auf Seite 505 verwiesen.
464
Anhang C Kryptologischer Hintergrund
5. Zwischenrechnung des Empfängers Der Empfänger berechnet mit Hilfe seines geheimen Schlüssels y den Wert Y: Y Empfänger = g y
(mod p)
= 1123 (mod 13) = 895430243255237372246531 (mod 13) Y Empfänger = 6 Und schickt den Wert Y an den Sender. 6. Berechnung des Schlüssel s durch den Sender s = Yx
(mod p)
19
=6 (mod 13) = 609359740010496 (mod 13) s=7 7. Berechnung des Schlüssels s 0 durch den Empfänger s0 = X y
(mod p)
23
=2 (mod 13) = 8388608 (mod 13) s0 = 7 8. Ergebnis s = s0 7=7 Der gemeinsame (symmetrische) Schlüssel lautet 7. ee)
Mathematische Umsetzung des Prinzips
Die Diffie-Hellman-Schlüsselvereinbarung funktioniert (sprich beide Teilnehmer erhalten als Ergebnis den gleichen Schlüssel), weil sie durch ihre jeweiligen Rechenoperationen im Endeffekt beide das Gleiche, nämlich s = g x ·y (mod p) rechnen, denn:2135 2135 Swoboda/Spitz/Pramateftakis, Kryptographie und IT-Sicherheit, S. 130.
I. Kryptographische Algorithmen
465
Sender: Sender erhält vom Empfänger:
Y Empfänger = g y
Sender rechnet:
s
Sender
(mod p)
=Y (mod p) y = (g (mod p))x (mod p) = (g y )x (mod p) x
sSender = g y ·x
(mod p)
Empfänger: Empfänger erhält vom Sender: Empfänger rechnet:
X Sender = g x s
Empfänger
(mod p)
=X (mod p) x = (g (mod p))y (mod p) = (g x )y (mod p) y
sEmpfänger = g x ·y
(mod p)
Es gilt: g y ·x
(mod p) = g x ·y s
ff)
Sender
=s
(mod p)
Empfänger
Sicherheitsprinzip von Diffie-Hellman
Einem passiven2136 (nur mithörenden) Angreifer sind alle Werte außer den geheimen Exponenten x und y bekannt, da nur x und y zu keinem Zeitpunkt versendet werden. (1)
Diskreter Logarithmus
Zur Berechnung des vereinbarten Schlüssels müsste der Angreifer nur einen der beiden Exponenten ermitteln können. Dazu müsste er die Gleichung X = g x (mod p) mit unbekanntem x (X, g, und p sind ihm bekannt) lösen können, d.h. den diskreten Logarithmus, also das Logarithmieren im Bereich der ModuloRechnung,2137 von X zur Basis g bestimmen können. Ein effizienter Algorithmus der das leisten könnte ist bis dato nicht bekannt.2138 Der Versuch alle in Frage kommenden Zahlen durchzuprobieren hieße, da g als ein Generator gewählt wurde und somit alle Elemente der Gruppe erzeugen kann, 2136 Für den Fall eines aktiven Angreifers vgl. Abschnitt II. auf Seite 474. 2137 Siehe bereits Abschnitt (2) auf Seite 439. 2138 Beutelspacher/Schwenk/Wolfenstetter, Moderne Verfahren der Kryptographie, S. 30.
466
Anhang C Kryptologischer Hintergrund
den Exponenten x in einer Menge p − 2 zu suchen mit x − 1 Multiplikationen und x Vergleichen. Bei Wahl einer entsprechend großen Primzahl p ist das nicht in akzeptabler Zeit realisierbar.2139 Auch bessere (und neuere) Methoden zur Berechnung wie der Shanks Baby-Step-Giant-Step-Algorithmus,2140 der PohligHellman-Algorithmus2141 oder der Index-Calculus-Algorithmus2142 arbeiten nicht effizient.2143
(2)
Rückschluss auf den Schlüssel direkt
Denkbar wäre auch, dass ein Angreifer bei gegebenem X mit X = g x mod p und gegebenem Y mit Y = g y mod p versuchen könnte ohne die Berechnung des diskreten Logarithmus direkt auf den Schlüssel s mit (s = g x ·y mod p) zu schließen. Aber auch dafür ist kein Algorithmus bekannt, man vermutet vielmehr, dass es ohne die Berechnung des diskreten Logarithmus keinen effizienten Algorithmus gibt, um den geheimen Schlüssel s zu berechnen.2144 Die Vermutung geht sogar dahin, dass ein Angreifer gar nicht in der Lage wäre zu entscheiden, ob g z (mod p) = g x ·y (mod p) gilt, also ob sein berechneter Schlüsselwert richtig ist.2145
gg)
Mehrpersonen
Die Diffie-Hellman-Schlüsselvereinbarung ist nicht auf zwei Personen beschränkt, sondern auf mehrere Personen erweiterbar. Entsprechend erhöhen sich lediglich die Rechenoperationen und die zwischen ihnen auszutauschenden (Zwischen-) Ergebnisse, bevor von ihnen jeweils der Schlüssel berechnet werden kann. Bei drei Personen etwa wird der Schlüssel im Endeffekt bei x, y, z als geheime Exponenten durch s = g x ·y ·z (mod p) berechnet.2146 2139 Dazu Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 137. 2140 Buchmann, Einführung in die Kryptographie, S. 176 ff. 2141 Buchmann, Einführung in die Kryptographie, S. 181 ff. 2142 Buchmann, Einführung in die Kryptographie, S. 185 ff. 2143 Das bedeutet, dass der Algorithmus nicht in polynomieller Laufzeit arbeitet, seine Laufzeit sich also nicht durch eine Polynomfunktion nach oben abschätzen lässt. Dies wird als Grenze betrachtet, in der er sich noch in praktikabler Zeit durchführen lässt, vgl. dazu Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 47 f und Buchmann, Einführung in die Kryptographie, S. 9. 2144 Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 139. 2145 Buchmann, Einführung in die Kryptographie, S. 155. 2146 Schneier, Angewandte Kryptographie, S. 588.
I. Kryptographische Algorithmen
d)
467
Elgamal-Algorithmus
Der Elgamal-Algorithmus2147 verallgemeinert die Diffie-Hellman-Schlüsselvereinbarung2148 hin zu einem (asymmetrischen) Verschlüsselungsalgorithmus.2149 Er wurde bis 1985 von Taher Elgamal in den Hewlett-Packard Laboratories in Palo Alto entwickelt.2150
aa)
Das zugrunde liegende Prinzip
Auch beim Elgamal-Algorithmus2151 müssen zunächst für alle Teilnehmer eine Primzahl p und eine Basis g öffentlich vereinbart werden, allerdings wird im Gegensatz zu Diffie-Hellman der „Teilschlüssel“ des Empfängers X (das Zwischenrechnungsergebnis) nicht mehr nahezu zeitgleich mit Y generiert und an den anderen Teilnehmer übermittelt,2152 sondern nur einmal erzeugt und als öffentlicher Schlüssel des Empfängers bereitgehalten.2153 Der Sender hingegen wählt sich einen eigenen (mit jedem Klartext-Block wechselnden) Teilschlüssel. Mit beiden Teilschlüsseln kann er für sich den eigentlichen Chiffrierschlüssel erzeugen. Mit diesem Chiffrierschlüssel „maskiert“2154 er den Klartext (der Klartext wird mit dem Chiffrierschlüssel modulo multipliziert) und schickt das Ergebnis, den Geheimtext, zusammen mit seinem Teilschlüssel an an den Empfänger. Der wiederum kann den Geheimtext mit Hilfe seines geheimen Schlüssels in den Klartext zurückumwandeln.2155 Im Prinzip bindet Elgamal lediglich die Verschlüsselung des Klartextes als Modulo-Multiplikation in die Diffie-Hellman-Schlüsselvereinbarung mit ein.2156 2147 A public key cryptosystem and a signature scheme based on discrete logarithms, IEEE Transactions on Information Theory, Band 31, Ausgabe 4, S. 469-472, abrufbar unter: http://groups.csail.mit.edu/cis/crypto/classes/6.857/papers/elgamal.pdf (Stand: Dezember 2017. 2148 Siehe Abschnitt c) auf Seite 459. 2149 Wilke/Küsters, Moderne Kryptographie, S. 164. 2150 Beutelspacher, Kryptologie, S. 119. 2151 Hier wird die Standardvariante des Elgamal-Algorithmus beschrieben. Sein Vorteil besteht darin, dass er sich in jeder anderen endlichen, zyklischen Gruppe realisieren lässt, solange in der Gruppe das Logarithmus-Problem schwer zu lösen ist, vgl. Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 297 f und Buchmann, Einführung in die Kryptographie, S. 159 f. 2152 Zur Übermitllung bei Diffie-Hellman siehe: Abschnitt aa) auf Seite 459. 2153 Beutelspacher/Schwenk/Wolfenstetter, Moderne Verfahren der Kryptographie, S. 30. 2154 Man spricht in diesem Zusammenhang häufig von „Maskierung“ des Klartextes anstelle von Verschlüsselung, vgl. etwa Stinson, Cryptography: Theory and Practice, S. 164. 2155 Zum Ganzen: Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 294 f und Wilke/Küsters, Moderne Kryptographie, S.164 f. 2156 Beutelspacher/Schwenk/Wolfenstetter, Moderne Verfahren der Kryptographie, S. 30.
468
bb)
Anhang C Kryptologischer Hintergrund
Die einzelnen Schritte des Algorithmus
Die einzelnen Schritte des Elgamal-Algorithmus lauten wie folgt:2157 1. Parameterauswahl Es werden die öffentlichen Parameter für alle Teilnehmer des Kryptosystems festgelegt, eine Primzahl p und als Basis g einen Generator der primen Restklassengruppe mod p.2158 Alternativ kann auch jeder Empfänger g und p seperat festlegen, muss sie dann aber zusammen mit seinem öffentlichen Schlüssel publizieren.2159 2. Festlegung des öffentlichen Schlüssels des Empfängers Jeder Empfänger wählt sich einen (zufälligen) geheimen Schlüssel x mit 1 ≤ x ≤ p − 2.2160 Er berechnet damit X Empfänger = g x (mod p) und macht X als öffentlichen Schlüssel bekannt. 3. Codierung der Ausgangsnachricht2161 Der Klartext K wird von Buchstaben in Dezimalzahlen-Blöcke mit 0 ≤ K ≤ p − 1 transformiert.2162 4. Verschlüsselung des Klartextes durch den Sender (a) Auswahl seiner geheimen Schlüssel durch den Sender Der Sender wählt für jeden Dezimalzahlen-Block K einen eigenen (zufälligen) geheimen Schlüssel y mit 1 ≤ y ≤ p − 2.2163 (b) Berechnung der jeweiligen Teilschlüssel Der Sender berechnet für jedes y: Y = gy
(mod p)
(c) „Maskierung“ des Klartextes K 2157 Für die schematische Übersicht siehe: Buchmann, Einführung in die Kryptographie, S. 156 f; Wilke/Küsters, Moderne Kryptographie, S. 164 f; Stinson, Cryptography: Theory and Practice, S. 163; Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 294 f. 2158 Zur Generatoreigenschaft eines Elementes einer primen Restklassengruppe siehe bereits oben Abschnitt (2) auf Seite 461. 2159 Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 295. 2160 Buchmann, Einführung in die Kryptographie, S. 156; Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 294. 2161 Zum detaillierten Vorgehen dabei siehe Abschnitt (3) auf Seite 444. 2162 Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 295. 2163 Zur Notwendigkeit eines geheimen Schlüssels für jeden Dezimalzahlen-Block siehe Abschnitt ee) auf Seite 473.
I. Kryptographische Algorithmen
469
Der Sender berechnet jeweils für jeden Klartext-Block K mit Hilfe des öffentlichen Schlüssels X des Empfängers: C = K · Xy
(mod p)
(d) Senden des Geheimtextes an den Empfänger Ein Geheimtext-Block (Y, C)besteht nun jeweils aus dem Zahlenpaar Y und C. Alle Geheimtext-Blöcke zusammen bilden den Geheimtext. Der Geheimtext ist also doppelt so lang wie der Klartext.2164 5. Entschlüsselung des Geheimtextes durch den Empfänger (a) Berechnung des Dechiffrierexponenten d mit Hilfe des geheimen Exponenten x d = p−1−x (b) Dechiffrierung des Geheimtextes Der Empfänger berechnet für jeden Geheimtext-Block (Y, C) mit Hilfe des jeweiligen Teilschlüssels Y wieder den Klartext K: K = Yd · C
(mod p)
6. Recodierung des Klartextes in die Ausgangsnachricht cc)
Beispielrechnung
Die Zahlen sind entsprechend klein gehalten, um die Beispielrechnung nachvollziehbar zu gestalten. In der Praxis werden derzeit wie bei Diffie-Hellman und RSA für p Zahlen in der Größenordnung von 1024 Bit vorgeschlagen.2165 1. Parameterauswahl p = 23 g=7 2. Festlegung des öffentlichen Schlüssels des Empfängers • geheimer Schlüssel des Empfängers: x = 17 2164 Dazu ausführlich: Abschnitt ee) auf Seite 473. 2165 Swoboda/Spitz/Pramateftakis, Kryptographie und IT-Sicherheit, S. 131; Buchmann, Einführung in die Kryptographie, S. 158.
470
Anhang C Kryptologischer Hintergrund
• Berechnung des öffentlichen Schlüssels X:2166 X Empfänger = g x
(mod p)
17
=7 (mod 23) = 232630513987207 (mod 23) X = 19 3. Codierung der Ausgangsnachricht Der Klartext-Block soll im Beispiel als K = 20 festgelegt sein. 4. Verschlüsselung des Klartextes durch den Sender (a) Auswahl des geheimen Schlüssels durch den Sender y = 10 (b) Berechnung des jeweiligen Teilschlüssels Der Sender berechnet für y: Y = gy
(mod p)
10
=7 (mod 23) = 282475249 (mod 23) Y = 13 (c) „Maskierung“ des Klartextes K Der Sender berechnet für den Klartext-Block K = 20 mit Hilfe des öffentlichen Schlüssels des Empfängers X = 19 den Chiffriertext C: C = K · Xy
(mod p) 10
= 20 · 19 (mod 23) = 20 · 6131066257801 (mod 23) = 122621325156020 (mod 23) C=5 (d) Senden des Geheimtextes an den Empfänger Der Geheimtext (Y, C) lautet: 13, 5 2166 Für die Berechnung großer Potenzen mittels Square-and-Multiply sei auf die RSABeispielrechnung unter Abschnitt ee) auf Seite 450 und auf Abschnitt 7. auf Seite 505 verwiesen.
I. Kryptographische Algorithmen
471
5. Entschlüsselung des Geheimtextes durch den Empfänger
(a) Berechnung des Dechiffrierexponenten d mit Hilfe des geheimen Exponenten x = 17 des Empfängers
d = p−1−x = 23 − 1 − 17 x=5
(b) Dechiffrierung des Geheimtextes
Der Empfänger berechnet für den Geheimtext-Block (Y, C) mit Hilfe des Teilschlüssels Y wieder den Klartext K 0:
K0 = Yd · C 5
(mod p)
= 13 · 5 (mod 23) = 371293 · 5 (mod 23) = 1856465 (mod 23) K 0 = 20
472
dd)
Anhang C Kryptologischer Hintergrund
Mathematische Umsetzung des Prinzips
Der Elgamal-Algorithmus arbeitet korrekt, wenn K = K 0 gilt, also nach dem Entschlüsseln der ursprüngliche Klartext wieder zutage tritt:2167 K0 = Yd · C
(mod p)
= Y p−1−x · C
(mod p)
y p−1−x
= (g )
·C
(mod p)
=g
y ·(p−1−x)
·C
(mod p)
=g
y ·(p−1) −x ·y)
·C
(mod p)
= (g
p−1 y
x −y
·C
= (g
p−1 y
x −y
· K · Xy
) · (g )
) · (g )
(mod p) (mod p)
= (g p−1 )y · (g x ) −y · K · (g x )y (mod p) (g x )y = (g p−1 )y · K · x y (mod p) (g ) = (g p−1 )y · K
(mod p)
Anwendung des kleinen fermatschen Satz: = 1y · K (mod p) = 1 · K (mod p) 0 K =K
a p−1 ≡ 1 (mod p)2168
Letztlich wird beim Dechiffrieren mit Y d =p−1−x die multiplikative (modulare) Inverse (im Folgenden zur Veranschaulichung als Y −x statt Y d bezeichnet) zum Element Y x berechnet.2169 Da p eine Primzahl ist, bilden die von 0 verschiedenen Restklassen mod p einen Körper. Zur Körpereigenschaft gehört es, dass es zu jedem Element dieses Körpers eine multiplikative Inverse gibt.2170 Mit ihr kann die Umkehrung der Verschlüsselungsoperation K · g x ·y (= K · (g x )y = K · X y ) vollzogen werden. Denn in der Entschlüsselungsoperation (g y )−x · K · (g x )y (= Y −x · K · X y = Y −x · C) heben sich Element und seine multiplikative Inverse gegenseitig auf, da sich bei Multiplikation von einem Element (hier: g x ·y ) und der multiplikativen Inversen dieses Elementes (hier: g −x ·y ) das neutrale Element 1 ergibt. Bei einer Operation (hier die Multiplikation) eines Elementes mit dem neutralen Element kommt wieder das Ausgangselement heraus, so bleibt 2167 2168 2169 2170
Zur Rechnung siehe: Buchmann, Einführung in die Kryptographie, S. 157. Siehe zum kleinen fermatschen Satz bereits Abschnitt a) auf Seite 504. Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 295. Ausführlich in Abschnitt c) auf Seite 499 und Abschnitt bb) auf Seite 502.
I. Kryptographische Algorithmen
473
nach der Entschlüsselungsoperation lediglich der Ausgangstext K übrig.2171 Die multiplikative Inverse kann aber nur derjenige berechnen, der die Zusatzinformation (Hintertür) des geheimen Schlüssels x kennt. Nur er kann den Chiffriervorgang invertieren. ee)
Sicherheitsprinzip von Elgamal
Ein passiver Angreifer kann die Basis g, die Primzahl p, den öffentlichen Schlüssel des Empfängers X sowie den Geheimtext (Y, C) in Erfahrung bringen. Den geheimen Schlüssel x des Empfängers könnte er nur ermitteln und zum Dechiffrieren des Geheimtextes einsetzen, wenn er die Gleichung X = g x (mod p) lösen könnte. Dazu müsste er wie bei der Diffie-Hellman-Schlüsselvereinbarung den diskreten Logarithmus von X zur Basis g berechnen können. Doch es gibt keinen effizienten Algorithmus der bei entsprechender Zahlengröße das Logarithmusproblem lösen kann.2172 Analog ist es dem Angreifer nicht möglich, ohne das Logarithmusproblem lösen zu können, aus Y als Bestandteil des Geheimtextes auf die geheimen Teilschlüssel des Senders y zu schließen, da er Y = g y (mod p) nicht nach y auflösen kann, womit ihm auch verwehrt bleibt direkt vom Geheimtext auf den Klartext zu schließen und C = K · X y (mod p) bei unbekanntem y und unbekanntem K zu berechnen.2173 Wichtig ist, dass der Sender für jeden Klartext-Block einen neuen (zufälligen) geheimen Teilschlüssel y wählt. Ansonsten, sollte der Angreifer einen KlartextBlock in Erfahrung bringen (Known-Plaintext-Angriff2174), ließen sich sehr leicht über die Geheimtexte und den einen Klartext-Block die anderen Klartexte mittels K 0 = C 0 · C −1 · K (mod p) ermitteln.2175 Das hat den Nachteil, dass der Geheimtext bestehend aus C und Y immer doppelt so groß ist wie der dazugehörige Klartext K. Das macht Elgamal langsamer.2176 Dafür bedeutet es, dass der Elgamal-Algorithmus im Gegensatz zum RSAAlgorithmus nicht deterministisch ist,2177 denn durch die wiederholte zufällige Teilschlüsselwahl für jeden Klartext-Block unterscheiden sich die Geheimtexte 2171 Für die Gleichung zu dieser Erklärung siehe: Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 295. 2172 Dazu bereits bei Diffie-Hellman, siehe Abschnitt (1) auf Seite 465. 2173 Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 296. 2174 Siehe Abschnitt III. auf Seite 62. 2175 Buchmann, Einführung in die Kryptographie, S. 158 f und Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 296. 2176 Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 296 und Buchmann, Einführung in die Kryptographie, S. 157. 2177 Zur Randomisierung von RSA siehe: Abschnitt (3) auf Seite 459.
474
Anhang C Kryptologischer Hintergrund
bei wiederholter Chiffrierung des gleichen Klartextes, Elgamal randomisiert also automatisch.2178 II.
Public-Key-Infrastrukturen 1.
Elemente einer PKI
Als Infrastruktur lässt sich eine PKI in folgende wichtige Bestandteile aufteilen. a)
Digitale Zertifikate
Das digitale Zertifikat lässt sich als Pendant zu einem amtlichen Ausweis begreifen.2179 Als Standard für den Aufbau hat sich das X.509-Protokoll des Telecomunication Standardization Sectors der Internationalen Fernmeldeunion (ITU)2180 etabliert, heute als Public Key Infrastructure, X.509 (PKIX) von der IETF standardisiert.2181 Es enthält Informationen zum Zertifikat selbst wie die Versionsnummer, eine eindeutige Seriennummer, den verwendeten Signaturalgorithmus und den Aussteller, Informationen zu den persönlichen Daten des Inhabers und seinen öffentlichen Schlüssel, sowie Angaben zur Gültigkeitsdauer.2182 Es ermöglicht noch weitere Angaben wie Auskünfte über den Zertifizierungspfad oder über den Verwendungszweck des öffentlichen Schlüssels.2183 b)
Certification Authority (CA)
Die Certification Authority ist innerhalb der PKI eine (unabhängige) organisatorische Einheit, die die digitalen Zertifikate für die Nutzer ausstellt. Mit Hilfe ihres privaten Schlüssels versieht sie das Zertifikat mit einer digitalen Signatur und stellt es bereit.2184 Ihr obliegt die Pflicht, die notwendigen Sicherheitsmaßnahmen zu ergreifen, um zu verhindern, dass ein Angreifer ihren privaten Schlüssel an sich bringt, und so in die Lage versetzt wird Zertifikate zu fälschen.2185 In Deutschland sind diese Sicherheitsanforderungen für akkreditierte CAs sowohl bzgl. der baulichen Maßnahmen (abstrahlsichere Wände, elektronischer Zugangsschutz) als auch der informationstechnischen Systeme sehr hoch.2186 2178 Buchmann, Einführung in die Kryptographie, S. 159 und Stinson, Cryptography: Theory and Practice, S. 162. 2179 Schwenk, Sicherheit und Kryptographie im Internet, S. 22. 2180 https://www.itu.int/en/ITU-T/Pages/default.aspx (Stand: Dezember 2017). 2181 Definiert in RFC 5280, abrufbar unter: http://tools.ietf.org/html/rfc5280 (Stand: Dezember 2017). 2182 http://tools.ietf.org/html/rfc5280 (Stand: Dezember 2017), S. 15 ff. 2183 http://tools.ietf.org/html/rfc5280 (Stand: Dezember 2017), S. 26 ff. 2184 Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 381. 2185 Schmeh, Kryptografie, S. 506. 2186 Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 384.
II. Public-Key-Infrastrukturen
c)
475
Root-CA
Im Vertrauensmodell2187 der hierarchischen PKI nimmt die Root-CA2188 die Position der obersten Zertifizierungsinstanz ein. Von ihr werden keine Nutzer zertifiziert, sondern nur andere, unter ihr angesiedelte, Certification Authorities. Demzufolge bildet sie den Vertrauensanker von der die anderen CAs ihr Vertrauen ableiten.2189 Ihr öffentlicher Schlüssel (zum Signieren der öffentlichen Schlüssel der nachfolgenden CAs) kann also nicht mehr kontrolliert, sondern ihm muss vertraut werden. Er sollte daher vom Teilnehmer aufmerksam kontrolliert und einmalig durch einen sicheren (authentischen) Kanal übertragen werden. In der Praxis wird für die wichtigsten Anwendungen (World Wide Web und E-Mail) das Problem dadurch gelöst, dass die öffentlichen Schlüssel der Root-CAs bereits in den wichtigsten Browsern und E-Mail-Clients implementiert sind und im Installationspaket mitgeliefert werden.2190 In Deutschland etwa verkörpert die Bundesnetzagentur die Root-CA. Sie publiziert ihren öffentlichen Schlüssel auf ihrer Homepage und im Bundesanzeiger.2191
d)
Registration Authority (RA)
Über die (optionale) Registrierungsstelle einer CA kann ein Teilnehmer (oder eine andere CA) ein Zertifikat beantragen. Die Registrierungsstelle prüft die Identität des Antragstellers, je nach Sicherheitsanforderungen auf unterschiedliche Art und mit unterschiedlichen Angaben.2192
e)
Directory Service
Der Directory Service2193 ist eine Datenbank in der sich alle von der CA ausgebenen Zertifikate befinden und von den Teilnehmern nach bestimmten öffentlichen Schlüsseln durchsucht werden können.2194 Siehe dazu sogleich Abschnitt 2. auf der nächsten Seite. Meint zu deutsch etwa: die Wurzelinstanz der Zertifizierungsstellen. Dazu Schwenk, Sicherheit und Kryptographie im Internet, S. 24 f. Schwenk, Sicherheit und Kryptographie im Internet, S. 25. https://www.bundesnetzagentur.de/DE/Service-Funktionen/ElektronischeVertrauens dienste/QES/WelcheAufgabenhatdieBundesnetzagentur/Anbieter_Zertifikateausstell en/anbieterzertifikateausstellen_aktuell.html (Dezember 2017). 2192 Schmeh, Kryptografie, S. 538 f. 2193 Zu deutsch: Verzeichnisdienst. 2194 Buchmann, Einführung in die Kryptographie, S. 243. 2187 2188 2189 2190 2191
476
Anhang C Kryptologischer Hintergrund
f)
Certificate Revocation List
Ein Zertifikat kann auch vor Ablauf der vorgesehenen Gültigkeitsdauer seine Gültigkeit verlieren, etwa weil sich die Adresse des Inhabers geändert, er seinen privaten Schlüssel verloren hat oder dieser geknackt wurde. Insbesondere die letzten beiden Fälle sind für den Inhaber gefährlich, denn es besteht die Gefahr das ein Dritter signierend tätig wird, und diese Tätigkeit dem Inhaber zugeordnet wird. Möchte man ein Zertifikat für ungültig erklären, lässt man es in einer von der CA geführten Sperrliste eintragen, der Certificate Revocation List.2195 So kann die Gültigkeit des Zertifikats vor Verwendung eines öffentlichen Schlüssels geprüft werden.2196 2.
Vertrauensmodelle
Wie bereits eingangs erläutert, muss der Nutzer letztlich einer Zertifizierungsinstanz vertrauen. Neben der bisher als gegeben betrachteten hierarchischen Struktur mit den Certification Authorities existieren noch zwei weitere Modelle. a)
Direct Trust
Die Teilnehmer können sich gegenseitig direkt die Authentizität der öffentlichen Schlüssel bestätigen, indem sie ihren öffentlichen Schlüssel selbst signieren. Mit Übertragung der Signatur über den Internetkanal besteht analog zur Schlüsselübertragung die gleiche Gefahr des Man-in-the-Middle-Angriffs. Die digitale Signatur bringt in diesem Szenario keinen Mehrwert. Es besteht die Möglichkeit den öffentlichen Schlüssel über einen sicheren Kanal zu senden. Der Aufwand gleicht dann dem der Übertragung eines symmetrischen Schlüssels.2197 b)
Web of Trust
Das Modell des Direct Trust wird umso unpraktischer, desto mehr Teilnehmer miteinander in Verbindung treten, insbesondere wenn einzelne Teilnehmer erstmalig in Kontakt treten möchten. Es besteht die Möglichkeit, wenn zwei Teilnehmer A und B einander vertrauen (also von der Korrektheit ihrer gegenseitigen öffentlichen Schlüssel überzeugt sind), und Teilnehmer A wiederum zusätzlich einem Dritten vertraut, dass er den öffentlichen Schlüssel des Dritten mit seiner Signatur versieht und so Teilnehmer B den öffentlichen Schlüssel des Dritten über die Signatur von A kontrollieren kann. Jeder Teilnehmer stellt eine eigene Zertifizierungsinstanz dar. In diesem Modell wird das Vertrauen nicht von einer übergeordneten CA abgeleitet, sondern von Teilnehmer zu Teilnehmer. In einem Web of Trust ist es sehr schwierig ein Zertifikat sperren zu lassen. Bei einer großen Teilnehmerzahl können unter 2195 Zu deutsch: Zertifikatsrückruf-Liste. 2196 Dazu Schwenk, Sicherheit und Kryptographie im Internet, S. 26-28. 2197 Vgl. dazu: Schmeh, Kryptografie und Public-Key-Infrastrukturen im Internet, S. 282 f.
II. Public-Key-Infrastrukturen
477
Umständen sehr viele (Zwischen-)Schritte notwendig sein um den gewünschten öffentlichen Schlüssel zu authentifizieren. Zudem ist jeder Teilnehmer sehr von der Integrität der vielen anderen Teilnehmer abhängig. Es besteht die Gefahr, dass ein Teilnehmer zu leichtfertig öffentliche Schlüssel signiert. Dafür wird die große Abhängigkeit von den CAs vermieden und Verwaltungsaufwand und Kosten halten sich in Grenzen.2198 c)
Hierarchical Trust
Aus verschiedenen Gründen hat sich das hierarchische Modell mit seinen Certification Authorities durchgesetzt. Eine hierarchisch gegliederte Infrastruktur lässt sich auf verschiedene Arten realisieren. aa)
Einstufige Hierarchie
In diesem einfachen Modell gibt es nur eine einzige Certifcation Authority. Jeder Anwender benötigt zur Überprüfung der öffentlichen Schlüssel aller Teilnehmer nur den öffentlichen Schlüssel dieser CA.2199 bb)
Mehrstufige Hierarchie
Existieren mehrere Certification Authorities und gehören die Teilnehmer verschiedenen CAs an, können sie ihre öffentlichen Schlüssel nicht über den Directory Service ihrer CA kontrollieren.2200 In einem mehrstufigen hierarchischen Modell ordnen sich die verschiedenen CAs einer bestimmten CA unter, vgl. Abbildung C.13 auf der nächsten Seite.2201 Es existieren mehrere Instanzen von Certification Authorities, die ihrerseits untergeordnete CAs zertifizieren. Die oberste Instanz wird als Root-CA bezeichnet. Ein Teilnehmer, der einen bestimmten öffentlichen Schlüssel überprüfen möchte, bedarf nur des öffentlichen Schlüssels der Root-CA. Er verfolgt den Zertifizierungspfad der verschiedenen CAs über die Instanzen bis zur Root-CA. Der Pfad muss in der Praxis nicht gesucht werden, sondern wird in der Regel in der digitalen Signatur des öffentlichen Schlüssels des Teilnehmers mitgeliefert.2202 cc)
Cross-Zertifizierung
In der Praxis stehen aber viele verschiedene (Root-)Certification Authorities miteinander in Konkurrenz, deren Teilnehmermengen sich nicht überschneiden. Zum Ganzen: Wilke/Küsters, Moderne Kryptographie, S. 266 ff. Schmeh, Kryptografie, S. 499. Buchmann, Einführung in die Kryptographie, S. 245. Für die Visualisierung der verschiedenen Vertrauensmodelle siehe: Schmeh, Kryptografie, S. 502. 2202 Zu diesem Modell: Wilke/Küsters, Moderne Kryptographie, S. 265 f. 2198 2199 2200 2201
478
Anhang C Kryptologischer Hintergrund
Abbildung C.13: Mehrstufige Hierarchie mit Root-CA
Gleichzeitig erkennen die CAs oft aus verschiedensten Gründen keine übergeordnete Instanz an.2203 In dieser Situation besteht die Möglichkeit sich gegenseitig je ein Zertifikat auszustellen oder neutrale Bridge-CAs2204 zu betreiben, die mit den Root-CAs Zertifikate tauschen.2205 So kann ein Teilnehmer der einen PKI über die Bridge-CA oder ein Cross-Zertifikat den Teilnehmer einer anderen PKI verifizieren.2206 3.
Lösung des Man-in-the-Middle-Problems durch eine PKI?
Grundsätzlich löst eine Public-Key-Infrastructure das Problem des Man-in-theMiddle-Angriffs nicht vollständig. Ein solcher Angreifer könnte sich nicht nur zwischen Sender und Empfänger, sondern auch noch zwischen Certification Authority und Sender schalten, vorgeben die CA zu sein und seinen eigenen öffentlichen Schlüssel als öffentlichen Schlüssel des Empfängers signiert übermitteln. Gleichzeitig muss er aber auch dem Sender einen weiteren öffentlichen Schlüssel als öffentlichen Schlüssel der vermeintlichen CA übermitteln. Überprüft der Sender 2203 Dann müsste sie sich etwa an die Sicherheitsanforderungen der Root-CA halten. Es kann aber auch nur Prestige-Gründe haben oder sie vertrauen der Root-CA schlicht nicht. Vgl. Wilke/Küsters, Moderne Kryptographie, S. 263. 2204 Zu deutsch: Brücken-CA. 2205 Zum Beispiel die European-Bridge-CA, vgl. https://www.ebca.de/ (Stand: Dezember 2017). 2206 Zum Ganzen: Schmeh, Kryptografie, S. 500 ff.
II. Public-Key-Infrastrukturen
479
Abbildung C.14: Cross-Zertifizierung zweier CAs
den öffentlichen Schlüssel des vermeintlichen Empfängers mit der Signatur des Angreifers mittels des öffentlichen Schlüssels der vermeintlichen CA, fällt ihm nichts auf. Er wird aber auch den öffentlichen Schlüssel der vermeintlichen (Erst-) CA überprüfen wollen. D.h. der Angreifer muss sich zusätzlich seinerseits eine Signatur einer anerkannten CA besorgen und sich damit in den Zertifizierungspfad (Chain of Trust) einreihen, damit sein öffentlicher Schlüssel überprüfbar wird und nicht auffällt. Das sollte ihm aber nicht möglich sein, da ihn als einfachen Angreifer keine anerkannte CA zertifizieren wird. Der entscheidende Vorteil liegt aber in der Zeitkomponente. Während sich ein Manin-the-Middle-Angreifer bei unzertifiziertem direkten Austausch der öffentlichen Schlüssel bei jeder Kontaktaufnahme dazwischenschalten kann, besteht diese Gefahr bei der zertifizierten Variante nur einmal, nämlich bei der erstmaligen Zertifzierung des öffentlichen Schlüssels. Erschwerend kommt für den Angreifer noch hinzu, dass die öffentlichen Schlüssel der vertrauenswürdigen Root-CAs in der Regel mit dem Browser bei seiner Installation mitgeliefert werden. D.h. der Angreifer müsste auch den Browser korrumpieren.2207 Ähnlich schwer sollte es einem Angreifer fallen, eine ganze Certification Authority zu „übernehmen“. Die Root-CA als „Anker des Vertrauens“2208 unterliegt besonderer Beobachtung, und Aufsicht durch den Staat, damit sollte eine bestimmte Art von Vertrauenswürdigkeit gewährleistet sein. Desto mehr öffentliche Schlüssel von verschiedenen CAs der Teilnehmer hat, desto mehr Zertifikate kann er 2207 Für diesen Absatz siehe: Paar/Pelzl, Understanding Cryptography, S. 347. 2208 Schwenk, Sicherheit und Kryptographie im Internet, S. 25.
480
Anhang C Kryptologischer Hintergrund
überprüfen.2209 Insbesondere kann er dann auch den öffentlichen Schlüssel seines gewünschten Kommunikationspartners durch mehrere Zertifikate mehrerer CAs überprüfen lassen. Auch wenn eine Public-Key-Infrastruktur das Problem eines Man-in-the-MiddleAngriffs nicht vollständig löst, erhöht sie den notwendigen Aufwand und senkt die Erfolgsaussichten erheblich.2210 III.
Digitale Signaturen
Im einfachsten denkbaren Fall kann als Signaturverfahren direkt eine asymmetrische Verschlüsselungsfunktion bei vertauschter Nutzung der Schlüssel verwendet werden. Auf den zu signierenden Klartext (etwa den öffentlichen Schlüssel oder ein Dokument) wird die Entschlüsselungsfunktion (in diesem Zusammenhang dann: Signatur-Funktion) mit dem geheimen Schlüssel angewandt.2211 Das Resultat kann bekannt gemacht werden und ergibt nach Durchlaufen der Verschlüsselungsfunktion (Verifizier-Funktion) mit dem öffentlichen Schlüssel wieder den (sinnvollen) Klartext.2212 Aber nicht alle asymmetrischen Verschlüsselungsverfahren können auf diese einfache Weise als Signaturverfahren eingesetzt werden. Voraussetzung dafür ist, dass sie umkehrbar sind.2213 Denn nur wenn der Algorithmus umkehrbar ist, kann auch die Entschlüsselungsfunktion mit Hilfe der Verschlüsselungsfunktion rückgängig gemacht werden.2214 1.
RSA als Signaturverfahren
Eines der am weitesten verbreitetsten2215 und in seiner grundsätzlichen Funktionsweise am einfachsten zu verstehende Signaturverfahren ist der Einsatz von RSA2216 als solches.2217 RSA ist eines der Verschlüsselungsverfahren, die sich spiegelverkehrt zur Erzeugung einer digitalen Signatur einsetzen lassen. Es muss lediglich die Verwendung der Schlüssel vertauscht werden. RSA kann ohne VeränWilke/Küsters, Moderne Kryptographie, S. 264. Ferguson/Schneier, Practical Cryptography, S. 336 ff. Nach der Verschlüsselungsterminologie wird der unverschlüsselte Klartext dechiffriert. Dazu Katz/Lindell, Introduction to Modern Cryptography, S. 423. Buchmann, Einführung in die Kryptographie, S. 210. Voraussetzung für einen funktionierenden Verschlüsselungsalgorithmus ist ja lediglich, dass die Verschlüsselungsfunktion mit Hilfe der Entschlüsselungfunktion invertiert werden kann und nicht umgekehrt. 2215 Microsoft TechNet Library, https://technet.microsoft.com/en-us/library/cc962021. aspx (Stand: Dezember 2017). 2216 Siehe Abschnitt b) auf Seite 439. 2217 Schmeh, Kryptografie, S. 185.
2209 2210 2211 2212 2213 2214
III. Digitale Signaturen
481
derung als Signaturverfahren eingesetzt werden, weil es umkehrbar ist.2218 Es gilt also: D E(K) = K = E D(K) Denn beim Einsatz zur Chiffrierung und Dechiffrierung wird folgendes berechnet:2219 Encryption E :
C = Ke und
(mod n)
Decryption D :
K = Cd also:
(mod n)
K = Ke K=K
e·d
(mod n)
d
(mod n)
(mod n)
Es gilt demnach: (K e )d K e·d
(mod n) = K (mod n) = K
(mod n) = (K d )e (mod n) = K d ·e
(mod n) (mod n)
Die Erzeugung der Signatur erfolgt demnach durch Anwendung der RSA-Funktion auf die zu signierende Nachricht. Die Signatur hat die gleiche Länge wie die Ausgangsnachricht.2220 Sie ist nur ein Chiffrat mit dem geheimen Schlüssel. Zur Verifikation wird mit dem öffentlichen Schlüssel erneut die RSA-Funktion durchlaufen. Stimmt das Ergebnis mit der ursprünglichen, unbearbeitet Nachricht überein, ist die Nachricht verifiziert.2221 Zu erwähnen bleibt, dass ein derartiger unmodifizierter Einsatz von RSA zum Signieren unsicher ist. Zum einen besteht die Gefahr einer sogenannten NoMessage Attack. Der Angreifer kann ein eigenes beliebiges Chiffrat bilden und als Signatur des Senders ausgeben. Ergibt die Verifizierung mit Hilfe des öffentlichen Schlüssels eine passende (im jeweiligen Kontext sinnvolle) Nachricht (und das kann der Angreifer testen, weil der öffentliche Schlüssel auch dem Angreifer zugänglich ist), hat der Angreifer erfolgreich eine gültige Signatur erzeugt. Unter Umständen könnte er auch noch, falls notwendig, diese Nachricht als Vergleich übermitteln. Im Prinzip rät der Angreifer damit eine Signatur.2222 Zum anderen kann die 2218 2219 2220 2221 2222
Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 433. Vergleiche Abschnitt aa) auf Seite 440. Das stellt ein Problem dar. Zur Lösung siehe Abschnitt VI. auf Seite 67. Hierfür: Schmeh, Kryptografie, S. 185. Dazu Buchmann, Einführung in die Kryptographie, S. 204 f. und 207 f.
482
Anhang C Kryptologischer Hintergrund
Multiplikativität von RSA2223 ausgenutzt werden, um bestimmte gültige Signaturen zu erzeugen, wenn der Angreifer die Möglichkeit hat, gewählte Nachrichten zu signieren (Chosen-Message-Attack).2224 Deswegen finden in der Praxis nur modifizierte Verfahren unter Einbeziehung von Zufallskomponenten, insbesondere RSA-PSS2225, Verwendung.2226 2.
Elgamal-Signaturverfahren
Im Gegensatz zu RSA ist der Elgamal-Verschlüsselungsalgorithmus2227 nicht umkehrbar. Ein Signaturverfahren konnte daraus nicht durch bloßes Vertauschen der Schlüssel und umgekehrte Anwendung der Ent- und Verschlüsselungsfunktion realisiert, sondern musste als eigenständiges Signaturverfahren entworfen werden.2228 Mit der Elgamal-Signatur lässt sich nur die Nachricht verifizieren, sie erlaubt aber keine Rückschlüsse auf die Nachricht selbst, weswegen die Nachricht mitgeschickt werden muss.2229 a) Die einzelnen Schritte des Signaturverfahrens Für das Erstellen der Signatur einer Nachricht K lässt sich das Elgamal-Verfahren in folgende Schritte aufteilen:2230 1. Parameterauswahl und Erzeugung der Schlüssel Die Auswahl der Parameter und die Generierung des privaten, wie öffentlichen Schlüssels erfolgt analog zur Vorgehensweise beim ElgamalVerschlüsselungsalgorithmus.2231 Der Signierende wählt eine zufällige Primzahl p und einen Generator2232 g der primen Restklassengruppe mod p, sowie einen geheimen Schlüssel x ∈ (1 ≤ x ≤ p − 2) und berechnet X = g x (mod p). Der öffentliche Schlüssel des Signierende ist (X, p, g). 2. Erzeugung der Signatur 2223 Denn für RSA gilt: K1d · K2d (mod n) = (K1 · K2 )d (mod n). 2224 Buchmann, Einführung in die Kryptographie, S. 205 und 208; Wilke/Küsters, Moderne Kryptographie, S. 241 f. 2225 Wilke/Küsters, Moderne Kryptographie, S. 257. 2226 Ausführlich in: Wilke/Küsters, Moderne Kryptographie, S. 245 ff. 2227 Siehe ausführlich unter Abschnitt d) auf Seite 467. 2228 Er wurde bis 1985 von Taher Elgamal in den Hewlett-Packard Laboratories in Palo Alto entwickelt, vgl. Fußnote 2147 auf Seite 467. 2229 Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 142. 2230 Für die schematische Übersicht siehe: Konheim, Computer Security and Cryptography, S. 475; Stinson, Cryptography: Theory and Practice, S. 206 f; Beutelspacher/Schwenk/Wolfenstetter, Moderne Verfahren der Kryptographie, S. 31 f. 2231 Siehe bereits unter Abschnitt bb) auf Seite 468. 2232 Zur Generatoreigenschaft siehe bereits Abschnitt (2) auf Seite 461.
III. Digitale Signaturen
483
(a) Wählen einer Zufallszahl Der Signierende wählt ferner eine Zufallszahl r mit 1 ≤ r ≤ p − 2, so dass r und p − 1 teilerfremd sind, also ggT(r, p − 1) = 1. Er berechnet: R = gr (mod p). (b) Lösen der Kongruenz Es ist die Lösung der Kongruenz für die (neue) Variable s zu finden: K ≡ x · R+r ·s
(mod p − 1)
Dazu wird mit Hilfe des erweiterten euklidischen Algorithmus2233 die Inverse r −1 zu r (mod p − 1) ermittlelt und dann s = (K − x · R) · r −1
(mod p − 1)
berechnet. 3. Signatur Die digitale Signatur der Nachricht K besteht aus dem Paar (R, s). 4. Verifikation der Signatur Der Empfänger kann die digitale Signatur folgenderweise prüfen. Er berechnet: aus der Nachricht: g K
(mod p)
aus der Signatur und dem öffentlichen Schlüssel: X · Rs R
(mod p)
Stimmen die Ergebnisse überein ist die Signatur verifiziert, denn (mit Fermat) gilt: g K ≡ g x ·R+r ·s ≡ (g x )R · (gr )s ≡ X R · Rs b)
(mod p)
Sicherheit des Elgamal-Signaturverfahrens
Die Sicherheit des Elgamal-Signaturverfahrens basiert grundsätzlich ebenso wie der der Elgamal-Verschlüsselungsalgorithmus auf dem Problem den diskreten Logarithmus mod p zu berechnen.2234 Die Gefahr von No-Message-Attacks muss wie bei RSA als Signaturverfahren durch Modifikationen (etwa den Einsatz von Hashfunktionien) abgewehrt werden. Durch Verwendung einer Zufallszahl ist es im Gegensatz zu RSA nicht deterministisch. Eine Nachricht kann also viele verschiedene gültige Signaturen haben.2235 Die Zufallszahl darf aber nur zum 2233 Siehe Abschnitt aa) auf Seite 502. 2234 Siehe Abschnitt ee) auf Seite 473. 2235 Stinson, Cryptography: Theory and Practice, S. 206.
484
Anhang C Kryptologischer Hintergrund
Signieren einer Nachricht verwendet werden, da sich ansonsten die Variable s und daraus der geheime Schlüssel x berechnen ließe.2236 In seiner Grundform kommt das Elgamal-Signaturverfahren so gut wie nie zum Einsatz, bildet aber die Grundlage für das DSA-Verfahren2237 und zahlreiche weitere Varianten und Verallgemeinerungen.2238 3.
Digital Signature Algorithm (DSA)
Der Digital Signature Algorithm ist eine effiziente Spielart des Elgamal-Signaturverfahrens.2239 Er wurde 1991 vom National Institute of Standards and Technology (NIST) vorgeschlagen und im Digital Signature Standard (DSS) 1994 standardisiert.2240 Er ist in der Praxis weit verbreitet.2241 Um für einen etwaigen Angreifer die Berechnung des diskreten Logarithmus mod p unpraktikabel zu halten und damit die entsprechende Sicherheit zu gewährleisten, muss mindestens eine Primzahl von 512, oft sogar 1024 Bit Länge als Modul gewählt werden. Bei Elgamal führt ein 512-Bit-Modul zu einer 1024-Bit-Signatur. Teilweise war es aber erwünscht (etwa für Smartcards) eine kleinere, dennoch ebenso sichere Signatur generieren zu können. DSA ermöglicht es nun für eine 160-Bit-Nachricht eine 320-Bit-Signatur zu erstellen, aber die Berechnung mit Hilfe eines 512-Bit-Moduls durchzuführen, indem DSA nur auf einer kleineren Untergruppe der primen Resktlassengruppe Z⇤p 2242 operiert.2243 Ferner verringert DSA bei der Verifizierung gegenüber Elgamal die Anzahl der modularen Exponentiationen von drei auf zwei.2244 a)
Die einzelnen Schritte von DSA
Für das Erstellen der Signatur einer Nachricht K führt DSA folgende Schritte aus:2245 1. Parameterauswahl Der Signierende wählt eine (zufällige) Primzahl p der Länge zwischen 512 und 1024 Bit aus. p muss ein Vielfaches von 64 sein. Er wählt zusätzlich 2236 2237 2238 2239 2240 2241 2242 2243 2244 2245
Swoboda/Spitz/Pramateftakis, Kryptographie und IT-Sicherheit, S. 134. Sogleich in Abschnitt 3. Beutelspacher/Schwenk/Wolfenstetter, Moderne Verfahren der Kryptographie, S. 32. Buchmann, Einführung in die Kryptographie, S. 215. Schmeh, Kryptografie, S. 188. Wilke/Küsters, Moderne Kryptographie, S. 257. Dafür siehe bereits Abschnitt c) auf Seite 499. Zum Ganzen: Stinson, Cryptography: Theory and Practice, S. 211. Buchmann, Einführung in die Kryptographie, S. 215. Für die schematische Übersicht siehe: Konheim, Computer Security and Cryptography, S. 474; Stinson, Cryptography: Theory and Practice, S. 212 f; Buchmann, Einführung in die Kryptographie, S. 215 ff; Schmeh, Kryptografie, S. 189 f.
III. Digitale Signaturen
485
eine Primzahl q der Länge 160 Bit aus, die ein Teiler von p − 1 ist. Dann benötigt er noch einen Generator2246 g in Z∗p der Ordnung q. Dafür wählt er einen Generator j der primen Restklassengruppe mod p aus und berechnet: g=j
p−1 q
(mod p) so dass: g > 1
2. Erzeugung des öffentlichen Schlüssels Der Signierende wählt ferner seinen geheimen Schlüssel x ∈ (1 ≤ x ≤ q −1) aus und berechnet X: X = gx
(mod p)
Der öffentliche Schlüssel lautet (X, g, p, q). 3. Erzeugung der Signatur (a) Wählen einer Zufallszahl Der Signierende wählt zuletzt eine Zufallszahl r mit 1 ≤ r ≤ q − 1 und berechnet: R = (gr mod p) mod q. (b) Lösen der Kongruenz Es ist die Lösung der folgenden Kongruenz für die Variable s zu finden: K ≡r·s−x·R
(mod q)
Dazu wird mit Hilfe des erweiterten euklidischen Algorithmus2247 die Inverse r −1 zu r (mod q) ermittelt und dann s = (K + x · R) · r −1
(mod q)
berechnet. 4. Signatur Die digitale Signatur der Nachricht K besteht aus dem Paar (R, s). 5. Verifikation der Signatur Der Empfänger kann die digitale Signatur wie folgt kontrollieren: (a) er prüft, dass gilt: 1 ≤ R ≤ q − 1 und 1 ≤ s ≤ g − 1 2246 Zur Generatoreigenschaft siehe bereits Abschnitt (2) auf Seite 461. 2247 Siehe Abschnitt aa) auf Seite 502.
486
Anhang C Kryptologischer Hintergrund
(b) er berechnet: w u1 u2 v
= s−1 (mod q) = w · K (mod q) = w · R (mod q) = (g u1 · X u2 mod p) mod q
Wenn v = R ist, wurde die Signatur erfolgreich verifiziert. b)
Sicherheit des Elgamal-Signaturverfahrens
Es ist kein Verfahren bekannt, das effektiver aus der im DSA-Verfahren verwendeten kleineren Untergruppe der Ordnung q innerhalb der primen Restklassengruppe Z∗p schneller den diskreten Logarithmus berechnen könnte als in der gesamten Gruppe Z∗p .2248 Ansonsten gilt das zur Sicherheit des Elgamal-Signaturverfahrens Gesagte (etwa zur Notwendigkeit des Vorschaltens einer Hashfunktion).2249 IV. 1.
Kryptologische Hashfunktionen
Überblick über die Funktionsweise von Hashfunktionen
Hashfunktionen verarbeiten eine Nachricht von beliebiger Eingabe-Länge zu einem Hash-Wert fester Ausgabe-Länge.2250 Typische Größen für Hash-WertLängen liegen im Bereich zwischen 128 und 512 Bit.2251 Sie sind damit auch Kompressionsfunktionen.2252 Kryptologische Hashfunktionen sind zwingend Einwegfunktionen2253, d.h. aus der Eingabe-Nachricht lässt sich der Hash-Wert einfach berechnen, aus dem Hash-Wert umgekehrt aber nicht effizient die EingabeNachricht.2254 Hashfunktionen sind in der Regel schlüsselunabhängig. Dann oft als Modification Detection Codes (MDC) bezeichnet.2255 Der Hash-Wert zu einer Nachricht kann also von jedem berechnet werden.2256 Durch die Voraussetzung der festen Ausgabe-Länge (bei beliebiger Eingabe-Länge) und damit der Tatsache, dass die Eingabeseite unendlich groß, die Ausgabeseite 2248 2249 2250 2251 2252 2253 2254 2255 2256
Buchmann, Einführung in die Kryptographie, S. 217 f. Vergleiche Abschnitt b) auf Seite 483. Schneier, Angewandte Kryptographie, S. 491. Schmeh, Kryptografie, S. 210. Schneier, Angewandte Kryptographie, S. 493. Siehe Abschnitt aa) auf Seite 437. Ertel, Angewandte Kryptographie, S. 100. Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 338. Swoboda/Spitz/Pramateftakis, Kryptographie und IT-Sicherheit, S. 95.
IV. Kryptologische Hashfunktionen
487
aber von endlicher Menge ist, gibt es notwendigerweise Kollisionen, d.h. verschiedene Eingabe-Nachrichten, die den gleichen Ausgabe-Hash-Wert erzeugen. Aus Sicherheitsgründen müssen daher kryptologische Hashfunktionen in der Regel noch zwei weitere Eigenschaften aufweisen. Sie müssen schwach und stark kollisionsresistent sein. Schwach kollisionsresitent meint die Eigenschaft, dass es keinen effizienten Algorithmus gibt, bei vorgegebener Eingabe-Nachricht eine weitere Nachricht zu berechnen, die den selben Hash-Wert erzeugt (Preimage-Angriff). Stark kollisionsresistent bedeutet, dass es grundsätzlich nicht effizient möglich ist, zwei (beliebige) Eingabe-Nachrichten zu finden, die den selben Hash-Wert erzeugen. Besitzt eine Hashfunktion die Eigenschaft starker Kollisionsresistenz ist sie auch schwach kollisionsresistent.2257 2.
Allgemeine Sicherheitsaspekte von Hashfunktionen
Das in der Natur der Sache liegende Risiko aller Hashfunktionen besteht darin, dass ein Angreifer in der Lage ist Kollisionen zu finden. Denn dann könnte er im schlimmsten Fall die Integrität von Nachrichten/Daten sowie die Authentizität mittels digitaler Signaturen vortäuschen. Versucht ein Angreifer nur zwei (beliebige) Eingabe-Werte zu finden, die den gleichen Hash-Wert bilden (schwache Kollisionsresistenz) so spricht man von einem Geburtstagsangriff.2258 Die Wahrscheinlichkeit eine Kollision zu finden n liegt dann bei mehr als 50 %, wenn der Angreifer in der Lage ist etwas mehr als 2 2 Hash-Werte zu berechnen und zu vergleichen. Um diesen zwangsläufigen Angriff zu verhindern muss der Hash-Wert ausreichend groß gewählt werden. Man geht momentan von Werten größer als 160 Bit aus.2259 Beim Substitutionsangriff werden alle Varianten gesucht, die die ursprüngliche Nachricht derart ersetzen, dass der Sinn/Ziel des Inhalts gleich bleibt. Von diesen Varianten werden anschließend Hash-Werte erzeugt, in der Hoffnung, dass einer dieser Hash-Werte identisch mit dem originalen Hash-Wert ist. Ist die Anzahl der Varianten größer als der Hash-Wert selbst, ist die Wahrscheinlichkeit eines Erfolges sehr groß. Der Substitutionsangriff funktioniert ebenso bei allen Hashfunktionen. Begegnen lässt sich auch ihm nur durch die Erzeugung eines ausreichend großen Hash-Wertes.2260 Weil eine Hashfunktion in der Regel schlüsselunabhängig ist und deshalb die gleiche Hashfunktion zum gleichen Eingabe-Wert immer einen identischen Hash-Wert erzeugt, besteht noch ein weiteres grundsätzliches Problem. Findet ein Angreifer 2257 Zum Ganzen: Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 179; Swoboda/Spitz/Pramateftakis, Kryptographie und IT-Sicherheit, S. 96 f. 2258 Benannt nach dem berühmten mathematischen Beispiel vom Geburtstagsparadoxon. 2259 Hierzu: Buchmann, Einführung in die Kryptographie, S. 193. 2260 Zum Ganzen: Schmeh, Kryptografie, S. 211 f.
488
Anhang C Kryptologischer Hintergrund
Kollisionen, kann er sie speichern und sammeln. Dafür wird eine riesige Menge an Speicher benötigt, auch wenn der Speicherbedarf der Tabellen durch verschiedene Möglichkeiten verringert werden kann (Regenbogentabellen). Sinn macht dieser Angriff aber nur, wenn sich die Menge der Eingabe-Werte begrenzen lässt, etwa bei einem Wörterbuch-Angriff auf Passwörter. Entgegengewirkt wird auch diesem Angriff durch einen möglichst großen Hash-Wert sowie durch das anhängen einer (bekannten) zufälligen Zeichenfolge an den Eingabe-Wert (Salt).2261 3. Wichtige (eigenständige) Hashfunktionen Kryptologischen Hashfunktionen lassen sich grundsätzlich in drei Arten unterteilen: Blockchiffren-basierte Hashfunktionen, Hashfunktionen auf Basis modularer Arithmetik und eigenständige Hashfunktionen.2262 Zum Einsatz kommen in der Regel letztere, denn erstere erzeugen entweder zu kurze (unsichere) HashWert-Längen oder weisen die schwächere Geschwindigkeits-Performance auf als eigenständige Hashfunktionen,2263 und bisher entwickelte zweitere gelten aus verschiedenen Gründen als unsicher. Daher soll sich hier nur (zumindst kurz) mit den eigenständigen Hashfunktionen befasst werden. Diese basieren auf den schon bekannten XOR-Verknüpfungen, Rotationen und Zeilenverschiebungen von bitweisen Zeichenketten.2264 a)
MD5
Mit MD5 2265 wird die 1991 veröffentlichte Weiterentwicklung von MD4 bezeichnet. Beide Hasfunktionen sind Kreationen von Ron Rivest. MD5 ist teilweise noch weit verbreitet, obwohl es mittlerweile als unsicher gilt. Zum einen beträgt die Hash-Wert-Länge nur 128 Bit,2266 zum anderen sind inzwischen Verfahren entwickelt worden mit denen sich in sehr kurzer Zeit Kollisionen für MD5 berechnen lassen, auch wenn ein Preimage-Angriff2267 noch nicht publik geworden ist.2268 b)
SHA-Familie
Unter Secure Hash Algorithm (SHA) werden verschiedene standardisierte kryptologische Hashfunktionen zusammengefasst. SHA-1 wurde von der NSA2269 Dazu: Schmeh, Kryptografie, S. 215 ff. Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 338. Schmeh, Kryptografie, S. 238. Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 185. Message Digest 5. Zur grundsätzlichen Gefahr kleiner Hash-Werte siehe Abschnitt 2. auf der vorherigen Seite. 2267 Siehe Abschnitt 2. auf der vorherigen Seite. 2268 Hierzu: Katz/Lindell, Introduction to Modern Cryptography, S. 137; Schmeh, Kryptografie, S. 223 f. 2269 National Security Agency.
2261 2262 2263 2264 2265 2266
IV. Kryptologische Hashfunktionen
489
konstruiert und 1993 vom US-amerikanischen NIST2270 als FIPS2271 standardisiert. Auch SHA-1 basiert vom Prinzip her auf MD4 und ist die heute am weitesten verbreitetste Hashfunktion. Aber auch für SHA-1 sind inzwischen Verfahren bekannt um Kollisionen effektiv genug berechnen zu können (Geburtstags-Angriffe mit nur 263 Versuchen2272). 2000 wurden deshalb vom NIST drei weitere Varianten namens SHA-256, SHA-384 und SHA-512 mit deutlich längeren Ausgabe-HashWerten veröffentlicht.2273 2012 wurde als Sieger eines vom NIST ausgeschriebenen Wettbewerbes zur Suche eines Nachfolgers die Hashfunktion Keccak ausgerufen, um als SHA-3 standardisiert zu werden.2274 Die Länge des Hash-Wertes von Keccak kann frei gewählt werden.2275 c)
RIPEMD-160
Die Hashfunktion RIPEMD-1602276 generiert Hash-Werte der Länge 160 Bit. Sie wurde als Nachfolger von RIPEMD von Dobbertin, Bosselaers und Preneel im Rahmen eines EU-Projektes entwickelt und 1996 vorgestellt. RIPEMD-160 hat ebenfalls seine Wurzel in MD4 Es sind aber bisher keine Methoden bekannt mit denen sich effektiv Kollisionen berechnen lassen. Von den Angriffen auf SHA-1 und MD5 ist RIPEMD-160 noch nicht betroffen.2277 4.
Message Authentication Codes (MAC)
Hashfunktionen können auch das Ziel haben Aussagen über die Authentizität des Urhebers zu treffen.2278 Man spricht in diesem Zusammenhang in Abgrenzung von den Modification Detection Codes (MDC) von Message Authentication Codes (MAC).2279 Der Hash-Wert wird dazu unter Einbeziehung eines symmetrischen Schlüssels erzeugt und kann nur von den Inhabern des symmetrischen Schlüssels berechnet werden (schlüsselabhängige Hashfunktion).2280 Vom Prinzip her handelt es sich damit um digitale Signaturen, denen als Basis kein asymmetrischer Algorithmus, sondern eine symmetrische Chiffre dient.2281 Mit dem Ergebnis, 2270 2271 2272 2273 2274 2275 2276 2277 2278 2279 2280 2281
National Institute of Standards and Technology. Federal Information Processing Standard. Swoboda/Spitz/Pramateftakis, Kryptographie und IT-Sicherheit, S. 105. Zum Ganzen: Schmeh, Kryptografie, S. 218 ff; Katz/Lindell, Introduction to Modern Cryptography, S. 137; Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 352 ff. https://csrc.nist.gov/projects/hash-functions/sha-3-project (Stand: Dezember 2017). https://keccak.team/index.html (Stand: Dezember 2017). RACE Integrity Primitives Evaluation Message Digest. Hierfür: http://homes.esat.kuleuven.be/~bosselae/ripemd160.html (Stand: Dezember 2017); Schmeh, Kryptografie, S. 224 ff. Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 357. Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 352. Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 189. Ertel, Angewandte Kryptographie, S. 115.
490
Anhang C Kryptologischer Hintergrund
dass nicht jedermann, sondern eben nur die Schlüsselinhaber die Authentizität verifizieren kann. Verwendet man statt einer symmetrischen Chiffre eine kryptologische Hashfunktion um die schlüsselabhängige Hashfunktion zu konstruieren spricht man von Hash-based Message Authentication Code (HMAC).2282
2282 Schmeh, Kryptografie, S. 241.
Anhang D Mathematische Grundlagen und Zeichenkodierung Einige grundlegende mathematische Tatsachen, die an verschiedensten Stellen immer wieder benötigt werden, sollen hier kurz zusammenfassend erläutert werden. Sie bilden die mathematischen Voraussetzungen, um die Funktionsweise und das Prinzip der verschiedensten Kryptosysteme nachvollziehen zu können. Mit diesem Wissen als Basis lässt sich die Sicherheit und Überwachbarkeit der unterschiedlichsten Kryptosysteme innerhalb der einzelnen Verschlüsselungsanwendungen beurteilen. I.
Mathematische Grundlagen
1.
Natürliche und ganze Zahlen
In den verschiedenen kryptographischen Verfahren spielen die ganzen Zahlen und ihre Eigenschaften in bestimmten Zahlenräumen eine wesentliche Rolle. Sie werden daher im Folgenden vorab definiert. N bezeichnet die Menge der natürlichen Zahlen. Sie werden auch als nichtnegative ganze Zahlen bezeichnet.2283 N = {0, 1, 2, 3, 4, . . .} Z umfasst die Menge der ganzen Zahlen. Z = {. . . , −2, −1, 0, 1, 2, 3, . . .} Sie erweiterten die natürlichen Zahlen um ihre additiven Inverse, also um all jene Zahlen, die zu a ∈ N addiert das neutrale Element 0 ergeben.2284 Beispiel: 3 + (−3) = 0 = (−3) + 3 2283 Bronstein, Taschenbuch der Mathematik, S. 1. 2284 Ebd. vgl. Fußnote 2283.
492
Anhang D Mathematische Grundlagen und Zeichenkodierung
2.
Gruppen und Körper a)
Gruppen
In der Mathematik bezeichnet man als Gruppe eine Menge von Elementen für die folgende Voraussetzungen gelten:2285 • Es ist eine Verknüpfung definiert Man kann zwei Elemente einer Gruppe miteinander verknüpfen (z.B. durch Addition) und erhält wieder ein Element der Gruppe (Abgeschlossenheit). Die Reihenfolge der Verknüpfung muss beliebig sein können (sie muss assoziativ sein).2286 • Es gibt ein neutrales Element Bei Verknüpfung eines beliebigen Elementes der Gruppe mit dem neutralen Element ergibt sich wieder das Ausgangselement. • Es gibt ein inverses Element Verknüpft man ein Element der Gruppe mit seinem inversen Element so erhält man das neutrale Element der Gruppe. Als Beispiel möge die Menge der ganzen Zahlen bezüglich der Verknüpfung Addition dienen (mit 0 als neutralem Element und −x zu jeder Zahl x als inverses Element).2287 Gilt zusätzlich das Kommutativgesetz (die Elemente bei einer Verknüpfung können vertauscht werden)2288 spricht man von einer abelschen Gruppe.2289 Eine Gruppe ist endlich, wenn sie eine endliche Anzahl von Elementen enthält. Die Anzahl der endlichen Elemente dieser Gruppe nennt man Ordnung der (endlichen) Gruppe.2290 Sind in einer Menge die Elemente nur assoziativ verknüpft (ohne neutrales und inverses Element) bezeichnet man sie als Halbgruppe.2291 2285 Zu den Voraussetzungen siehe Bronstein, Taschenbuch der Mathematik, S. 309 und Schmeh, Kryptografie, S. 165 f. 2286 Bronstein, Taschenbuch der Mathematik, S. 296. 2287 Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 75. 2288 Bronstein, Taschenbuch der Mathematik, S. 296. 2289 Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 75. 2290 Ebd., vgl. Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 75. 2291 Bronstein, Taschenbuch der Mathematik, S. 308.
I. Mathematische Grundlagen
493
Das inverse Element ist für die Kryptologie von entscheidender Bedeutung,2292 weil es sicher stellt, dass mit der Entschlüsselung des Geheimtextes der Klartext und die darin enthaltenen Informationen wieder lesbar werden.2293 b)
Ringe
Eine Menge mit den zwei Verknüpfungen Addition und Multiplikation für die gilt, dass sie hinsichtlich der additiven Verknüpfung eine abelsche Gruppe, hinsichtlich der multiplikativen Verknüpfung nur eine Halbgruppe bilden, und die Distributivgesetze2294 gelten, bezeichnet man als Ring.2295 Hat der Ring ein neutrales Element so heißt er Ring mit Einselement.2296 c)
Körper
Bildet der Ring bezüglich der multiplikativen Verknüpfung auch eine abelsche Gruppe (ausgenommen der Null) spricht man von einem Körper (engl. field2297).2298 Und genau darin liegt die besondere Bedeutung des Körpers für die Kryptologie.2299 Denn die Gruppeneigenschaft bzgl. der Multiplikation bedeutet, dass es in dieser Menge zu jedem Element auch in Bezug auf die Multiplikationsverknüpfung ein inverses Element gibt, die multiplikative Inverse,2300 die, sei nochmals betont, sicherstellt, dass sich der ursprüngliche Klartext (eindeutig) aus dem Geheimtext ergibt.2301 Enthält der Körper eine endliche Anzahl von Elementen ist es ein endlicher Körper.2302 Ein endlicher Körper wird auch als Galois-Feld bezeichnet.2303 Jede multiplikative Gruppe eines endlichen Körpers ist auch zyklisch.2304 Diese Eigenschaft ist deshalb für die Kryptologie wichtig, weil sie garantiert, dass die Verschlüsselungsoperation effizient durchgeführt und dabei die Zahlen klein gehalten werden können. 2292 Paar/Pelzl, Understanding Cryptography, S. 160. 2293 Zur genauen Bedeutung (insbesondere) des multiplikativen inversen Elementes siehe Abschnitt 3. auf der nächsten Seite 2294 a · (b + c) = (a · b) + (a · c); (b + c) · a = (b · a) + (c · a). 2295 Bronstein, Taschenbuch der Mathematik, S. 323; Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 76 f. 2296 Bronstein, Taschenbuch der Mathematik, S. 323. 2297 Koblitz, Algebraic Aspects of Cryptography, S. 53. 2298 Bronstein, Taschenbuch der Mathematik, S. 323. 2299 Stallings, Cryptography and Network Security, S. 104 und 117. 2300 Beutelspacher/Schwenk/Wolfenstetter, Moderne Verfahren der Kryptographie, S. 123. 2301 Ertel, Angewandte Kryptographie, S. 175. Zur genauen Bedeutung (insbesondere) des multiplikativen inversen Elements siehe sogleich Abschnitt 3. auf der nächsten Seite 2302 Menezes/Vanstone/Oorschot, Handbook of Applied Cryptography, S. 80. 2303 Kurzweil, Endliche Körper: Verstehen, Rechnen, Anwenden, S.13. 2304 Bronstein, Taschenbuch der Mathematik, S. 325.
494
Anhang D Mathematische Grundlagen und Zeichenkodierung
3.
Die multiplikative Inverse
Das zu einem Element der Menge inverse Element hinsichtlich der Verknüpfung Multiplikation (multiplikative Inverse) ermöglicht es, dass der Verschlüsselungsprozess umkehrbar und nach Durchlaufen der Entschlüsselungoperationen wieder der ursprüngliche Klartext lesbar ist.2305 Bei Verknüpfung eines beliebigen Elementes mit seinem inversen Element innerhalb einer bestimmten Menge erhält man das neutrale Element dieser Menge. In der Kryptologie spielen endliche Körper, wie schon erwähnt, eine große Rolle. In solch einem Körper ist das neutrale Element im Bezug auf die Verknüpfung Multiplikation als 1 definiert (im Gegensatz zur Verknüpfung Addition, dort ist das neutrale Element 0). Das bedeutet, dass sich bei Multiplikation von einem Element und seinem inversen Element immer 1 ergibt. Als Beispiel mag die vertraute Division im Bereich der Arithmetik im Körper der rationalen Zahlen2306 dienen. Sei 3 ein Element der rationalen Zahlen so ist 1 1 3 seine multiplikative Inverse, denn 3 · 3 = 1. In der Arithmetik lässt sich die multiplikative Inverse also durch Division des Elementes (als Umkehroperation der Multiplikation) durch das neutrale Element berechnen. In anderen Strukturen muss sie allerdings auf gänzlich andere Art und Weise berechnet werden.2307 Die Bedeutung der multiplikativen Inversen für die Kryptologie erkennt man, wenn man zum Beispiel, stark vereinfacht, den Verschlüsselungsprozess als Multiplikation des Klartextes (nach Transformierung des Klartextes in eine Dezimalzahl) mit einem Element einer bestimmten Menge begreift. Das Ergebnis ist der Geheimtext. Multipliziert man nun den Geheimtext wiederum mit der multiplikativen Inversen, so heben sich Element und inverses Element gegenseitig auf und es ergibt sich das neutrale Element 1 multipliziert mit dem Klartext, und damit wieder, wie gewünscht, der ursprüngliche Klartext. 4.
Teilbarkeit und Primzahlen a)
Teiler
Wenn a und b ganze Zahlen sind, so heißt a ∈ Z Teiler von b, wenn ein q ∈ Z existiert für das gilt: q·a=b Wobei a , 0 sein muss.2308 Man schreibt für a teilt b:
a | b.
2305 Bartholomé/Rung/Kern, Zahlentheorie für Einsteiger, S. 77. 2306 Koblitz, Algebraic Aspects of Cryptography, S. 53. 2307 Zur Berechnung der multiplikativen Inversen im Bereich der Modulo-Rechnung beim RSA-Algorithmus siehe Abschnitt bb) auf Seite 502. 2308 Bundschuh, Einführung in die Zahlentheorie, S. 3,4.
I. Mathematische Grundlagen
b)
495
Größter gemeinsamer Teiler
Zwei ganze Zahlen haben immer einen gemeinsamen Teiler, und zwar 1. Die Menge der gemeinsamen Teiler ist also niemals leer. Gleichzeitig ist sie nach oben durch eine (bei natürlichen Zahlen durch die kleinere) der beiden Zahlen beschränkt und damit endlich. Es kann also immer ein größter gemeinsamer Teiler (ggT)bestimmt werden.2309 Als größten gemeinsamen Teiler zweier ganzer Zahlen a und b wird eine natürliche Zahl g bezeichnet für die gilt2310: 1. g | a und g | b, 2. g ist die größte Zahl mit dieser Eigenschaft. Oder anders ausgedrückt ist jede ganze Zahl m, die a und b teilt auch ein Teiler von g. Man schreibt: g =: ggT(a, b). Beispiele: ggT(9, 24) = 3, ggT(−9, 24) = 3 Gibt es keine andere natürliche Zahl außer 1, die beide Zahlen teilt, ist also der größte gemeinsame Teiler beider Zahlen 1, dann bezeichnet man die Zahlen als teilerfremd.2311 c)
Die Euler’sche φ-Funktion
Diese Funktion ordnet jeder natürlichen Zahl n die Anzahl ϕ(n) aller natürlichen Zahlen zu, die zu n teilerfremd und nicht größer als n sind. Bei ϕ(n) handelt es sich also um alle Zahlen m für die gilt: m ∈ N mit m ≤ n und ggT (n, m) = 1.2312 d)
Primzahlen
Von einer Primzahl spricht man, wenn eine Zahl p ∈ N mit p > 1 die Eigenschaft hat, dass sie als Teiler in der Menge der natürlichen Zahlen nur 1 und p (sich selbst) besitzt.2313 Beispiel: p = 7 ist eine Primzahl, da nur a = 9 ist keine Primzahl, da 2309 2310 2311 2312 2313
1 | 7 und 7 | 7 1 | 9 und 9 | 9, aber auch 3 | 9.
Bartholomé/Rung/Kern, Zahlentheorie für Einsteiger, S. 35. Beutelspacher/Schwenk/Wolfenstetter, Moderne Verfahren der Kryptographie, S. 119. Bundschuh, Einführung in die Zahlentheorie, S. 19. Riss/Schmieder, Basiswissen Zahlentheorie, S. 210. Bronstein, Taschenbuch der Mathematik, S. 331.
496
Anhang D Mathematische Grundlagen und Zeichenkodierung
e) Die Euler’sche φ-Funktion und Primzahlen Aus ihrer Definition folgend haben alle Primzahlen p die folgenden Euler’schen Funktionswerte (als Anzahl der zu p teilerfremden Zahlen):2314 ϕ(p) = p − 1 Bsp.: ϕ(7) = 6 die zu 7 teilerfremden Zahlen sind: 6, 5, 4, 3, 2, 1 Sind p und q zwei verschiedene Primzahlen dann gilt für den Euler’schen Funktionswert des Produktes der beiden Primzahlen:2315 ϕ(p · q) = (p − 1) · (q − 1) Bsp.:
ϕ(7 · 11) = 6 · 10 ϕ(77) = 60 f)
Primfaktorzerlegung
Jede natürliche Zahl a mit a , 1 kann als Produkt endlich vieler Primzahlen dargestellt werden und diese Darstellung ist eindeutig, wenn man diese Primzahlen (die Primfaktoren) der Größe nach ordnet.2316 Oder anders ausgedrückt unterscheiden sich für eine einzige natürliche Zahl die verschiedenen Primfaktorzerlegungen lediglich durch die Reihenfolge der Faktoren (ansonsten ist sie eindeutig). Beispiel: 360 = 2 · 2 · 2 · 3 · 3 · 5 361 = 19 · 19 5500 = 2 · 2 · 5 · 5 · 5 · 11 Üblicherweise werden die mehrfach vorkommenden Primfaktoren zu Potenzen zusammengefasst. Man spricht dann von kanonischer Primfaktorzerlegung. Beispiel: 360 = 23 · 32 · 5 361 = 192 5500 = 22 · 53 · 11 2314 Ziegenbalg, Elementare Zahlentheorie, S. 89. 2315 Wobst, Abenteuer Kryptologie, S. 160. 2316 Bundschuh, Einführung in die Zahlentheorie, S. 7.
I. Mathematische Grundlagen
497
Mit Hilfe der Primfaktorzerlegung lässt sich einfach der größte gemeinsame Teiler zweier Zahlen berechnen. Dazu multipliziert man die in beiden Zerlegungen vorkommenden Primfaktoren unter Verwendung des jeweils kleineren der beiden Exponenten.2317 Beispiel: 360 = 23 · 32 · 5 5500 = 22 · 53 · 11 ggT(360, 5500) = 22 · 5 = 20 Es existiert jedoch kein schneller effektiver Algorithmus um die Primfaktorzerlegung einer Zahl zu bestimmen.2318 Daher ist die Primfaktorzerlegung einer großen Zahl nur sehr schwer zu bestimmen.2319 Diese Tatsache spielt für die Kryptographie (präziser: für bestimmte kryptographische Algorithmen) eine tragende Rolle. Daher wird hierauf noch häufiger einzugehen sein. 5. a)
Modulare Arithmetik Division mit Rest
Rechnet man ausschließlich mit ganzen Zahlen, so bleibt bei der Division von b durch a mit b ≥ 1 für für den Fall das b kein Teiler von a ist (also b - a) ein Rest übrig. Das heißt es gibt eindeutig bestimmte Zahlen q und r mit den Eigenschaften2320: a = q·b+r
und 0 ≤ r < b
Beispiel für a = 43 und b = 10 (mit Rest) bzw. für a = 27 und b = 9 (ohne Rest): 43 = 4 · 10 + 3 und 0 ≤ 3 < 10 27 = 3 · 9 + 0 und 0 ≤ 0 < 9 Da r eindeutig ist kann man einen Operator (oder eine Funktion) definieren, der a und b den Rest r zuordnet.2321 Dieser wird „Modulo“ genannt und mit „mod“ 2317 2318 2319 2320 2321
Riss/Schmieder, Basiswissen Zahlentheorie, S. 126. Padberg, Elementare Zahlentheorie, S. 33. Ebd. vgl. Fußnote 2318. Meinel/Mundhenk, Mathematische Grundlagen der Informatik, S. 302. Beutelspacher/Schwenk/Wolfenstetter, Moderne Verfahren der Kryptographie, S. 120.
498
Anhang D Mathematische Grundlagen und Zeichenkodierung
abgekürzt. Man schreibt: a mod b : = r 43 mod 10 = 3 −47 mod 10 = 3 denn: (−5) ∗ 10 + 3 = −47 27 mod 9 = 0 b)
Kongruenzen
In der Zahlentheorie spricht man von einer Kongruenzrelation, wenn zwei Zahlen a und c bei Division durch das identische Modul b jeweils den gleichen Rest ergeben,2322 a und c sind dann zueinander kongruent. Beispiel: 43 mod 10 = 3 53 mod 10 = 3 Man schreibt a ist kongruent c modulo b: a ≡ c (mod b) 43 ≡ 53 (mod 10) Dabei gilt2323: a ≡ c (mod b) ⇔ a mod b = c mod b ⇔ a − c mod b = 0 43 ≡ 53 (mod 10) ⇔ 43 mod 10 = 3 = 53 mod 10 ⇔ −10 mod 10 = 0 Das Besondere an Kongruenzrelationen ist, dass mit ihnen weitgehend wie mit Gleichungen gerechnet werden kann.2324 Denn bei der Kongruenzrelation handelt es sich (bei identischem Modul) auch um eine Äquivalenzrelation.2325 Es gelten also die gleichen Rechenregeln wie bei Gleichheistrelationen (also bei „normalen“ Gleichungen).2326 Beispielsweise gilt: a ≡ c mod b und d ≡ e mod b 43 ≡ 53 mod 10 und 2 ≡ 32 mod 10 2322 2323 2324 2325 2326
⇒ ⇒
a + d ≡ c + e mod b 45 ≡ 85 mod 10
Ebd. vgl. Fußnote 2321 auf der vorherigen Seite. Vgl. Fußnote 2321 auf der vorherigen Seite. Bundschuh, Einführung in die Zahlentheorie, S. 78. Bronstein, Taschenbuch der Mathematik, S. 337. Beutelspacher/Schwenk/Wolfenstetter, Moderne Verfahren der Kryptographie, S. 120.
I. Mathematische Grundlagen
c)
499
Restklassen, Restklassengruppe, Restklassenring
Alle ganzen Zahlen, die bei der Division durch b den gleichen Rest lassen wie a bilden eine eigene Restklasse, nämlich eine Restklasse mod b.2327 Die Restklasse von 3 mod 10 ist die Menge aller Zahlen, die bei Division durch 10 den Rest 3 ergeben: [3] := {. . . , −17, −7, 3, 13, 23, 33, 43, 43, 53, . . .} Am einfachsten lässt sich das Prinzip der Restklassen anhand des Rechnens im Zusammenhang mit einer Uhr veranschaulichen. Beginnt man eine 16-stündige Reise um 17 Uhr, so gelangt man 9 Uhr an seinem Ziel an. 16 + 17 ist in diesem Kontext also nicht 33, sondern 9. Würde man die Reise dannach um weitere 20 Stunden fortsetzen, erreichte man sein Ziel 5 Uhr. 16 + 17 + 20 wäre somit 5 und nicht 53. Die einzelnen vollen Stunden entsprechen dem Rest bei der Division durch das (feste) Modul 24.2328 16 + 17 = 33 9 + 20 = 29 16 + 17 + 20 = 53
⇒ ⇒ ⇒
33 mod 24 = 9 29 mod 24 = 5 53 mod 24 = 5
Die Summe der zusammengerechneten Stunden, die dann jeweils die gleiche Uhrzeit ergeben, bilden also jeweils eine Restklasse mod 24. Für jedes Modul b gibt es genau b verschiedene Restklassen. Nämlich die Menge der Zahlen die jeweils die Reste 0, 1, ... , b − 1 ergeben: [0]b , [1]b , [2]b , ... , [b − 1]b .2329 Eine Restklasse mod b, in dem jedes Element der Restklasse zu b teilerfremd ist (z.B. alle Elemente die bei Division durch 8 den Rest 72330 lassen) wird prime Restklasse mod b genannt. Es gibt genau ϕ(b) verschiedene prime Restklassen mod b. Liegt der Sonderfall vor, dass es sich bei b um eine Primzahl p handelt, sind nun alle Restklassen mod p (außer der Restklasse [0] p ) prime Restklassen. Denn es gilt: ϕ(p) = p − 1.2331 Anders ausgedrückt gibt es insgesamt p verschiedene Restklassen mod p, alle Restklassen außer [0] p sind prim, also gibt es p − 1 verschiedene prime Restklassen mod p.2332 2327 Riss/Schmieder, Basiswissen Zahlentheorie, S. 173. 2328 Vgl. zum Ganzen: Meinel/Mundhenk, Mathematische Grundlagen der Informatik, S. 298f. 2329 Bronstein, Taschenbuch der Mathematik, S. 337. 2330 D.h. [7]8 ist eine prime Restklasse mod 8. 2331 Siehe Abschnitt e) auf Seite 496. 2332 Bundschuh, Einführung in die Zahlentheorie, S. 86.
500
Anhang D Mathematische Grundlagen und Zeichenkodierung
Alle primen Restklassen mod b zusammen bilden bezüglich der (Restklassen-) Multiplikation eine abelsche Gruppe,2333 die prime Restklassengruppe mod b2334, oft mit Z∗b bezeichnet. Das bedeutet wiederum, dass es zu den Elementen dieser Gruppe jeweils multiplikative Inverse gibt.2335 Anders formuliert bilden die primen Restklassen innerhalb der Restklassen mod b eine multiplikative (Unter-)Gruppe der Mächtigkeit ϕ(b) (mit der hier besonders hervorzuhebenden Eigenschaft, dass es innerhalb dieser multiplikativen Gruppe zu jedem Element eine multiplikative Inverse gibt). Genau deshalb ist die multiplikative Gruppe Z∗b bestehend aus den primen Restklassen mod b (die prime Restklassengruppe mod b) von so großer Bedeutung für die Kryptologie, denn nur innerhalb dieser Gruppe gibt es zu jedem Element ein inverses Element das garantiert, dass nach Verschlüsselungs- und Entschlüsselungsoperation wieder der ursprüngliche Klartext ausgegeben wird.2336 Nochmals zusammenfassend kann festgehalten werden, dass die verschiedenen Restklassen mod b bezüglich der Addition und Multiplikation untereinander nur einen Restklassenring bilden. Innerhalb dieses Restklassenringes bilden die primen Restklassen eine multiplikative Gruppe der Mächtigkeit ϕ(b). Ist b aber eine Primzahl ist der Restklassenring sogar ein Körper2337 und es gibt zu jedem einzelnen (von 0 verschiedenen) Element ein multiplikatives Inverses. d)
Euklidischer Algorithmus
Der euklidische Algorithmus macht sich die Modulo-Rechnung zunutze, um für zwei natürliche Zahlen sehr effizient den größten gemeinsamen Teiler zu berechnen ohne dabei auf die Primfaktorzerlegung2338 zurückgreifen zu müssen.2339 Die Grundlage dafür bildet Feststellung, dass ein gemeinsamer Teiler von a und b auch ein Teiler des Restes r ist. Für a = q · b + r mit a, b, q, r ∈ Z gilt:2340 ggT(a, b) = ggT(b, a mod b) = ggT(b, r), falls a mod b , 0 und ggT(a, b) = b, falls a mod b = 0 2333 Zur Abelschen Gruppe siehe Abschnitt 2. auf Seite 492. 2334 Bronstein, Taschenbuch der Mathematik, S. 338. 2335 Und eben nur dann, wenn es ein Element der primen Restklasse ist, und damit der ggT von Element und Modul 1 ist gibt es ein inverses Element, vgl. Katz/Lindell, Introduction to Modern Cryptography, S. 249 und 255. 2336 Ausführlich zur Bedeutung der multiplikativen Inversen siehe oben bereits Abschnitt 3. auf Seite 494. 2337 Bronstein, Taschenbuch der Mathematik, S. 337. Vergleiche zu Ringen und Körpern auch Abschnitt 2. auf Seite 492. 2338 Dazu Abschnitt f) auf Seite 496. 2339 Bronstein, Taschenbuch der Mathematik, S. 333. 2340 Meinel/Mundhenk, Mathematische Grundlagen der Informatik, S. 312.
I. Mathematische Grundlagen
501
Das Grundprinzip folgt also dem Gedanken, dass bei der Suche nach dem größten gemeinsamen Teiler von a und b, das Ausgangszahlenpaar (a, b) durch ein einfacheres (kleiners) Zahlenpaar ersetzt wird. Nämlich durch die kleinere der beiden Zahlen und den Rest. Der größte gemeinsame Teiler dieser beiden Zahlen ist der gleiche wie der größte gemeinsame Teiler des Ausgangszahlenpaares. Dieser Schritt wird so lange wiederholt bis man den größten gemeinsamen Teiler direkt erhält.2341 Denn wenn sich der Rest 0 ergibt, ist der gefundene Teiler der größte gemeinsame Teiler aller vorhergehenden Zahlenpaare. Beispiel 1: ggT(360, 5500) = 5500 = 15 · 360 + 100 ggT(360, 100) = 360 = 3 · 100 + 60 ggT(100, 60) = 100 = 1 · 60 + 40 ggT(60, 40) = 60 = 1 · 40 + 20 ggT(40, 20) = 40 = 2 · 20 + 0 ggT(40, 20) = 20 ggT(40, 20) = ggT(60, 40) = . . . = ggT(360, 5500) = 20 ggT(360, 5500) = 20 Beispiel 2: ggT(792, 75) = 3, denn: 792 = 10 · 75 + 42 75 = 1 · 42 + 33 42 = 1 · 33 + 9 33 = 3 · 9 + 6 9=1·6+3 6=2·3+0 e)
Vielfachsummendarstellung
Der größte gemeinsame Teiler zweier natürlicher positiver Zahlen a und b kann auch als Summe von Vielfachen von a und b dargestellt werden.2342 Dieser Satz 2341 Riss/Schmieder, Basiswissen Zahlentheorie, S. 127. 2342 Meinel/Mundhenk, Mathematische Grundlagen der Informatik, S. 314.
502
Anhang D Mathematische Grundlagen und Zeichenkodierung
wird häufig als Lemma von Bézout oder Lemma von Bachet (i.d.R. bei ggT = 1) bezeichnet.2343 Für a, b ∈ N; a, b , 0, gibt es ein s und ein t ∈ Z mit der Eigenschaft: ggT(a, b) = s · a + t · b Beispiel: ggT(792, 75) = 3 3 = 9 · 792 + (−95) · 75 3 = 7128 − 7125 3=3 aa)
Erweiterter euklidischer Algorithmus
Möchte man die Vielfachsummendarstellung des größten gemeinsamen Teilers zweier Zahlen bestimmen, so lässt sich mit Hilfe des erweiterten euklidischen Algorithmus s und t berechnen. Dazu wird die Gleichungskette, die bei Berechnung des ggT mit Hilfe des (einfachen) euklidischen Algorithmus entstanden ist von unten nach oben aufgelöst. Denn betrachtet man die vorletzte Gleichung beim euklidischen Algorithmus und stellt die Gleichung nach dem ggT um, hat man bereits eine Vielfachsummendarstellung, nur nicht die gewünschte mit den Ausgangsvariablen a und b. Aus der Vielfachsummendarstellung des ggT im letzten Schritt lässt sich aber die Vielfachsummendarstellung für a und b ableiten. Dazu stellt man die Gleichungen jeweils nach dem Rest um und setzt sie rückwärts Schritt für Schritt ineinander ein ohne die Gleichungen auszurechnen (das würde immer nur 1 = 1 ergeben).2344 Der ggT von 792 und 75 lautet 3, Der erweiterte Euklidische Algorithmus ergibt für s = 9 und für t = −95. Der größte gemeinsame Teiler lässt sich als Vielfachsumme von 792 und 75 also wie folgt darstellen: 3 = −95 · 75 + 9 · 792 bb)
Die multiplikative Inverse modulo einer Zahl
Wie bereits beschrieben ist die multiplikative Inverse von fundamentaler Bedeutung für das Funktionieren bestimmter Algorithmen.2345 Zu klären bleibt, wie sich die multiplikative Inverse im Bereich der Restklassenarithmetik berechnen lässt. 2343 Wolff/Hauck/Küchlin, Mathematik für Informatik und BioInformatik, S. 79. 2344 Vgl. zum Ganzen Beutelspacher, Kryptologie, S. 106. 2345 Siehe oben Abschnitt 3. auf Seite 494 und Abschnitt c) auf Seite 499.
I. Mathematische Grundlagen
503
Betrachtet man zwei teilerfremde Zahlen, also zwei Zahlen deren größter gemeinsamer Teiler 1 ist, so gilt nach dem Satz von der Vielfachsummendarstellung:2346 1= s·a+t ·b
(D.1)
Die Gleichung lässt sich auch folgendermaßen schreiben: (s · a) mod b = 1
(D.2)
Denn wie eingangs2347 beschrieben ist a mod b = r als Division mit Rest wie folgt definiert: a = q · b + r. Die Modulo-Rechnung gibt ja nichts weiter an, als dass das Vielfache einer Zahl (also die Zahl multipliziert mit einem Quotient hier q ∈ Z) addiert mit einem Rest eine andere Zahl ergibt. In Gleichung (D.2) steht somit, dass das Vielfache von b addiert mit 1 gleich s · a ist. Also s · a = t · b + 1 (in dieser Gleichung wird als Quotient t verwendet). Das entspricht Gleichung (D.1) nur unter dem (irrelevanten) Wechsel des Vorzeichens des Quotienten t.2348 Bei der Gleichung der Form (s · a) mod b = m handelt es sich um eine lineare Kongruenz in einer Variablen (Unbekannten) s. Für den hier betrachteten Spezialfall des größten gemeinsamen Teilers ggT (a, b) = 1, also (s · a) mod b = 1 ist die Gleichung lösbar, sie liegt in einer von a bestimmten Restklasse mod b.2349 Für 0 < s < b ist sie eindeutig lösbar.2350 Mit s hat man damit die Inverse von a mod b berechnet,2351 denn durch die Multiplikation von s lässt sich die Multiplikation mit a rückgängig machen.2352 Es kann also festhalten werden, dass es nur im Falle des ggT (a, b) = 1 für s eine eindeutige Lösung der Gleichung (s · a) mod b = 1 mit s als positiver Zahl s < b gibt, und s die multiplikative Inverse bildet. Sie lässt sich mit Hilfe des erweiterten euklidischen Algorithmus aus der Vielfachsummendarstellung bestimmen, denn:2353 in:
1= s·a+t ·b ist a die multiplikative Inverse, für die gilt: (s · a) mod b = 1
2346 Abschnitt e) auf Seite 501. 2347 Abschnitt a) auf Seite 497. 2348 Schüller et al., RSA - Primzahlen zur Verschlüsselung von Nachrichten, S. 16, abrufbar unter: https://www.scai.fraunhofer.de/ (Stand: Dezember 2017); Beutelspacher, Kryptologie, S. 107. 2349 Riss/Schmieder, Basiswissen Zahlentheorie, S. 200. 2350 Schüller et al., RSA - Primzahlen zur Verschlüsselung von Nachrichten, S. 10, vgl. Fußnote 2348. 2351 Bundschuh, Einführung in die Zahlentheorie, S. 84. 2352 Meinel/Mundhenk, Mathematische Grundlagen der Informatik, S. 315. 2353 Beutelspacher, Kryptologie, S. 107.
504
Anhang D Mathematische Grundlagen und Zeichenkodierung
6.
Der kleine Fermat und der Satz von Euler-Fermat a)
Der kleine Satz von Fermat
Für den Fall, dass p eine Primzahl und p kein Teiler von a ∈ Z ist (denn sind diese beiden Voraussetzungen erfüllt, dann ist der ggT (a, p) = 1), gilt:2354 a p−1 ≡ 1 (mod p) Bsp.:
136 ≡ 1 (mod 7) 4826809 = 689544 · 7 + 1
Multipliziert man beide Seiten der Kongruenzrelation mit a: a1 · a p−1 ≡ 1 · a (mod p) a p−1+1 ≡ a (mod p) so erhält man die andere Form des kleinen Satzes von Fermat:2355 a p ≡ a (mod p) Bsp.:
b)
137 ≡ 13 (mod 7) 62748517 = 8964072 · 7 + 13 Der Satz von Euler-Fermat
Der von Euler aufgestellte Satz stellt die allgemein (nicht nur für Primzahlen) gültige Form des kleinen Satzes von Fermat dar.2356 Für n ∈ N und a ∈ Z unter der Voraussetzung, dass a und n teilerfremd sind (ggT(a, n) = 1) lautet er:2357 aϕ(n) ≡ 1 (mod n) Bsp. für a = 15, n = 4 und ϕ(4) = 2 : 152 ≡ 1 (mod 4) 225 = 56 · 4 + 1 Daran, dass wie oben2358 festgestellt der Euler’sche Funktionswert ϕ(p) = p − 1 ist, lässt sich erkennen, dass es sich beim kleinen Fermat lediglich um den Spezialfall des Satzes von Euler-Fermat für Primzahlen handelt. 2354 2355 2356 2357 2358
Hachenberger, Mathematik für Informatiker, S. 188. Meinel/Mundhenk, Mathematische Grundlagen der Informatik, S. 318. Bronstein, Taschenbuch der Mathematik, S. 341. Riss/Schmieder, Basiswissen Zahlentheorie, S. 210. Abschnitt e) auf Seite 496.
I. Mathematische Grundlagen
7.
505
Berechnung großer Potenzen
Verschiedene kryptographische Algorithmen machen die Berechnung großer Potenzen g k notwendig. In der Praxis kann die Potenz k dabei eine Zahl mit 1000 Binärstellen und mehr sein.2359 Versuchte man einen Computer das Ergebnis durch wiederholtes Multiplizieren in der Form g · g · g · · · g · g errechnen zu lassen, müsste man insgesamt (k − 1) Multiplikationen durchführen.2360 Das hieße eine im jeweiligen Algorithmus ohnehin große Zahl ca. 10301 (≈ 21000 ) Mal mit sich selbst zu multiplizieren.2361 Man würde schnell an die Grenze der Leistungsfähigkeit stoßen. Daher ist ein Verfahren notwendig, dass die Anzahl der Rechenschritte deutlich reduziert. Mit dem Square-and-Multiply-Algorithmus schrumpft die Anzahl der Multiplikation in diesem Fall auf 109 (≈ 230 ).2362 a) aa)
Square-and-Multiply-Algorithmus
Allgemein
Der Square-and-Multiply-Algorithmus ersetzt das vollständige Ausmultiplizieren durch Quadrieren und Multiplizieren. Für a = g 4 wird anstelle von a = g · g · g · g folgendes berechnet: q = g · g und a = q · q.2363 Die Anzahl der Multiplikationen reduziert sich von 3 auf 2. Man berechnet also jeweils das Quadrat und multipliziert die Ergebnisse miteinander g, g 2 = g · g, g 4 = g 2 · g 2, g 8 = g 4 · g 4, . . . .2364 Beispiel: 5819 = 2 22
5819 = 58 · 582 · 582
= 58 · 3364 · 33642
22 2
= 58 · 3364 · 113164962
= 58 · 3364 · 1280630817180162 = 58 · 3364 · 16400152899115243850138976256 = 3199866632452173458088315935260672 bb)
Modulo-Rechnung
Für den Bereich der Modulo-Rechnung kann – da das Ergebnis je ein Element aus den Restklassen modulo einer ganzen Zahl ist – der Algorithmus derart verändert 2359 2360 2361 2362 2363 2364
Swoboda/Spitz/Pramateftakis, Kryptographie und IT-Sicherheit, S. 114. Wilke/Küsters, Moderne Kryptographie, S. 144. Swoboda/Spitz/Pramateftakis, Kryptographie und IT-Sicherheit, S. 114. Beutelspacher/Neumann/Schwarzpaul, Kryptografie in Theorie und Praxis, S. 121. Ebd., siehe Fußnote 2362. Ebd., siehe Fußnote 2362.
506
Anhang D Mathematische Grundlagen und Zeichenkodierung
werden, dass nach jedem Schritt eine Restbildung angeschlossen wird.2365 So wird verhindert, dass die verwendeten Zahlen zu groß werden. Beispiel: 5719 mod 77 =
Vorüberlegung:
571 · 572 · 5716 mod 77 = 2
57 · 572 · 578 mod 77 = 22
57 · 572 · 574 mod 77 = 2
22
57 · 572 · 572
mod 77 =
1.
57 mod 77 = 57 (57 = 0 · 77 + 57)
2.
572 mod 77 = 15 (3249 = 42 · 77 + 15)
3.
574 = (572 )2 ≡ 152 mod 77 = 71 (225 = 2 · 77 + 71)
4.
578 = (574 )2 ≡ 712 mod 77 = 36 (5041 = 65 · 77 + 36)
5.
5716 = (578 )2 ≡ 362 mod 77 = 64 (1296 = 16 · 77 + 64) 57 · 572 · 5716 ≡ 57 · 15 · 64 mod 77 = 50 (54720 = 710 · 77 + 50)
6.
5719 mod 77 = 50
Ergebnis: b)
Binäre Modulo-Exponentiation
Der Square-and-Multiply-Algorithmus wird in der Regel auf einen in eine Binärzahl umgewandelten Exponenten angewendet und wurd in Indien bereits 200 v. Chr. in dem Werk „Chandah-sûtra“ beschrieben.2366 Das Binärsystem oder auch Dualsystem bildet Zahlen lediglich anhand von zwei Ziffern ab. Statt der Ziffern 0 bis 9, verwendet das Dualsystem lediglich 0 und 1 zur Darstellung von Zahlen.2367 D. h. für die Exponentiation g k wird die Darstellung des Exponenten k als eine Dezimalzahl (wie z.B. 19) auf eine Darstellung als eine Binärzahl (eine Abfolge von Einsen und Nullen) umgestellt. 2365 Swoboda/Spitz/Pramateftakis, Kryptographie und IT-Sicherheit, S. 114. 2366 Arndt/Haenel, Pi: Algorithmen, Computer, Arithmetik, S. 121. 2367 Bronstein, Taschenbuch der Mathematik, S. 965.
I. Mathematische Grundlagen
507
Nach Umwandlung des Exponenten in eine Binärzahl kann jede Erweiterung der Binärdarstellung des Exponenten von der ersten Stelle der Binärdarstellung um ein 0 als Quadrieren und die gegebenenfalls notwendige Veränderung der jeweiligen Stelle von einer 0 in eine 1 durch zusätzliches Multiplizieren mit der Basis betrachtet werden.2368 Jede 0 wird also als Anweisung zum Quadrieren (Q) des jeweligen Funktionswertes und jede 1 als Anweisung zum Quadrieren des Funktionswertes und Multiplizieren mit der Basis g (QM) verstanden. Auch hier kann wieder nach jedem Schritt eine Restbildung angeschlossen werden, um die Zahlen klein zu halten.2369 Beispiel: 5719 mod 77 = Vorüberlegung: Darstellung des Exponenten k = 19 in Dual: 19 =ˆ 1 0 0 1 1 Umwandl. in Anweisungen des Algorithmus: 1 0 0 1 1 =ˆ QM Q Q QM QM 1. 2. 3. 4. 5.
QM Q Q QM QM
Ergebnis:
Modulo:
12 · 57 = 57 57 mod 77 = 57
Modulo:
572 = 3249 3249 mod 77 = 15
Modulo:
152 = 225 225 mod 77 = 71
Modulo:
712 · 57 = 287337 287337 mod 77 = 50
Modulo:
502 · 57 = 142500 142500 mod 77 = 50
⇒ ⇒ ⇒ ⇒ ⇒
5719 mod 77 = 50 8. Exklusives Oder bzw. XOR-Verknüpfung
Die vor allem für symmetrische Verschlüsselungsalgorithmen unerlässliche XORVerknüpfung2370 beschreibt eine logische Schaltung für zwei Argumente, die nur 2368 Swoboda/Spitz/Pramateftakis, Kryptographie und IT-Sicherheit, S. 114. 2369 Meinel/Mundhenk, Mathematische Grundlagen der Informatik, S. 324. 2370 Aus dem Engl. als Abkürzung für eXclusive OR, zu deutsch: Exklusives Oder.
508
Anhang D Mathematische Grundlagen und Zeichenkodierung
dann „Wahr“ ergibt, wenn entweder die eine oder die andere von zwei Bedingungen „Wahr“ ist (daher exklusives Oder),2371 nicht aber wenn beide Bedingungen „Wahr“ sind wie bei einer normalen Oder-Verknüpfung.2372 Bezüglich des Binärsystems2373 mit den Ziffern 0 und 1 entspricht sie der Addition modulo 2.2374 Als Zeichen für das Exklusive Oder hat sich ⊕ eingebürgert.2375 Es gilt folgende Verknüpfungstabelle D.1: Tabelle D.1 Verknüpfungstabelle XOR a 0 1 0 1
b 0 0 1 1
a⊕b 0⊕0 1⊕0 0⊕1 1⊕1
= 0 1 1 0
II.
denn: 0+0=0 1+0=0 0+1=1 1+1=2
⇒ ⇒ ⇒ ⇒
0 mod 2 = 0 1 mod 2 = 1 1 mod 2 = 1 2 mod 2 = 0
Zeichenkodierung
Verschlüsselungsalgorithmen arbeiten in der Regel nur mit binären2376 oder (natürlichen) Dezimalzahlen als Eingabevariabeln. Die textliche Botschaft muss daher zunächst in weiterverarbeitbare Zahlen umgewandelt werden. Die einzelnen Buchstaben werden mit Hilfe einer Zeichencodierung wie ASCII2377 bzw. UTF82378 in Dezimalzahlen umgewandelt.2379 Beispiel (Codierung von „Ron Rivest“ mit Hilfe der ASCII-Tabelle):2380 Ron Rivest ⇓ 082 111 110
032
082
105
118
101
115
116
Diese Dezimalzahlen können in Binärzahlen transformiert werden, so dass jedes Klartextzeichen durch eine feste Anzahl von Bits (im folgenden Beispiel eine http://mathworld.wolfram.com/XOR.html (Stand: Dezember 2017). http://mathworld.wolfram.com/OR.html (Stand: Dezember 2017). Siehe Abschnitt b) auf Seite 506. Eckert, IT-Sicherheit: Konzepte, Verfahren, Protokolle, S. 297. Ertel, Angewandte Kryptographie, S. 51. Dazu schon Abschnitt b) auf Seite 506. American Standard Code for Information Interchange, vgl. http://tools.ietf.org/html/ rfc20 (Stand: Dezember 2017). 2378 8-Bit-Unicode Transformation Format, vgl. http://tools.ietf.org/html/rfc3629 (Stand: Dezember 2017). 2379 Pachghare, Cryptography And Information Security, S. 13. 2380 Für eine Umwandlungstabelle vlg. etwa https://www.ascii-code.com/ (Stand: Dezember 2017). 2371 2372 2373 2374 2375 2376 2377
II. Zeichenkodierung
509
Blocklänge von 8 Bits)2381 dargestellt wird. Beispiel: 082 111 110 032 082 105 118 101 115 116 ⇓ 01010010 01101111 01101110 00100000 01010010 01110110 01100101 01110011 01110100
01101001
Diese Blöcke von Binärzahlen können weiterverarbeitet werden. Je nach Bedarf des speziellen Algorithmus können sie zu Blöcken einer anderen Länge zusammengefasst oder als fortlaufender Bitstrom Verwendung finden.
2381 Bei fehlenden Bits wird vorne mit Nullen aufgefüllt.
Quellen im World Wide Web Die Zahlen beziehen sich auf die jeweiligen Seiten.
CCC analysiert Staatstrojaner https://www.ccc.de/de/updates/2011/staatstrojaner . . . . . . . . . . . . . . . . . . . . . . . . 31 Beschluss des LG Landshut, Az: 4 Qs 346/10 http://ijure.org/wp/wp-content/uploads/2011/01/LG_Landshut_4_Qs_346101.pdf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 CCC analysiert Staatstrojaner https://www.ccc.de/de/updates/2011/staatstrojaner . . . . . . . . . . . . . . . . . . . . . . . 32 Fragenkatalog des Bundesministeriums der Justiz auf netzpolitik.org https://netzpolitik.org/wp-upload/fragen-onlinedurchsuchung-BMJ.pdf . . . . 32 Bundestag-Drucks. 16/6535 http://dipbt.bundestag.de/dip21/btd/16/065/1606535.pdf . . . . . . . . . . . . . . . . . . 32 Bundestag-Drucks. 16/6572 http://dipbt.bundestag.de/dip21/btd/16/065/1606572.pdf . . . . . . . . . . . . . . . . . . 32 Beschluss des LG Landshut, Az: 4 Qs 346/10 http://ijure.org/wp/wp-content/uploads/2011/01/LG_Landshut_4_Qs_346101.pdf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Analyse einer Regierungs-Malware durch den CCC https://www.ccc.de/system/uploads/76/original/staatstrojaner-report23.pdf . . 32 Blogeintrag des Richters Ulf Buermeyer http://ijure.org/wp/archives/756 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Statistik zur WLAN-Nutzung https://de.statista.com/statistik/daten/studie/171510/umfrage/im-haushaltgenutzte-internetzugangsarten/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 Bundestag-Drucks. 17/8544 http://dipbt.bundestag.de/dip21/btd/17/085/1708544.pdf . . . . . . . . . . . . . . . . . . 35 Bundestag-Drucks. 17/8544 http://dipbt.bundestag.de/dip21/btd/17/085/1708544.pdf . . . . . . . . . . . . . . . . . . 35 Bundestag-Drucks. 17/14714 http://dipbt.bundestag.de/dip21/btd/17/147/1714714.pdf . . . . . . . . . . . . . . . . . . 35 Bundestag-Drucks. 17/14714
Quellen im World Wide Web
http://dipbt.bundestag.de/dip21/btd/17/147/1714714.pdf . . . . . . . . . . . . . . . . . . Bundestag-Drucks. 18/4130 http://dipbt.bundestag.de/dip21/btd/18/041/1804130.pdf . . . . . . . . . . . . . . . . . . Bundestag-Drucks. 18/2257 http://dipbt.bundestag.de/dip21/btd/18/022/1802257.pdf . . . . . . . . . . . . . . . . . . Bundestag-Drucks. 18/5645 http://dipbt.bundestag.de/dip21/btd/18/056/1805645.pdf . . . . . . . . . . . . . . . . . . Bundestag-Drucks. 18/7285 http://dipbt.bundestag.de/dip21/btd/18/072/1807285.pdf . . . . . . . . . . . . . . . . . . Bundestag-Drucks. 18/9366 http://dipbt.bundestag.de/dip21/btd/18/093/1809366.pdf . . . . . . . . . . . . . . . . . . Bundestag-Drucks. 18/11041 http://dipbt.bundestag.de/dip21/btd/18/110/1811041.pdf . . . . . . . . . . . . . . . . . . Bundestag-Drucks. 18/13205 http://dipbt.bundestag.de/dip21/btd/18/132/1813205.pdf . . . . . . . . . . . . . . . . . . Bundestag-Drucks. 17/8544 http://dipbt.bundestag.de/dip21/btd/17/085/1708544.pdf . . . . . . . . . . . . . . . . . . Der 802.11 Standard (WLAN) der IEEE http://ieeexplore.ieee.org/document/7786995/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . Statistik zur WLAN-Nutzung https://de.statista.com/statistik/daten/studie/171510/umfrage/im-haushaltgenutzte-internetzugangsarten/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ARP-Standard der Internet Engineering Task Force http://tools.ietf.org/html/rfc826 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . New Directions in Cryptography von Diffie und Hellman http://www-ee.stanford.edu/~hellman/publications/24.pdf . . . . . . . . . . . . . . . . . Liste der Zertifizierungsdienstanbietern der Bundesnetzagentur https://www.nrca-ds.de/ZDAliste.htm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Dokumentation von Kismet https://kismetwireless.net/documentation.shtml . . . . . . . . . . . . . . . . . . . . . . . . . . Dokumentation von Kismet https://kismetwireless.net/documentation.shtml . . . . . . . . . . . . . . . . . . . . . . . . . . Entwickler-Homepage von Kismon http://www.salecker.org/software/kismon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Website zum COST-Walfisch-Ikegami-Modell https://altairhyperworks.com/product/FEKO/WinProp---Urban-and-Suburban Homepage von Aircrack-NG http://www.aircrack-ng.org/index.html . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Team von Aircrack-NG http://trac.aircrack-ng.org/wiki/Team . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cracking WEP ohne aktive Hosts http://aircrack-ng.org/doku.php?id=how_to_crack_wep_with_no_clients . . . Fake Authentication in Aircrack-NG
511
35 36 36 36 36 36 36 36 36 47 47 50 60 64 75 75 75 78 86 86 86
512
Quellen im World Wide Web
http://www.aircrack-ng.org/doku.php?id=fake_authentication . . . . . . . . . . . . . . About der Herstellervereinigung Wi-Fi Alliance http://www.wi-fi.org/who-we-are . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . The Internet Engineering Task Force zu AES-CCM https://tools.ietf.org/html/rfc3610 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Homepage des Tools Pyrit https://code.google.com/p/pyrit/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zur Funktionsweise des Tools Pyrit http://pyrit.wordpress.com/about/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Grafik zur Zahl der berechenbaren PMKs durch Pyrit http://pyrit.googlecode.com/svn/tags/opt/pyritperfaa3.png . . . . . . . . . . . . . . . . . Homepage von oclHashcat http://hashcat.net/oclhashcat/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wireless Security Auditor von Elcomsoft https://www.elcomsoft.de/ewsa.html . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Standard-Passwortliste des Disclosure Project https://dazzlepod.com/site_media/txt/passwords.txt . . . . . . . . . . . . . . . . . . . . . . . Homepage des Disclosure Projects https://dazzlepod.com/disclosure/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Übersicht über Wordlist-Quellen auf aircrack-ng.org https://aircrack-ng.org/doku.php?id=faq . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . UniquePass v18 des Disclosure Projects https://dazzlepod.com/uniqpass/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Homepage des Tools Crunch zum Erstellen von Wordlists http://sourceforge.net/projects/crunch-wordlist/ . . . . . . . . . . . . . . . . . . . . . . . . . . Heise zum Phraser-Tool https://heise.de/-3128535 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kommerzieller WPA-Brute-Force-Dienstleister https://www.cloudcracker.com/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kommerzieller WPA-Brute-Force-Dienstleister http://www.wpacrack.net/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Liste der 1000 meistverwendeten SSIDs von Wigle https://wigle.net/gps/gps/main/ssidstats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Rainbow Tables der Church of Wifi http://www.renderlab.net/projects/WPA-tables/ . . . . . . . . . . . . . . . . . . . . . . . . . . Homepage des coWPAtty-Projektes http://www.willhackforsushi.com/?page_id=50 . . . . . . . . . . . . . . . . . . . . . . . . . . . Heise Security: Vorkonfigurierte WPA-Schlüssel bei T-Online und Vodafone leicht erratbar http://heise.de/-1326796 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Heise Security: Vorkonfigurierte WPA-Schlüssel bei T-Online und Vodafone leicht erratbar http://heise.de/-1326796 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
87 87 90 92 92 92 92 92 92 92 93 93 93 93 93 93 93 93 93 94 94
Quellen im World Wide Web
513
Dokumentation der Deauthentication Attack http://www.aircrack-ng.org/doku.php?id=deauthentication . . . . . . . . . . . . . . . . 95 Open Source Vulnerability Database https://blog.osvdb.org/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Heise.de zu den vorkonfigurierten Pre-Sharde-Key http://heise.de/-1473896 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Heise.de zu den vorkonfigurierten Pre-Sharde-Key http://heise.de/-199525 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Heise.de zu den vorkonfigurierten Pre-Sharde-Key http://heise.de/-1326796 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Heise.de zu den vorkonfigurierten Pre-Sharde-Key http://heise.de/-2149103 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 WLAN Router Horror Stories http://blog.back-track.de/wp-content/uploads/2012/06/wlan_router_ horrorstories_release_2012.pdf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Homepage von Speedpwn https://gitlab.com/yorickpeterse/speedpwn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 HomepageRouterpwn http://www.routerpwn.com/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 WPS auf der Seite der Wi-Fi Alliance http://www.wi-fi.org/discover-wi-fi/wi-fi-protected-setup . . . . . . . . . . . . . . . . . 96 WPS-PIN-Algorithmus für D-Link http://www.devttys0.com/2014/10/reversing-d-links-wps-pin-algorithm/ . . . 98 Heise.de über die WPS-Hintertür https://heise.de/-1558346 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 Download-Seite des Tools WPSCrack https://github.com/ml31415/wpscrack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 Download-Seite des Tools Reaver https://code.google.com/archive/p/reaver-wps/ . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 Übersicht Router-Standardpasswörter http://www.router-faq.de/index.php?id=router_ip_pw . . . . . . . . . . . . . . . . . . . . . 99 Übersicht Router-Standardpasswörter http://www.defaultpassword.com/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 Dokumentation von Aircrack-ng http://www.aircrack-ng.org/doku.php?id=korek_chopchop . . . . . . . . . . . . . . . . 99 Dokumentation zu Tkiptun-ng http://www.aircrack-ng.org/doku.php?id=tkiptun-ng . . . . . . . . . . . . . . . . . . . . . 101 Heise.de zur Funktionsweise von CRACK https://www.heise.de/-3865019 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 Paper zu KRACK https://papers.mathyvanhoef.com/ccs2017.pdf . . . . . . . . . . . . . . . . . . . . . . . . . . 102 Heise.de zur Funktionsweise von CRACK https://www.heise.de/-3865019 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
514
Quellen im World Wide Web
Homepage der Karma Wireless Client Security Assessment Tools http://www.theta44.org/karma/index.html . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Homepage des Tools wifiphisher https://github.com/sophron/wifiphisher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Homepage des Wireshark-Projects https://wireshark.org/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Homepage des Tools Nmap https://nmap.org/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Homepage des Tools Dsniff http://www.monkey.org/~dugsong/dsniff/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hilfeseite von GMX zur Verschlüsselung https://hilfe.gmx.net/sicherheit/ssl.html . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hilfeseite von web.de zur Verschlüsselung https://hilfe.web.de/sicherheit/ssl.html . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . The Internet Engineering Task Force zum TLS-Protokoll Version 1.0 https://www.ietf.org/rfc/rfc2246.txt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . The Internet Engineering Task Force zum TLS-Protokoll Version 1.2 https://tools.ietf.org/html/rfc5246 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Übersicht über mögliche TLS-Ciper Suites https://www.iana.org/assignments/tls-parameters/tls-parameters.xhtml . . . . Die IETF zum HTTP over TLS-Protokoll https://tools.ietf.org/html/rfc2818 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . The ROBOT Attack https://robotattack.org/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mojo Networks zur Hol196-Schwachstelle https://www.mojonetworks.com/wpa2-hole196-vulnerability . . . . . . . . . . . . . Homepage des Tools Dsniff http://www.monkey.org/~dugsong/dsniff/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Homepage des Tools Dsniff http://www.monkey.org/~dugsong/dsniff/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Homepage von Dnsmasq http://thekelleys.org.uk/dnsmasq/doc.html . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Homepage des Tools Ssslstrip https://moxie.org/software/sslstrip/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Homepage des Tools Ssslstrip https://moxie.org/software/sslstrip/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . BasicConstraint-Vulnerability des Internet Explorers https://moxie.org/ie-ssl-chain.txt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Null Prefix Attacks Against SSL/TLS Certificates https://moxie.org/papers/null-prefix-attacks.pdf . . . . . . . . . . . . . . . . . . . . . . . . . Root-Zertifikate der Deutschen Telekom AG https://www.telesec.de/en/public-key-infrastructure/support/root-certificates Homepage des Tools SSlsplit
104 105 106 114 118 118 118 119 119 120 121 122 124 124 124 125 125 126 128 128 128
Quellen im World Wide Web
https://github.com/droe/sslsplit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Homepage des Tools SSLsniff https://moxie.org/software/sslsniff/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Homepage des Tools mitmproxy https://mitmproxy.org/index.html . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . The Internet Engineering Task Force zum HTTP Cookie https://tools.ietf.org/html/rfc6265 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . The Internet Engineering Task Force zum HTTP Cookie https://tools.ietf.org/html/rfc6265 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Homepage des Tools Surfjack https://code.google.com/p/surfjack/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Homepage des Add-ons Surfjack Checker https://code.google.com/p/surfjack-checker/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . Heise.de zu HSTS http://heise.de/-1754184 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Internet Engineering Task Force zu HTTP Strict Transport Security (HSTS) https://tools.ietf.org/html/rfc6797 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . HSTS-Unterstützung von Browsern caniuse.com/stricttransportsecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Internet Engineering Task Force zu HTTP Strict Transport Security (HSTS) https://tools.ietf.org/html/rfc6797 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Internet Engineering Task Force zu HTTP Strict Transport Security (HSTS) https://tools.ietf.org/html/rfc6797 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Internet Engineering Task Force zu HTTP Strict Transport Security (HSTS) https://tools.ietf.org/html/rfc6797 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mozilla zu der Preload-List in Firefox https://blog.mozilla.org/security/2012/11/01/preloading-hsts/ . . . . . . . . . . . . SSL-Pulse von Trustworthy Internet Movement https://www.trustworthyinternet.org/ssl-pulse/ . . . . . . . . . . . . . . . . . . . . . . . . . . Internet Engineering Task Force zum Network Time Protocol Version 4 https://tools.ietf.org/html/rfc5905 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Homepage des Tools Delorean https://github.com/PentesterES/Delorean . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Internet Engineering Task Force zum Public Key Pinning Extension for HTTP https://tools.ietf.org/html/rfc7469 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Internet Engineering Task Force zum Public Key Pinning Extension for HTTP https://tools.ietf.org/html/rfc7469 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Heise.de zur Ausmusterung von HPKP https://heise.de/-3876078 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . GitHub-Repository von TLS-Attacker https://github.com/RUB-NDS/TLS-Attacker . . . . . . . . . . . . . . . . . . . . . . . . . . . .
515
129 129 129 129 130 130 130 131 131 131 131 131 131 132 132 132 132 133 133 133 135
516
Quellen im World Wide Web
Blogeintrag von Thai Duong zu seinem BEAST-Angriff https://vnhacker.blogspot.ch/2011/09/beast.html . . . . . . . . . . . . . . . . . . . . . . . . 135 Blogeintrag von Thai Duong zu seinem BEAST-Angriff https://vnhacker.blogspot.ch/2011/09/beast.html . . . . . . . . . . . . . . . . . . . . . . . . 135 Is BEAST still a threat? https://blog.ivanristic.com/2013/09/is-beast-still-a-threat.html . . . . . . . . . . . 135 Adam Langley zum POODLE-Angriff https://www.imperialviolet.org/2014/10/14/poodle.html . . . . . . . . . . . . . . . . . 136 Adam Langley zum TLS-POODLE-Angriff https://www.imperialviolet.org/2014/12/08/poodleagain.html . . . . . . . . . . . . . 136 RFC der IETF zum TLS Fallback Signaling Cipher Suite Value https://tools.ietf.org/html/rfc7507 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 Informationen zur Hintertür in Dual_EC_DRBG https://projectbullrun.org/dual-ec/index.html . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 Heise.de zur Sicherheit von RC4 http://heise.de/-2041383 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 Internet Engineering Task Force zur Unsicherheit von RC4 https://tools.ietf.org/html/rfc7465 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 SSL-Pulse der Trustworthy Internet Movement https://www.trustworthyinternet.org/ssl-pulse/ . . . . . . . . . . . . . . . . . . . . . . . . . . 138 GitHub des Social Engineering Toolkits https://github.com/trustedsec/social-engineer-toolkit . . . . . . . . . . . . . . . . . . . . 138 WhatsApp Encryption Overview https://www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf . . 139 SSL-Pulse von Trustworthy Internet Movement https://www.trustworthyinternet.org/ssl-pulse/ . . . . . . . . . . . . . . . . . . . . . . . . . . 141 Stellungnahme an das Bundesverfassungsgericht zum BKA-Gesetz des CCC https://www.ccc.de/system/uploads/189/original/BKAG_Stellungnahme.pdf 143 Heise über das Unterschieben von Trojanern https://heise.de/-3837645 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 Bundestag-Drucks. 17/8544 http://dipbt.bundestag.de/dip21/btd/17/085/1708544.pdf . . . . . . . . . . . . . . . . . 152 Stellungnahme an das Bundesverfassungsgericht zum BKA-Gesetz des CCC https://www.ccc.de/system/uploads/189/original/BKAG_Stellungnahme.pdf 156 Heise über das Unterschieben von Trojanern https://heise.de/-3837645 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 Gesetzesentwurf zur Verbesserung der Bekämpfung der Organisierten Kriminalität http://dipbt.bundestag.de/doc/btd/13/086/1308651.pdf . . . . . . . . . . . . . . . . . . . 171 Bundestag-Drucks. 17/8544 http://dipbt.bundestag.de/dip21/btd/17/085/1708544.pdf . . . . . . . . . . . . . . . . . 183
Quellen im World Wide Web
Bundestag-Drucks. 17/8544 http://dipbt.bundestag.de/dip21/btd/17/085/1708544.pdf . . . . . . . . . . . . . . . . . Stellungnahme an das Bundesverfassungsgericht zum BKA-Gesetz des CCC https://www.ccc.de/system/uploads/189/original/BKAG_Stellungnahme.pdf Bundestag-Drucks. 18/12785 http://dipbt.bundestag.de/dip21/btd/18/127/1812785.pdf . . . . . . . . . . . . . . . . . Bundestag-Drucks. 18/12785 http://dipbt.bundestag.de/dip21/btd/18/127/1812785.pdf . . . . . . . . . . . . . . . . . Von Narrative Sciene generierter Content für Forbes https://www.forbes.com/sites/narrativescience/ . . . . . . . . . . . . . . . . . . . . . . . . . . Startseite von Narrative Science https://www.narrativescience.com/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Stellungnahme an das Bundesverfassungsgericht zum BKA-Gesetz des CCC https://www.ccc.de/system/uploads/189/original/BKAG_Stellungnahme.pdf Compromising emanations: eavesdropping risks of computer displays https://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-577.html . . . . . . . . . . Heise zur Messung der Abstrahlung von Tasturen https://heise.de/-212494 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Stellungnahme an das Bundesverfassungsgericht zum BKA-Gesetz des CCC https://www.ccc.de/system/uploads/189/original/BKAG_Stellungnahme.pdf Terms of Service von WhatsApp https://www.whatsapp.com/legal/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Terms of Service von WhatsApp https://www.whatsapp.com/legal/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Stellungnahme des CCC zum Routerzwang https://ccc.de/system/uploads/139/original/routerzwang.pdf . . . . . . . . . . . . . . Bundestag-Drucks. 13/8016 http://dip21.bundestag.de/dip21/btd/13/080/1308016.pdf . . . . . . . . . . . . . . . . Bundestag-Drucks. 18/12785 http://dipbt.bundestag.de/dip21/btd/18/127/1812785.pdf . . . . . . . . . . . . . . . . . Bundestag-Drucks. 16/5846 http://dipbt.bundestag.de/dip21/btd/16/058/1605846.pdf . . . . . . . . . . . . . . . . . Bundestag-Drucks. 18/12785 http://dipbt.bundestag.de/dip21/btd/18/127/1812785.pdf . . . . . . . . . . . . . . . . . Bundestag-Drucks. 18/12785 http://dipbt.bundestag.de/dip21/btd/18/127/1812785.pdf . . . . . . . . . . . . . . . . . Bundestag-Drucks. 18/12785 http://dipbt.bundestag.de/dip21/btd/18/127/1812785.pdf . . . . . . . . . . . . . . . . . Bundestag-Drucks. 18/12785 http://dipbt.bundestag.de/dip21/btd/18/127/1812785.pdf . . . . . . . . . . . . . . . . .
517
184 187 191 191 197 197 207 210 210 214 223 223 224 227 238 239 239 244 245 245
518
Quellen im World Wide Web
Bundestag-Drucks. 18/12785 http://dipbt.bundestag.de/dip21/btd/18/127/1812785.pdf . . . . . . . . . . . . . . . . . Definition von „eingreifen“ im Duden http://www.duden.de/rechtschreibung/eingreifen . . . . . . . . . . . . . . . . . . . . . . . . Bundestag-Drucks. 18/12785 http://dipbt.bundestag.de/dip21/btd/18/127/1812785.pdf . . . . . . . . . . . . . . . . . Bundestag-Drucks. 16/10121 https://dip21.bundestag.de/dip21/btd/16/101/1610121.pdf . . . . . . . . . . . . . . . Bundestag-Drucks. 18/12785 http://dipbt.bundestag.de/dip21/btd/18/127/1812785.pdf . . . . . . . . . . . . . . . . . Bundestag-Drucks. 18/12785 http://dipbt.bundestag.de/dip21/btd/18/127/1812785.pdf . . . . . . . . . . . . . . . . . Gesetzgebung u.a. zur Änderung von § 100g StPO http://dipbt.bundestag.de/extrakt/ba/WP18/672/67296.html . . . . . . . . . . . . . . Bundestag-Drucks. 16/5846 http://dipbt.bundestag.de/dip21/btd/16/058/1605846.pdf . . . . . . . . . . . . . . . . . Bundestag-Drucks. 18/5088 http://dipbt.bundestag.de/dip21/btd/16/058/1805088.pdf . . . . . . . . . . . . . . . . . Bundestag-Drucks. 18/5088 http://dipbt.bundestag.de/dip21/btd/16/058/1805088.pdf . . . . . . . . . . . . . . . . . Bundestag-Drucks. 18/5088 http://dipbt.bundestag.de/dip21/btd/16/058/1805088.pdf . . . . . . . . . . . . . . . . . Bundestag-Drucks. 16/5846 http://dipbt.bundestag.de/dip21/btd/16/058/1605846.pdf . . . . . . . . . . . . . . . . . Bundestag-Drucks. 18/5088 https://dip21.bundestag.de/dip21/btd/18/050/1805088.pdf . . . . . . . . . . . . . . . Bundestag-Drucks. 18/5088 https://dip21.bundestag.de/dip21/btd/18/050/1805088.pdf . . . . . . . . . . . . . . . Bundestag-Drucks. V/1880 http://dipbt.bundestag.de/doc/btd/05/018/0501880.pdf . . . . . . . . . . . . . . . . . . . Definition von „überwachen“ im Duden http://www.duden.de/rechtschreibung/ueberwachen . . . . . . . . . . . . . . . . . . . . . Bundestag-Drucks. 13/8016 http://dip21.bundestag.de/dip21/btd/13/080/1308016.pdf . . . . . . . . . . . . . . . . Angaben des statistischen Bundesamtes zur IT-Nutzung https://www.destatis.de/DE/Publikationen/Thematisch/ EinkommenKonsumLebensbedingungen/PrivateHaushalte/ PrivateHaushalteIKT2150400167004.pdf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Statistik zur WLAN-Nutzung https://de.statista.com/statistik/daten/studie/171510/umfrage/im-haushaltgenutzte-internetzugangsarten/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Statistik zur Verschlüsselung des lokalen Funknetzwerks
246 247 248 248 249 250 253 255 255 255 256 256 257 257 280 280 283
283 283
Quellen im World Wide Web
https://de.statista.com/statistik/daten/studie/4472/umfrage/genutzteverschluesselung-fuer-w-lan-netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Statistik zur WLAN-Nutzung https://de.statista.com/statistik/daten/studie/171510/umfrage/im-haushaltgenutzte-internetzugangsarten/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bundestag-Drucks. 18/12785 http://dipbt.bundestag.de/dip21/btd/18/127/1812785.pdf . . . . . . . . . . . . . . . . . Bundestag-Drucks. 18/12785 http://dipbt.bundestag.de/dip21/btd/18/127/1812785.pdf . . . . . . . . . . . . . . . . . Bundestag-Drucks. 18/12785 http://dipbt.bundestag.de/dip21/btd/18/127/1812785.pdf . . . . . . . . . . . . . . . . . Bundestag-Drucks. 18/12785 http://dipbt.bundestag.de/dip21/btd/18/127/1812785.pdf . . . . . . . . . . . . . . . . . Bundestag-Drucks. 18/12785 http://dipbt.bundestag.de/dip21/btd/18/127/1812785.pdf . . . . . . . . . . . . . . . . . Stellungnahme zu dem Fragenkatalog des BVerfG in dem Verfahren 1 BvR 370/07 https://www.mpicc.de/shared/data/pdf/bverfg-sieber-1-endg.pdf . . . . . . . . . . Bundestag-Drucks. 18/12785 http://dipbt.bundestag.de/dip21/btd/18/127/1812785.pdf . . . . . . . . . . . . . . . . . Bundestag-Drucks. 18/12785 http://dipbt.bundestag.de/dip21/btd/18/127/1812785.pdf . . . . . . . . . . . . . . . . . Bedeutung von „erheben“ im Duden http://www.duden.de/rechtschreibung/erheben . . . . . . . . . . . . . . . . . . . . . . . . . . Bundestag-Drucks. 18/12785 http://dipbt.bundestag.de/dip21/btd/18/127/1812785.pdf . . . . . . . . . . . . . . . . . Bundestag-Drucks. 18/12785 http://dipbt.bundestag.de/dip21/btd/18/127/1812785.pdf . . . . . . . . . . . . . . . . . Bundestag-Drucks. 18/12785 http://dipbt.bundestag.de/dip21/btd/18/127/1812785.pdf . . . . . . . . . . . . . . . . . Bundestag-Drucks. 18/12785 http://dipbt.bundestag.de/dip21/btd/18/127/1812785.pdf . . . . . . . . . . . . . . . . . Bundestag-Drucks. 17/8544 http://dipbt.bundestag.de/dip21/btd/17/085/1708544.pdf . . . . . . . . . . . . . . . . . Heise über das Unterschieben von Trojanern https://heise.de/-3837645 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bundestag-Drucks. 18/12785 http://dipbt.bundestag.de/dip21/btd/18/127/1812785.pdf . . . . . . . . . . . . . . . . . Bundestag-Drucks. 18/12785 http://dipbt.bundestag.de/dip21/btd/18/127/1812785.pdf . . . . . . . . . . . . . . . . . Bundestag-Drucks. 18/12785 http://dipbt.bundestag.de/dip21/btd/18/127/1812785.pdf . . . . . . . . . . . . . . . . .
519
283 290 291 291 294 294 297 297 297 298 299 300 316 316 317 319 321 334 334 335
520
Quellen im World Wide Web
Stellungnahme an das Bundesverfassungsgericht zum BKA-Gesetz des CCC https://www.ccc.de/system/uploads/189/original/BKAG_Stellungnahme.pdf 347 Bundestag-Drucks. 17/8544 http://dipbt.bundestag.de/dip21/btd/17/085/1708544.pdf . . . . . . . . . . . . . . . . . 352 The Internet Engineering Task Force zu PKCS #5 https://tools.ietf.org/html/rfc2898 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362 Beschreibung der Aircrack-ng-Suite http://www.aircrack-ng.org/doku.php?id=aircrack-ng . . . . . . . . . . . . . . . . . . . . 364 Homepage des Tools Crunch zum Erstellen von Wordlists https://sourceforge.net/projects/crunch-wordlist/ . . . . . . . . . . . . . . . . . . . . . . . . 365 Homepage von Wireshark https://www.wireshark.org/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371 Homepage des Tools Dsniff http://www.monkey.org/~dugsong/dsniff/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371 Übersicht über mögliche TLS-Ciper Suites https://www.iana.org/assignments/tls-parameters/tls-parameters.xhtml . . . . 376 SSL-Browsertest der Universität Hannover https://cc.dcsec.uni-hannover.de/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376 SSL-Servertest von Qualys SSL Labs https://www.ssllabs.com/ssltest/analyze.html . . . . . . . . . . . . . . . . . . . . . . . . . . . 376 The Internet Engineering Task Force zum SMTP-Protokoll http://tools.ietf.org/html/rfc5321 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378 The Internet Engineering Task Force zum Internet Message Format http://tools.ietf.org/html/rfc5322 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378 Der Weg einer E-Mail https://www.kubieziel.de/computer/email.html . . . . . . . . . . . . . . . . . . . . . . . . . . 379 Der SMTP-Standard der Internet Engineering Task Force http://tools.ietf.org/html/rfc5321 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379 Der SMTP-Standard der Internet Engineering Task Force http://tools.ietf.org/html/rfc5321 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379 Google-Statistik zur Verbreitung von IPv6 http://www.google.de/ipv6/statistics.html . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382 RIPE Network Coordination Center: Understandig IP Adressing https://www.ripe.net/about-us/press-centre/understanding-ip-addressing . . 384 Homepage des Institute of Electrical and Electronics Engineers https://www.ieee.org/about/index.html . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386 MAC-Adressen Lookup und Suche http://www.coffer.com/mac_find/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387 The Internet Engineering Task Force zum Internet Message Format http://tools.ietf.org/html/rfc5322 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391 The Internet Engineering Task Force zum Internet Message Format http://tools.ietf.org/html/rfc5322 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
Quellen im World Wide Web
521
The Internet Engineering Task Force zum Internet Message Format http://tools.ietf.org/html/rfc5322 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391 The Internet Engineering Task Force zum Transmission Control Protocol http://tools.ietf.org/html/rfc793 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394 The Internet Engineering Task Force zum Internet Protocol http://tools.ietf.org/html/rfc791 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395 The Internet Engineering Task Force zum Internet Protocol http://tools.ietf.org/html/rfc791 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396 ASCII Codierungstabelle https://www.ascii-code.com/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422 Beschreibung des Biclique-Angriffs auf AES https://eprint.iacr.org/2011/449.pdf). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425 Homepage von RSA https://www.emc.com/services/rsa-services/professional-services.htm . . . . . 431 RFC 7465 https://tools.ietf.org/html/rfc7465 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436 Bericht zur Faktorisierung von RSA-768 https://eprint.iacr.org/2010/006.pdf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443 ASCII Codierungstabelle https://www.ascii-code.com/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445 Bericht zur Faktorisierung von RSA-768 https://eprint.iacr.org/2010/006.pdf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 458 The Internet Engineering Task Force zum Diffie-Hellman Group Exchange for the Secure Shell (SSH) Transport Layer Protocol http://www.ietf.org/rfc/rfc4419.txt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462 Telecomunication Standardization Sector der Internationalen Fernmeldeunion https://www.itu.int/en/ITU-T/Pages/default.aspx . . . . . . . . . . . . . . . . . . . . . . . . 474 The Internet Engineering Task Force zum X.509-Standard http://tools.ietf.org/html/rfc5280 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474 The Internet Engineering Task Force zum X.509-Protokoll http://tools.ietf.org/html/rfc5280 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474 The Internet Engineering Task Force zum X.509-Protokoll http://tools.ietf.org/html/rfc5280 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474 European Bridge CA https://www.ebca.de/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478 Microsoft TechNet Library über Digitale Signaturen https://technet.microsoft.com/en-us/library/cc962021.aspx . . . . . . . . . . . . . . . 480 NIST über den Sieger des SHA-3-Wettbewerbes https://csrc.nist.gov/projects/hash-functions/sha-3-project . . . . . . . . . . . . . . . 489 Website der Hashfunktion Keccak https://keccak.team/index.html . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 489 Website der Hashfunktion RIPEMD-160
522
Quellen im World Wide Web
http://homes.esat.kuleuven.be/~bosselae/ripemd160.html . . . . . . . . . . . . . . . . Fraunhofer-Institut Algorithmen und Wissenschaftliches Rechnen https://www.scai.fraunhofer.de/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wolfram Mathworld zur XOR-Verknüpfung http://mathworld.wolfram.com/XOR.html . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wolfram Mathworld zur OR-Verknüpfung http://mathworld.wolfram.com/OR.html . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . The Internet Engineering Task Force über den ASCII-Code http://tools.ietf.org/html/rfc20 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . The Internet Engineering Task Force über UTF-8 http://tools.ietf.org/html/rfc3629 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ASCII Codierungstabelle https://www.ascii-code.com/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
489 503 508 508 508 508 508
Zitierte Entscheidungen
EGMR, Urt. v. 09.06.1998 – 44/1997/828/1034, NStZ 1999, 47 BVerfG, Beschl. v. 08.03.1972 – 2 BvR 28/71, BVerfGE 32, 373 BVerfG, Beschl. v. 12.10.1977 – 1 BvR 216/75, 1 BvR 217/75, BVerfGE 46, 120 BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, BVerfGE 65, 1 BVerfG, Beschl. v. 20.06.1984 – 1 BvR 1494/78, NJW 1985, 121 BVerfG, Beschl. v. 09.03.1988 – 1BvL 49/86, BVerfGE 78, 77 BVerfG, Beschl. v. 25.03.1992 – 1 BvR 1430/88, BVerfGE 85, 385 BVerfG, Urt. v. 14.07.1999 – 1 BvR 2226/94, BVerfGE 100, 313 BVerfG, Beschl. v. 09.10.2002 – 1 BvR 1611/96, BVerfGE 106, 28 BVerfG, Urt. v. 03.03.2004 – 1 BvR 2378/98, BVerfGE 109, 279 BVerfG, Beschl. v. 12.04.2005 – 2 BvR 1027/02, BVerfGE 113, 29 BVerfG, Urt. v. 02.03.2006 – 2 BvR 2099/04, BVerfGE 115, 166 BVerfG, Beschl. v. 22.08.2006 – 2 BvR 1345/03, NJW 2007, 351 BVerfG, Beschl. v. 13.06.2007 – 1 BvR 1550/03, BVerfGE 118, 168 BVerfG, Urt. v. 27.2.2008 – 1 BvR 370/07, BVerfGE 120, 274; NJW 2008, 822 BVerfG, Beschl. v. 01.09.2008 – 2 BvR 2238/07, NJW 2008, 3627 BVerfG, Beschl. v. 17.02.2009 – 2 BvR 1372/07, NJW 2009, 1405 BVerfG, Beschl. v. 16.6.2009 – 2 BvR 902/06, BVerfGE, 124, 43; NJW 2009, 2431 BVerfG, Urt. v. 02.03.2010 – 1 BvR 256/08, 1 BvR 263/08, BVerfGE 125, 260 BVerfG, Beschl. v. 09.11.2010 – 2 BvR 2101/09, NStZ 2011, 103 BVerfG, Beschl. v. 12.10.2011 – 2 BvR 236/08, NJW 2012, 833
524
Zitierte Entscheidungen
BVerfG, Beschl. v. 25.10.2011 – 2 BvR 979/10, NStZ-RR 2012, 60 BVerfG, Urt. v. 20.04.2016 – 1 BvR 966/09, NJW 2016, 1781 BVerfG, Beschl. v. 06.07.2016 – 2 BvR 1454/13, juris BGH, Urt. v. 16.03.1983 – 2 StR 775/82, BGHSt 31, 296 BGH, Urt. v. 17.03.1983 – 4 StR 640/82, NJW 1983, 1570 BGH, Urt. v. 07.03.1995 – 1 StR 685/94, BGHSt 41, 64 BGH, Urt. v. 06.02.1997 – 1 StR 527/96, NJW 1997, 1516 BGH, Beschl. v. 11.04.1997 – 1 BGs 88/97, NJW 1997, 2189 BGH, Urt. v. 24.01.2001 – 3 StR 324/00, BGHSt 46, 266 BGH, Urt. v. 24.01.2001 – 3 StR 324/00, NJW 2001, 1658 BGH, Beschl. v. 21.02.2001 – 2 BGs 42/01, juris BGH, Urt. v. 14.03.2003 – 2 StR 341/02, juris BGH, Beschl. v. 20.03.2005 – 1 BGs 107/03, NStZ 2005, 278 BGH, Beschl. v. 31.01.2007 – StB 18/06, BGHSt 51, 211 BGH, Beschl. v. 24.04.2008 – 1 StR 169/08, NStZ 2008, 473 BGH, Beschl. v. 31.03.2009 – 1 StR 76/09, NStZ 2009, 397 BGH, Beschl. v. 24.11.2009 – StB 48/09, NJW 2010, 1297 BGH, Beschl. v. 23.03.2010 – StB 7/10, BeckRS 2011, 02332 BGH, Beschl. v. 26.01.2017 – StB 26 und 28/14, StV 2018, 72 LG Hamburg, Beschl. v. 01.10.2007 – 629 Qs 29/07, MMR 2008, 423 LG Hamburg, Beschl. v. 08.01.2008 – 619 Qs 1/08, ITRB 2008, 79 LG Hildesheim, Beschl. v. 21.04.2010 – 26 Qs 58/10, Wistra 2010, 414 LG Hamburg, Beschl. v. 13.09.2011 – 608 Qs 17/10, MMR 2011, 693 LG Landshut, Beschl. v. 20.01.2011 – 4 Qs 346/10, MMR 2011, 690 LG Ellwangen, Beschl. v. 28.05.2013 – 1 Qs 130/12, juris AG Landshut, Beschl. v. 02.04.2009 – 45 Js 11552/08, AG Hamburg, Beschl. v. 28.08.2009 – 160 Gs 301/09, StV 2009, 636 AG Landshut, Urt. v. 25.01.2011 – 4 Qs 346/1045, AG Reutlingen, Beschl. v. 31.10.2011 – 5 Ds 43 Js 18155/10 jug, CR 2012, 193
Literaturverzeichnis Ahmad, Md. Sohail: WPA Too! AirTight Networks, 2010: abrufbar unter: https://www.defcon.org/images/defcon-18/dc-18-presentations/Ahmad/DEFCON 18-Ahmad-WPA-Too-WP.pdf, Stand: März 2014 Albrecht, Florian/Braun, Frank: Die strafprozessuale Überwachung des Surfverhaltens, HRRS, 2013, S. 500 – 508 Albrecht, Florian/Dienst, Sebastian: Der verdeckte hoheitliche Zugriff auf informationstechnische Systeme - Rechtsfragen von Online-Durchsuchung und Quellen-TKÜ, JurPC Web-Dok. 5/2012, Abs. 1 – 65 Alexander, Michael: Netzwerke und Netzwerksicherheit: das Lehrbuch, 1. Auflage, Heidelberg: Hüthig, 2006 AlFardan, Nadhem J. et al.: On the Security of RC4 in TLS and WPA, Royal Holloway, University of London, 2013: abrufbar unter: http://www.isg.rhul.ac.uk/tls/RC4biases.pdf, Stand: Juli 2015 Arndt, Jörg/Haenel, Christoph: Pi: Algorithmen, Computer, Arithmetik, 2. Auflage, Berlin [u.a.]: Springer, 2000 Bär, Wolfgang: Telekommunikationsüberwachung und andere verdeckte Ermittlungsmaßnahmen, Multimedia und Recht, 2008, S. 215–222 Bär, Wolfgang: Anmerkung zu LG Ellwangen, Beschluss vom 28.05.2013, Zeitschrift für Datenschutz, 2014, S. 33 – Bartholomé, Andreas/Rung, Josef/Kern, Hans: Zahlentheorie für Einsteiger: eine Einführung für Schüler, Lehrer, Studierende und andere Interessierte, 7. Auflage, Wiesbaden: Vieweg + Teubner, 2010 Beck, Martin: Enhanced TKIP Michael Attacks, TU Dresden, 2010: abrufbar unter: http://download.aircrack-ng.org/wiki-files/doc/enhanced_tkip_michael.pdf, Stand: Februar 2014 Beck, Martin/Tews, Erik: Practical attacks against WEP and WPA, TU Dresden und TU Darmstadt, 2009: abrufbar unter: http://www.cs.rit.edu/~adb3160/crypto2/files/ p79-tews.pdf, Stand: Januar 2014 Becker, Christian/Meinicke, Dirk: Die sog. Quellen-TKÜ und die StPO - Von einer „herrschenden Meinung“ und ihrer fragwürdigen Entstehung, Strafverteidiger, 1/2011, S. 50 – 52 Beck’scher Online-Kommentar; Graf, Dr. Jürgen-Peter (Hrsg.): Beck’scher OnlineKommentar StPO mit RiStBV und MiStra, 28. Auflage, München: C. H. Beck, 2017
526
Literaturverzeichnis
Beck’scher Online-Kommentar Grundgesetz; Epping, Volker/Hillgruber, Christian (Hrsg.): Beck’scher Online-Kommentar Grundgesetz, 35. Auflage, München: C. H. Beck, 2017 Beck’scher Online-Kommentar Informations- und Medienrecht; Gersdorf, Hubertus/Paal, Boris (Hrsg.): Beck’scher Online-Kommentar Informations- und Medienrecht, 18. Auflage, München: C. H. Beck, 2017 Beck’scher Online Kommentar StGB; von Heintschel-Heinegg, Bernd (Hrsg.): Beck’scher Online Kommentar StGB, 36. Auflage, München: C. H. Beck, 2017 Beck’scher TKG-Kommentar; Geppert, Martin/Schütz, Raimund (Hrsg.): Beck’scher TKGKommentar, 4. Auflage, München: C. H. Beck, 2013 Beukelmann, Stephan: Online-Durchsuchung und Quellen-TKÜ, Neue Juristische Wochenschrift Spezial, 2017, S. 440 Beutelspacher, Albrecht: Kryptologie : eine Einführung in die Wissenschaft vom Verschlüsseln, Verbergen und Verheimlichen, 6. Auflage, Braunschweig; Wiesbaden: Vieweg, 2002 Beutelspacher, Albrecht/Neumann, Heike/Schwarzpaul, Thomas: Kryptografie in Theorie und Praxis : mathematische Grundlagen für elektronisches Geld, Internetsicherheit und Mobilfunk, 1. Auflage, Wiesbaden: Vieweg, 2005 Beutelspacher, Albrecht/Schwenk, Jörg/Wolfenstetter, Klaus-Dieter: Moderne Verfahren der Kryptographie : von RSA zu Zero-Knowledge, 7. Auflage, Wiesbaden: Vieweg + Teubner, 2010 (zitiert: Beutelspacher/Schwenk/Wolfenstetter, Moderne Verfahren der Kryptographie) Bittau, Andrea/Handley, Mark/Lackey, Joshua: The Final Nail in WEP’s Coffin, University College London, 2006: abrufbar unter: http://www.cs.washington.edu/research/projects/poirot3/Oakland/sp/PAPERS/ 06_10_04.PDF, Stand: Februar 2014 Blechschmitt, Lisa: Zur Einführung von Quellen-TKÜ und Online-Durchsuchung, Strafverteidiger Forum, 2017, S. 361 – 365 Böck, Johannes: Session-Cookies and SSL, University of Karlsruhe, 2008: abrufbar unter: https://blog.hboeck.de/uploads/ssl-cookies.pdf, Stand: Juni 2015 Böckenförde, Thomas: Die Ermittlungen im Netz, Tübingen: Mohr Siebeck, 2003 (zugl. Diss., Würzburg, 2003) Böckenförde, Thomas: Auf dem Weg zur elektronischen Privatsphäre, JuristenZeitung, 2008, S. 925 – 939 Bode, Thomas A.: Verdeckte strafprozessuale Ermittlungsmaßnahmen, Heidelberg: SpringerVerlag, 2012 (zugl. Diss., Frankfurt (Oder), 2012) Brandt, Markus/Kukla, Klaus: Anmerkung zu LG Hildesheim, Verferungskompetenz des Providers, Zeitschrift für Wirtschafts- und Steuerstrafrecht, 10/2010, S. 415 – 416 Bratke, Bastian: Die Quellen-Telekommunikationsüberwachung im Strafverfahren, Berlin: Dunker und Humblot, 2013 (zugl. Diss., Erlangen-Nürnberg, 2012) Braun, Frank: Anmerkung zu LG Ellwangen, Beschluss vom 28.05.2013, jurisPR-ITR 18/2013 Anm. 5
Literaturverzeichnis
527
Braun, Frank/Roggenkamp, Jan: 0zapftis - (Un)Zulässigkeit von Staatstrojanern, Kommunikation und Recht, 2011, S. 681 – 686 Britz, Gabriele: Vertraulichkeit und Integrität informationstechnischer Systeme, Die Öffentliche Verwaltung, 2008, S. 411 – 415 Brodowski, Dominik: Strafprozessualer Zugriff auf E-Mail-Kommunikation, Juristische Rundschau, 10/2009, S. 402 – 412 Brodowski, Dominik: Der „Grundsatz der Verfügbarkeit“ von Daten zwischen Staat und Unternehmen, Zeitschrift für Internationale Strafrechtsdogmatik, 2012, S. 474 – 479 Brodowski, Dominik/Eisenmenger, Florian: Zugriff auf Cloud-Speicher und Internet durch Ermittlungsbehörden - Sachliche und zeitliche Reichweite der „kleinen OnlineDurchsuchung“ nach § 110 Abs. 3 StPO, Zeitschrift für Datenschutz, 2014, S. 119 – 125 Bronstein, I.N. et al.: Taschenbuch der Mathematik, 6. Auflage, Frankfurt am Main: Deutsch, 2005 (zitiert: Bronstein, Taschenbuch der Mathematik) Brunst, Phillip W.: Anonymität im Internet - rechtliche und tatsächliche Rahmenbedingungen, Berlin: Dunker und Humblot, 2009 (zugl. Diss., Erlangen-Nürnberg, 2009) Brunst, Phillip W.: Anmerkung zu BVerfGE 124, 43, Computer und Recht, 9/2009, S. 591 –593 BSI, Bundesamt für Sicherheit in der Informationstechnik: Kryptographische Verfahren: Empfehlungen und Schlüssellängen, Technische Richtlinie, TR-02102-2, 2014: abrufbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/ Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102-2_pdf, Stand: Januar 2015 Buchmann, Johannes: Einführung in die Kryptographie, 3. Auflage, Berlin [u.a.]: Springer, 2004 Buermeyer, Ulf: Zum Begriff der „laufenden Kommunikation“ bei der QuellenTelekommunikationsüberwachung, Strafverteidiger, 2013, S. 470 – 476 Buermeyer, Ulf/Bäcker, Matthias: Zur Rechtswidrigkeit der QuellenTelekommunikationsüberwachung auf Grundlage des § 100a StPO, Onlinezeitschrift für Höchstrichterliche Rechtsprechung im Strafrecht, 2009, S. 433 Bundschuh, Peter: Einführung in die Zahlentheorie, 6. Auflage, Berlin; Heidelberg: Springer, 2008 Chaabouni, Rafik: Break WEP Faster with Statistical Analysis, École polytechnique fédérale de Lausanne, 2006: abrufbar unter: http://lasecwww.epfl.ch/pub/lasec/doc/ cha06.pdf, Stand: Januar 2014 Ciccarelli, Patrick et al.: Networking Basics, 2. Auflage, New York; Weinheim: John Wiley and Sons, Inc., 2013 Delfs, Hans/Knebl, Helmut: Introduction to Cryptography: Principles and Applications, 2. Auflage, Berlin; Heidelberg; New York: Springer, 2007 Demko, Daniela: Die Erstellung von Bewegungsbildern mittels Mobiltelefon als neuartige strafprozessuale Observationsmaßnahme, Neue Zeitschrift für Strafrecht, 2004, S. 57 – 64
528
Literaturverzeichnis
Drallé, Lutz: Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, Kiel: Lorenz-von-Stein-Institut, 2010 (zugl. Diss., Kiel, 2009) Dreier, Horst: Grundgesetz Kommentar, 3. Auflage, Tübingen: Mohr Siebeck, 2013 Duong, Thai/Rizzo, Juliano: Here come the XOR Ninjas, 2011: abrufbar unter: ˜ http://www.hpcc.ecs.soton.ac.uk/dan/talks/bullrun/Beast.pdf, Stand: Juli 2015 Eckert, Claudia: IT-Sicherheit: Konzepte, Verfahren, Protokolle, 5. Auflage, München [u.a.]: Oldenbourg Verlag, 2008 Eckhardt, Jens: Die Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen im TKG, Computer und Recht, 2007, S. 336 – 344 Eckhardt, Jens: Effizienzanalyse der Telekommunikationsüberwachung nach § 100a StPO, Berlin: Wissenschaftlicher Verlag Berlin, 2009 (zugl. Diss., Trier, 2009) Ertel, Wolfgang: Angewandte Kryptographie, 3. Auflage, München: Hanser Verlag, 2007 Ferguson, Niels/Schneier, Bruce: Practical Cryptography, 1. Auflage, Indianapolis, IN: Wiley, 2003, Wiley Technology Publishing Fezer, Gerhard: Überwachung der Telekommunikation und Verwertung eines „Raumgespräches“, Neue Zeitschrift für Strafrecht, 2003, S. 625 – 630 Fezer, Gerhard: Die Rechtsprechung des BGH zum Strafverfahrensrecht seit 1995 – Teil 1, JuristenZeitung, 2007, S. 665 – 676 Fischinger, Philipp: Der Grundrechtsverzicht, Juristische Schulung, 2007, S. 808 – Fluhrer, Scott/Mantin, Itsik/Shamir, Adi: Weaknesses in the Key Scheduling Algorithm of RC4, Cisco Systems, Inc. und Computer Science Department, The Weizmann Institute, Rehovot, 2001: abrufbar unter: http://link.springer.com/content/pdf/10.1007% 2F3-540-45537-X_1.pdf, Stand: Januar 2014 Freiling, Felix/Safferling, Christoph/Rückert, Christian: Quellen-TKÜ und OnlineDurchsuchung als neue Maßnahmen für die Strafverfolgung: Rechtliche und technische Herausforderungen, Juristische Rundschau, 1/2018, S. 9 – 22 Fumy, Walter/Rieß, Hans Peter: Kryptographie: Entwurf, Einsatz und Analyse symmetrischer Kryptoverfahren, 2. Auflage, München; Wien: Oldenbourg Verlag, 1994 Gaede, Karsten: Der grundrechtliche Schutz gespeicherter E-Mails beim Provider und ihre weltweite strafprozessuale Überwachung, Strafverteidiger, 2009, S. 96 – 102 Gauci,
Sandro: Surf Jacking, EnableSecurity, 2008: abrufbar unter: https://resources.enablesecurity.com/resources/Surf%20Jacking.pdf, Stand: Juni 2015
Geier, Jim: Implementing 802.1X Security Solutions: for Wired and Wireless Networks, 1. Auflage, Indianapolis: Wiley, 2008 Gercke, Björn: Anmerkung zu BVerfGE 124, 43, Strafverteidiger, 11/2009, S. 624 – 626 Gercke, Björn: Überwachung der Telekommunikation - von der Ausnahme zur Regel, Strafverteidiger Forum, 2014, S. 94 – 100 Gercke, Marco: Heimliche Online-Durchsuchung: Anspruch und Wirklichkeit, Computer und Recht, 2007, S. 245 – 253
Literaturverzeichnis
529
Gercke, Marco/Brunst, Phillip W.: Praxishandbuch Internetstrafrecht, 1. Auflage, Stuttgart: Kohlhammer, 2009 Germann, Michael: Gefahrenabwehr und Strafverfolgung im Internet, Berlin: Dunker und Humblot, 2000 (zugl. Diss., Nürnberg, 1999) Grimm, Rüdiger/Pähler, Daniel: E-Mail-Forensik – IP-Adressen und ihre Zuordnung zu Internet-Teilnehmern und ihren Standorten, Arbeitsberichte aus dem Fachbereich Informatik 05/2010: abrufbar unter: http://www.uni-koblenz.de/~fb4reports/2010/ 2010_05_Arbeitsberichte.pdf, Stand: Januar 2014 Gudermann, Anne: Online-Durchsuchung im Lichte des Verfassungsrechts, Hamburg: Verlag Dr. Kovac, 2010 (zugl. Diss., Münster, 2009) Günther, Ralf: Zur strafprozessualen Erhebung von Telekommunikationsdaten - Verpflichtung zur Sachverhaltsaufklärung oder verfassungsrechtlich unkalkulierbares Wagnis? Neue Zeitschrift für Strafrecht, 2005, S. 485 – 492 Hachenberger, Dirk: Mathematik für Informatiker, 1. Auflage, München; Boston [u.a.]: Pearson Studium, 2005 Halvorsen, Finn Michael/Haugen, Olav: Cryptanalysis of IEEE 802.11i TKIP, Norwegian University of Science and Technology, 2009: abrufbar unter: http://hirte.aircrackng.org/tkip_master.pdf, Stand: Februar 2014 Han, Dongsu et al.: Access Point Localization Using Local Signal Strength Gradient, Carnegie Mellon University and Intel Research Pittsburgh, 2009: abrufbar unter: https://www.cs.cmu.edu/~srini/Papers/2009.Han.pam.pdf, Stand: Januar 2014 Hauser, Markus: Das IT-Grundrecht: Schnittfelder und Auswirkungen, Berlin: Dunker und Humblot, 2015 (zugl. Diss., Hamburg, 2014) Heidrich, Joerg/Forgó, Nikolaus/Feldmann, Thorsten: Heise Online-Recht - Der Leitfaden für Praktiker & Juristen, Hannover: Heise Zeitschriften Verlag, 2011, Loseblattsammlung Heinemann, Marcus: Grundrechtlicher Schutz informationstechnischer Systeme - Unter besonderer Berücksichtigung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, Berlin: Dunker und Humblot, 2015 (zugl. Diss., Passau, 2014) Herrmann, Christoph: Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme : Entstehung und Perspektiven, Frankfurt am Main: Peter Lang, 2010 (zugl. Diss., Frankfurt am Main, 2010) Hieramente, Mayeul: Legalität der strafprozessualen Überwachung des Surfverhaltens, Strafverteidiger Forum, 2013, S. 96 – 102 Hilgendorf, Eric/Valerius, Brian: Computer- und Internetstrafrecht: ein Grundriss, 2. Auflage, Berlin; Heidelberg [u.a.]: Springer, 2012 Hoffmann-Riem, Wolfgang: Der grundrechtliche Schutz der Vertraulichkeit und Integrität eigengenutzter informationstechnischer Systeme, JuristenZeitung, 2008, S. 1009 – 1022 Hoffmann-Riem, Wolfgang: Grundrechts- und Funktionsschutz für elektronisch vernetzte Kommunikation, Archiv des öffentlichen Rechts, 2009, S. 512 – 541 Hofherr, Matthias: WLAN-Sicherheit: Professionelle Absicherung von 802.11-Netzen, Hannover: Heise Zeitschriften Verlag, 2005
530
Literaturverzeichnis
Holt, Alan/Huang, Chi-Yu: 802.11 Wireless Networks: Security and Analysis, 1. Auflage, London [u.a.]: Springer-Verlag, 2010 Hornick, Andreas: Staatlicher Zugriff auf elektronische Medien, Strafverteidiger Forum, 2008, S. 281 – 286 Hornung, Gerrit: Ermächtigungsgrundlage für die Online-Durchsuchung? Datenschutz und Datensicherheit, 2007, S. 575 – 580 Hornung, Gerrit: Ein neues Grundrecht, Computer und Recht, 5/2008, S. 299 – 306 Hunt, Craig: TCP/IP - Netzwerk-Administration, 3. Auflage, Beijing; Köln [u.a.]: O’Reilly, 2003 Ihwas, Saleh Ramadan: Strafverfolgung in Sozialen Netzwerken, Baden-Baden: NomosVerlag, 2014 (zugl. Diss., Trier, 2014) Janowicz, Krzysztof: Sicherheit im Internet, 2. Auflage, Köln [u.a.]: O’Reilly, 2006 Jarass, Hans D./Pieroth, Bodo: Grundgesetz für die Bundesrepublik Deutschland, Kommentar, 14. Auflage, München: C. H. Beck, 2016 Jordan, Stefan: WLAN-Scannen - rechtliche Einsatzmöglichkeiten bei der Strafverfolgung, Kriminalistik, 2005, S. 514 – 519 juris Praxiskommentar Internetrecht; Heckmann, Dirk (Hrsg.): juris Praxiskommentar Internetrecht, 5. Auflage, Saarbrücken: juris GmbH, 2017 Kappes, Martin: Netzwerk- und Datensicherheit: Eine praktische Einführung, 1. Auflage, Wiesbaden: Teubner Verlag, 2007 Katz, Jonathan/Lindell, Yehuda: Introduction to Modern Cryptography, 1. Auflage, Boca Raton, Fl: Chapman and Hall/CRC, 2008 KK-StPO; Hannich, Rolf (Hrsg.): Karlsruher Kommentar zur Strafprozessordnung, 7. Auflage, München: C. H. Beck, 2013 Kleih, Björn-Christian: Die strafprozessuale Überwachung der Telekommunikation, BadenBaden: Nomos-Verlag, 2010 (zugl. Diss., Tübingen, 2009) Klein, Oliver: Offen und (deshalb) einach - Zur Sicherstellung und Beschlagnahme von E-Mails beim Provider, Neue Juristische Wochenschrift, 2009, S. 2996 – 2999 Kleinjung, Thorsten [u.a.]: Factorization of a 768-bit RSA modulus, EPFL IC LACAL, Lausanne, 2010: abrufbar unter: http://eprint.iacr.org/2010/006.pdf, Stand: 18.02.2010 KMR; v. Heintschel-Heinegg, Bernd/Bockemühl, Jan (Hrsg.): StPO - Kommentar zur Strafprozessordnung, Köln: Carl Heymanns Verlag, abrufbar online über Jurion (Angabe zur Auflage fehlt) Koblitz, Neal: A Course in Number Theory and Cryptography, 1. Auflage, New York, NY: Springer-Verlag, 1987 Koblitz, Neal: Algebraic Aspects of Cryptography, Band 3, 1. Auflage, Berlin [u.a.]: Springer, 1998 Kohlmann, Diana: Online-Durchsuchungen und andere Massnahmen mit Technikeinsatz, Baden-Baden: Nomos-Verlag, 2012 (zugl. Diss., Freiburg, 2011) Konheim, Alan G.: Computer Security and Cryptography, 1. Auflage, Hoboken, New Jersey: John Wiley and Sons, Inc., 2007
Literaturverzeichnis
531
Krause, Benjamin: IP-Tracking durch Ermittlungsbehörden: Ein für § 100g StPO? Neue Zeitschrift für Strafrecht, 2016, S. 139 – 144 Krüger, Hartmut: Anmerkung zu BVerfGE 124, 43, Multimedia und Recht, 10/2009, S. 680 – 683 Kudlich, Hans: Strafverfolgung im Internet, Goltdammer’s Archiv für Strafrecht, 2011, S. 193 – 208 Kugelmann, Dieter: BKA-Gesetz, 1. Auflage, Baden-Baden: Nomos-Verlag, 2014 Kurose, James F./Ross, Keith W.: Computernetzwerke: der Top-Down-Ansatz, 5. Auflage, München: Pearson, 2012 Kurzweil, Hans: Endliche Körper: Verstehen, Rechnen, Anwenden, 2. Auflage, Berlin, Heidelberg: Springer-Verlag, 2008 Lashkari, Arash Habibi/Mansoori, Masood/Danesh, Amir Seyed: Wired Equivalent Privacy (WEP) versus Wi-Fi Protected Access (WPA), International Conference on Signal Processing Systems, 2009: abrufbar unter: http://www.ivanescobar.com/wep%20vs%20wpa.pdf, Stand: Februar 2014 Leibholz/Rinck (Begr.), Burghart, Axel: Grundgesetz für die Bundesrepublik Deutschland, Kommentar, 74. EL, Köln: Verlag Dr. Otto Schmidt, 2017 Li, Hui/Fu, Xinwen: Wireless Networks - 802.11 WiFi Exploration, University of Massachusetts Lowell, 2012: abrufbar unter: http://ccf.cs.uml.edu/labs_fu/80211/ 802.11_lab.pdf, Stand: Januar 2014 Liu, Yong-lei/Jin, Zhi-gang: Distributed method for cracking WPA/WPA2-PSK on multi-core CPU and GPU architecture, International Journal of Communication Systems, DOI: 10.1002/dac.2699, 2013: abrufbar unter: http://onlinelibrary.wiley.com/doi/10.1002/dac.2699/pdf, Stand: März 2014 Löwe-Rosenberg; v. Erb, Volker et al. (Hrsg.): Die Strafprozessordnung und das Gerichtsverfassungsgesetz, Dritter Band, 26. Auflage, Berlin, Boston: De Gruyter, 2013 Mangoldt/Klein/Starck; v. Mangoldt, Hermann (Begr.), Klein, Friedrich/Starck, Christian (Hrsg.): Kommentar zum Grundgesetz, Band 6. Auflage, München: Verlag Franz Vahlen, 2010 Maunz/Dürig; Maunz, Theodor and Dürig, Günter (Begr.), Herzog, Roman et al. (Hrsg.): Grundgesetz-Kommentar, 80. EL, München: C. H. Beck, 06/2017 Meinel, Christoph/Mundhenk, Martin: Mathematische Grundlagen der Informatik : Mathematisches Denken und Beweisen. Eine Einführung, 5. Auflage, Wiesbaden: Springer, 2011 Meinicke, Dirk: Big Brother und das Grundgesetz - Zulässigkeit und Grenzen der strafprozessualen Überwachung des Surfverhaltens, In Taeger, Jürgen (Hrsg.): Law as a Service (LaaS) - Recht im Internet- und Cloud-Zeitalter, Oldenburg: OlWIR Verlag, 2013 Meininghaus, Florian: Der Zugriff auf E-Mails im strafrechtlichen Ermittlungsverfahren, Hamburg: Verlag Dr. Kovac, 2007 (zugl. Diss., Passau, 2007) Menezes, Alfred J/Vanstone, Scott A/Oorschot, Paul C. van: Handbook of Applied Cryptography, 1. Auflage, Boca Raton, FL: CRC Press, 1997
532
Literaturverzeichnis
Meyer-Goßner; Meyer-Goßner, Lutz et al. (Hrsg.): Strafprozessordnung: Gerichtsverfassungsgesetz, Nebengesetze und ergänzende Bestimmungen, 60. Auflage, München: C. H. Beck, 2017 Möller, Bodo/Duong, Thai/Kotowicz, Krzysztof: This POODLE Bites: Exploiting THE ˜ SSL 3.0 Fallback, Google, 2014: abrufbar unter: https://www.openssl.org/bodo/sslpoodle.pdf, Stand: Jui 2015 Moskowitz, Robert: Weakness in Passphrase Choice in WPA Interface, ICSA Labs, TruSecure Corp, 2003: abrufbar unter: http://wifinetnews.com/archives/ 2003/11/weakness_in_passphrase_choice_in_wpa_interface.html, Stand: März 2014 Münchener Kommentar zur StPO; Knauer, Christoph/Kudlich, Hans/Schneider, Hartmut (Hrsg.): Münchener Kommentar zur StPO, 1. Auflage, München: C. H. Beck, 2014 Neuhöfer, Daniel: Soziale Netzwerke: Private Nachrichteninhalte im Strafverfahren, Juristische Rundschau, (1) 2015, S. 21 – 31 Obenhaus, Nils: Cloud Computing als neue Herausforderung für Strafverfolgungsbehörden und Rechtsanwaltschaft, Neue Juristische Wochenschrift, 2010, S. 651 – 655 Oermann, Markus/Staben, Julian: Mittelbare Grundrechtseingriffe durch Abschreckung? Zur grundrechtlichen Bewertung polizeilicher „Online-Streifen“ und „OnlineErmittlungen“ in sozialen Netzwerken, Der Staat, 2013, S. 630 – 661 Ohigashi, Toshihiro/Morii, Masakatu: A Practical Message Falsication Attack on WPA, Hiroshima University und Kobe University, 2009: abrufbar unter: http://n-pn.info/repo/Zenk-Security/Techniques_d.attaques__.__Failles/ A%20Practical%20Message%20Falsification%20Attack %20on%20WPA.pdf, Stand: Februar 2014 Olagunju, Amos/Seedorf, Timothy: Requirements for Secure Wireless Networks: An Analysis of the WEP and WPA with Aircrack-ng Suite, St. Cloud State University, Minnesota, 2011: abrufbar unter: http://www.iiis.org/cds2011/cd2011imc/icsit_2011/ paperspdf/hb046cs.pdf, Stand: Februar 2014 Osterhage, Wolfgang W.: sicher & mobil: Sicherheit in der drahtlosen Kommunikation, Berlin, Heidelberg: Springer-Verlag, 2010 Paar, Christof/Pelzl, Jan: Understanding Cryptography - A Textbook for Students and Practitioners, 1. Auflage, Berlin; Heidelberg [u.a.]: Springer, 2010 Pachghare, V. K.: Cryptography And Information Security, 1. Auflage, New Delhi: PHI Learning, 2009 Padberg, Friedhelm: Elementare Zahlentheorie, 2. Auflage, Mannheim [u.a.]: BI-Wiss.-Verl., 1991 Palm, Franz/Roy, Rudolf: Mailboxen: Staatliche Eingriffe und andere rechtliche Aspekte, Neue Juristische Wochenschrift, 1996, S. 1791 – 1797 Piltz, Gisela/Pfister, Maja: Verfassungsrechtlich nicht unbedenklich – das BKA-Gesetz, Recht und Politik, 2009, S. 4 – 10 Plate, Jürgen: Grundlagen Computernetze, FH München: http://www.netzmafia.de/ skripten/netze/netz4.html, Stand: Juli 2013 Poguntke, Werner: Basiswissen IT-Sicherheit: das Wichtigste für den Schutz von Systemen und Daten, 1. Auflage, Herdecke; Witten: W3L-Verlag, 2007
Literaturverzeichnis
533
Puschke, Jens/Singelnstein, Tobias: Telekommunikationsüberwachung, Vorratsdatenspeicherung und (sonstige) heimliche Ermittlungsmaßnahmen der StPO nach der Neuregelung zum 1. 1. 2008, Neue Juristische Wochenschrift, 2008, S. 113 – 119 Pyshkin, Andrei/Tews, Erik/Weinmann, Ralf-Philipp: Breaking 104 Bit WEP in Less Than 60 Seconds, TU Darmstadt, 2007: abrufbar unter: http://link.springer.com/ content/pdf/10.1007%2F978-3-540-77535-5_14.pdf, Stand: Januar 2014 Rebmann, Kurt: Der Einsatz verdeckt ermittelnder Polizeibeamter im Bereich der Strafverfolgung, Neue Juristische Wochenschrift, 1985, S. 2 – 6 Rech, Jörg: Ethernet: Technologien und Protokolle für die Computervernetzung, 2. Auflage, Hannover: Heise Zeitschriften Verlag, 2008 Rech, Jörg: Wireless LANs: 802.11-WLAN-Technologie und praktische Umsetzung im Detail, 4. Auflage, Hannover: Heise Zeitschriften Verlag, 2012 Reisner, Michael (Hrsg.): Ethernet: das Grundlagenbuch, 1. Auflage, Poing: Franzis’ Verlag GmbH, 2002 Reiss, Kristina/Schmieder, Gerald: Basiswissen Zahlentheorie : eine Einführung in Zahlen und Zahlbereiche, 1. Auflage, Berlin; Heidelberg; New York: Springer, 2005 Rescorla, Eric: SSL and TLS: Designing and Building Secure Systems, 1. Auflage, Boston [u.a]: Addison-Wesley, 2001 Ribenboim, Paulo: Die Welt der Primzahlen, 2. Auflage, Berlin; Heidelberg [u.a.]: Springer, 2011 Riggert, Wolfgang: Rechnernetze: Grundlagen, Ethernet, Internet, 4. Auflage, München: Carl Hanser Verlag, 2012 Ristic, Ivan: Bulletproof SSL and TLS, 1. Auflage, London: Feisty Duck Ld., 2014 Ristic, Ivan: Internet SSL Survey 2010, Qualys SSL Labs, 2010: abrufbar unter: https://community.qualys.com/servlet/JiveServlet/download/38-1636/Qualys _SSL_Labs-State_of_SSL_2010-v1.6.pdf, Stand: Januar 2015 Ristic, Ivan/Kandek, Wolfgang: SSL and Browsers: The Pillars of Broken Security, Qualys SSL Labs, 2012: abrufbar unter: https://community.qualys.com /servlet/JiveServlet/download/38-9096/SSL_and_Browsers-The_Pillars_of_ Broken_Security.pdf, Stand: Juli 2015 Roggan, Fredrik (Hrsg.): Online-Durchsuchungen: Rechtliche und tatsächliche Konsequenzen des BVerfG-Urteils vom 27. Februar 2008, Berlin: Berliner Wissenschafts-Verlag, 2008 Roggan, Fredrik: Die „Technikoffenheit“ von strafprozessualen Ermittlungsbefugnissen und ihre Grenzen, Neue Juristische Wochenschrift, 2015, S. 1995 – 1999 Roggan, Fredrik: Die strafprozessuale Quellen-TKÜ und Online-Durchsuchung: Elektronische Überwachungsmaßnahmen mit Risiken für Beschuldigte und die Allgemeinheit, Strafverteidiger, 2017, S. 821 – 829 Rux, Johannes: Ausforschung privater Rechner durch die Polizei- und Sicherheitsbehörden, JuristenZeitung, 2007, S. 285 – 295 Sachs, Michael: Sicherstellung von E-Mails auf dem Server des Providers - Anmerkung zu BVerfGE 124, 43, Juristische Schulung, 2009, S. 1131 – 1133
534
Literaturverzeichnis
Sachs, Michael: Verfassungsrecht II - Grundrechte, 3. Auflage, Berlin [u.a.]: Springer-Verlag, 2017 Sachs, Michael (Hrsg.): Grundgesetz Kommentar, 8. Auflage, München: C. H. Beck, 2018 Sankol, Barry: Überwachung von Internet-Telefonie, Computer und Recht, 2008, S. 13 – 18 Satzger, Helmut/Schluckebier, Wilhelm/Widmaier, Gunter (Hrsg.): StPO - Strafprozessordnung Kommentar, 2. Auflage, Köln: Carl Heymanns Verlag, 2016 Sauter, Martin: Grundkurs Mobile Kommunikationssysteme: UMTS, HSPA und LTE, GSM, GPRS, Wireless LAN und Bluetooth, 5. Auflage, Wiesbaden: Springer Vieweg, 2013 Schenke, Wolf-Rüdiger/Graulich, Kurt/Ruthig, Josef (Hrsg.): Sicherheitsrecht des Bundes, 1. Auflage, Beck, 2014 Schmeh, Klaus: Kryptografie und Public-Key-Infrastrukturen im Internet, 2. Auflage, Heidelberg: dpunkt-Verlag, 2001 Schmeh, Klaus: Kryptografie : Verfahren, Protokolle, Infrastrukturen, 4. Auflage, Heidelberg: Dpunkt.Verlag, 2009 Schneider, Franziska: Rechtliche Rahmenbedingungen für die Vornahme von OnlineDurchsuchungen, Frankfurt [u.a.]: Verlag Peter Lang, 2012 (zugl. Diss., Kiel, 2011) Schneider, Hartmut: Zur Zulässigkeit strafprozessualer Begleitmaßnahmen im Zusammenhang mit dem Abhören des nicht öffentlich gesprochenen Wortes in Kraftfahrzeugen, Neue Zeitschrift für Strafrecht, 1999, S. 388 – 391 Schneier, Bruce: Angewandte Kryptographie: Protokolle, Algorithmen und Sourcecode in C, 1. Auflage, München; Boston [u.a.]: Pearson Studium, 2006 Schön, Stephanie: Ermittlungsmaßnahmen über das Internet, Frankfurt am Main: Peter Lang, 2013 (zugl. Diss., Frankfurt am Main, 2013) Schüller, Anton et al.: RSA - Primzahlen zur Verschlüsselung von Nachrichten, Fraunhofer-Institut Algorithmen und Wissenschaftliches Rechnen SCAI, 2013: abrufbar unter: http://www.scai.fraunhofer.de/fileadmin/download/mathematik _praxis/rsa/rsa_skript_und_arbeitsblaetter.pdf, Stand: September 2012 Schwabenbauer, Thomas: Kommunikationsschutz durch Art. 10 GG im digitalen Zeitalter, Archiv des öffentlichen Rechts, 137 2012, S. 1 – 41 Schwenk, Jörg: Sicherheit und Kryptographie im Internet : Von sicherer E-Mail bis zu IP-Verschlüsselung, 2. Auflage, Wiesbaden: Vieweg, 2005 Seitz, Nicolai: Strafverfolgungsmaßnahmen im Internet, Köln: Carl Heymanns Verlag, 2004 (zugl. Diss., Köln, 2004) Sieber, Ulrich: Straftaten und Strafverfolgung im Internet: Gutachten C zum 69. Deutschen Juristentag, München: C. H. Beck, 2012 Sievers, Malte: Der Schutz der Kommunikation im Internet durch Art. 10 des Grundgesetzes, Baden-Baden: Nomos-Verlag, 2003 Singelnstein, Tobias: Möglichkeiten und Grenzen neuerer strafprozessualer Ermittlungsmaßnahmen, Neue Zeitschrift für Strafrecht, 2012, S. 593 – 606 Singelnstein, Tobias: Verhältnismäßigkeitsanforderungen für strafprozessuale Ermittlungsmaßnahmen - am Beispiel der neueren Praxis der Funkzellenabfrage, JuristenZeitung, 2012, S. 601 – 608
Literaturverzeichnis
535
Singelnstein, Tobias: Bildaufnahmen, Orten, Abhören – Entwicklungen und Streitfragen beim Einsatz technischer Mittel zur Strafverfolgung, Neue Zeitschrift für Strafrecht, 2014, S. 305 – 311 Singelnstein, Tobias/Derin, Benjamin: Das Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens, Neue Juristische Wochenschrift, 2017, S. 2646 – 2652 SK-StPO; Wolter, Jürgen (Hrsg.): Systematischer Kommentar zur Strafprozessordnung und zum Gerichtsverfassungsgesetz, Band II, 5. Auflage, Köln: Carl Heymanns Verlag, 2016 SK-StPO; Rudolphi, Hans-Joachim/Wolter, Jürgen et. al. (Hrsg.): Systematischer Kommentar zur Strafprozessordnung und zum Gerichtsverfassungsgesetz, Neuwied/Kriftel/Berlin: Luchterhand Verlag, Loseblattsammlung, 64. EL, 2009 Soiné, Michael: Personale verdeckte Ermittlungen in sozialen Netzwerken zur Strafverfolgung, Neue Zeitschrift für Strafrecht, 2014, S. 248 – 251 Soiné, Michael: Identifizierung von E-Mails mit Schadprogrammen durch Sicherheitsbehörden - Grundrechtsfragen bei der Auslegung des „entwicklungsoffenen“ Fernmeldegeheimnisses, Multimedia und Recht, 2015, S. 22 –25 Spindler, Gerald/Schuster, Fabian (Hrsg.): Recht der elektronischen Medien, 3. Auflage, München: C. H. Beck, 2015 Stadler, Thomas: Zulässigkeit der heimlichen Installation von Überwachungssoftware Trennung von Online-Durchsuchung und Quellen-Telekommunikationsüberwachung möglich? Multimedia und Recht, 2012, S. 18 – 20 Stallings, William: Cryptography and Network Security: Principles and Practice, 3. Auflage, Upper Saddle River, New Jersey: Pearson Education, Inc, 2003 Stinson, Douglas R.: Cryptography: Theory and Practice, 1. Auflage, Boca Raton, Florida [u.a.]: CRC Press, 1995 Störing, Marc: Strafprozessuale Zugriffsmöglichkeiten auf E-Mail-Kommunikation, Berlin: Logos Verlag, 2007 (zugl. Diss., Bochum, 2007) Susskind, Richard: Tomorrow’s Lawyers, 1. Auflage, Oxford: Oxford University Press, 2013 Swoboda, Joachim/Spitz, Stephan/Pramateftakis, Michael: Kryptographie und IT-Sicherheit : Grundlagen und Anwendungen, 1. Auflage, Wiesbaden: Vieweg+Teubner, 2008 Szebrowski, Nickel: Kommentar zu BVerfG, E-Mail-Beschlagnahme, Kommunikation und Recht, 9/2009, S. 563 – 565 Takahashi, Takehiro: WPA Passive Dictionary Attack Overview, Georgia Institute of Technology, 2004: abrufbar unter: http://www.lastlog.de/misc/WPA_Passive _Dictionary_Attack_Overview.pdf, Stand: März 2014 Tanenbaum, Andrew S./Wetherall, David J.: Computernetzwerke, 5. Auflage, München [u.a.]: Pearson, 2012 Tews, Erik: Attacks on the WEP protocol, TU Darmstadt, 2007: abrufbar unter: http://eprint.iacr.org/2007/471.pdf, Stand: Januar 2014 Tilborg, Henk C. A.: Fundamentals of Cryptology: A Professional Reference and Interactive Tutorial, 1. Auflage, Boston, Dordrecht [u.a.]: Kluwer Academic Publishers, 2000
536
Literaturverzeichnis
Valerius, Brian Dr.: Ermittlungsmaßnahmen im Internet, Juristische Rundschau, 2007, 275 –280 Vanhoef, Mathy/Piessens, Frank: Practical Verification of WPA-TKIP Vulnerabilities, KU Leuven, 2013: abrufbar unter: http://people.cs.kuleuven.be/~mathy.vanhoef/ papers/wpatkip.pdf, Stand: Februar 2014 Vaudenay, Serge: A Classical Introduction to Cryptography: Applications for Communications Security, 1. Auflage, New York: Springer, 2006 Viehböck, Stefan: Brute forcing Wi-Fi Protected Setup, 2011: abrufbar unter: http://sviehb.files.wordpress.com/2011/12/viehboeck_wps.pdf, Stand: Oktober 2014 Wilke, Thomas/Küsters, Ralf: Moderne Kryptographie : Eine Einführung, 1. Auflage, Wiesbaden: Teubner, 2011 Wobst, Reinhard: Abenteuer Kryptologie, 2. Auflage, Bonn: Addison-Wesley, 1998 Wohlers, Wolfgang/Demko, Daniela: Der strafprozessuale Zugriff auf Verbindungsdaten (§§ 100g, 100h StPO), Strafverteidiger, 2003, S. 241 – 248 Wolff, Manfred P. H/Hauck, Peter/Küchlin, Wolfgang: Mathematik für Informatik und BioInformatik, 1. Auflage, Berlin [u.a.]: Springer, 2004 Zahoransky, Richard: WPA-TKIP: Überblick und Angriffe, Universität Freiburg, 2010: abrufbar unter: http://www.data.ks.uni-freiburg.de/download/praxisseminarSS10/ wpa/Richard_ Zahoransky_WPA.pdf, Stand: Februar 2014 Zerbes, Ingeborg/El-Ghazi, Mohamad: Zugriff auf Computer: Von der gegenständlichen zur virtuellen Durchsuchung, Neue Zeitschrift für Strafrecht, 2015, S. 425 – 433 Ziegenbalg, Jochen: Elementare Zahlentheorie : Beispiele, Geschichte, Algorithmen, 1. Auflage, Frankfurt am Main: Verlag Harri Deutsch, 2002 Ziegler, Paul Sebastian: Netzwerkangriffe von innen, 1. Auflage, Köln: O’Reilly Verlag, 2008 Zimmermann, Till: Der strafprozessuale Zugriff auf E-Mails, Juristische Arbeitsblätter, 2014, 321 – 327 Zisler, Harald: Computer-Netzwerke: Grundlagen, Funktionsweise, Anwendung, 1. Auflage, Bonn: Galileo Press, 2012
Stichwortregister Abhören des WLAN, 186 Access Point, 73, 77, 260 Aktualität, 71 Analogieverbot, 166 Angriffe, 83, 91, 121 ARP, 50, 123 ARPANet, 41 Asymmetrische Algorithmen, 60 Authentifizierung, 79, 82, 90
GVIiS, 164, 202, 266, 269, 277, 287, 311, 327
Beacon-Frame, 75 Beschlagnahme, 167, 215 Betroffene, 240 BKA, 35 BKAG, 305 Brute-Force-Angriff, 91
Identitätstäuschung, 324 IEEE 802.11, 47, 73 IMSI-Catcher, 302 Informationstechnisches System, 203 Inhaltsdaten, 115 Instant Messaging, 117 Internet-Netzwerk, 40 IT-Grundrecht, siehe GVIiS
Chat, 117, 155 Computer-Grundrecht, siehe GVIiS Daten, 215 Digitale Signaturen, 66 Download, 321 Durchsicht, 218 Durchsuchung, 218 E-commerce, 156 Eingreifen in IT-Systeme, 245, 293 E-Mail, 116, 155, 190, 223 Ermittlungsgeneralklausel, 167 Evil Twin, 159, 326 Evil-Twin-Angriff, 103, 109 Fernmeldeverkehr, 168 Funkwellen, 160 Gesetzesvorbehalt, 166
Hashfunktion, 67 Hidden Network, 75 HPKP, 133 HSTS, 131, 275 HTTP, 45 HTTPs, 119, 121, 158, 161, 273
Kommunikationslösung, 196 Kryptanalyse, 55, 62, 161 Kryptographie, 118 Kryptographischer Algorithmus, 56 Kryptologie, 55 Laufende Telekommunikation, 206 MAC-Adresse, 260 Man-in-the-Middle-Angriff, 63, 70, 123, 126 Maschine-zu-Maschine, 263, 302 MITM, siehe Man-in-the-Middle-Angriff Monitor Mode, 106 Netzwerkinfrastruktur, 285 Netzwerkprotokoll, 42 NoeP, 324
538
Stichwortregister
NWVerfSchG, 302 Online-Banking, 156, 195 Online-Durchsuchung, 150, 167, 296, 314, 333 Online-Streife, 172 Passwörter, 115 Postbeschlagnahme, 167, 219 Primärmaßnahme, 142, 155, 169, 186, 257 PSK, 95 Public-Key-Infrastructure, 64 Quellen-TKÜ, 150, 167, 288 Rechnernetze, 204 Recht auf inform. Selbstbestimmung, 163, 212, 271, 324 Router, 224 Scanning, 74 Schlüsselaustausch, 58 Sekundärmaßnahmen, 143, 152, 156, 171, 259, 336 Sicherheitslücke, 275 Smartphone, 187, 203 Sniffen, 106, 107, 115 Social Engineering, 320 Soziale Netzwerke, 117 Spear Phishing, 320 Sphärenmodell, 190 SSL-Stripping, 125, 158 Staatstrojaner, siehe Trojaner Symmetrische Algorithmen, 57 Täuschung, 158, 320 TCP/IP-Referenzmodell, 42, 43 Technische Ermittlungsmaßnahmen, 266
Technische Mittel, 293 Telekommunikation, 227, 232 Telekommunikationsgeheimnis, 164, 189, 261, 264, 269, 277, 285, 322 Telekommunikationsüberwachung, 167, 226, 279, 290 Trojaner, 31–33, 321 Überwachung des Surfverhaltens, 186, 194 Unverletzlichkeit der Wohnung, 165, 209, 269 Verdeckter Ermittler, 324 Verfassungskonforme Auslegung, 312 Verhältnismäßigkeitsgrundsatz, 282 Verschlüsselung, 80, 88, 118, 154, 157, 273 Webmail, 116, 155, 187 WEP, 80, 106, 275 Wesentlichkeitstheorie, 166 WhatsApp, 33 Wi-Fi Protected Access, siehe WPA Wired Equivalent Privacy, siehe WEP WLAN-Catching, 35, 152, 162 WLAN-Verkehrsdaten, 250 World Wide Web, 119, 140 WPA, 49, 87, 107, 159, 275 WPA2, siehe WPA WPS, 96 Zero-Day-Exploit, 134 Zollfahndungsdienst, 35 Zugangsdaten, 115 Zugriff auf Funknetzwerke, 72 Zwischenspeicherung von E-Mails, 190, 217