Praxistipps

Die Entschlüsselung von Smartphones gegen den Willen des Beschuldigten

Die Entschlüsselung von Smartphones gegen den Willen des Beschuldigten

Zur Herausgabe eines Passworts ist der Beschuldigte eines Strafverfahrens aufgrund der Selbstbelastungsfreiheit bekanntlich nicht verpflichtet. Ist ein Smartphone mittels PIN-Code gesichert, muss dieses daher zunächst „geknackt“ werden, bevor Ermittlungsbehörden auf die Daten zugreifen können. Doch wie verhält es sich mit biometrisch gesicherten Endgeräten? Dürfen Ermittler das Smartphone eines Beschuldigten – gegen seinen Willen – durch das Auflegen seines Fingers oder durch das Vorhalten vor sein Gesicht entsperren? Sieht die StPO für die Überwindung biometrischer Barrieren eine Befugnisnorm vor?

Mit diesen und weiteren Fragen beschäftigen sich Daniel Zühlke und ich im aktuellen Heft der Spezialausgabe des Strafverteidigers.

Hier eine kurze Zusammenfassung des Beitrags:

Das Smartphone als »ultimatives Beweismittel«

Ein intensiv genutztes verschlüsseltes Smartphone wird durch die Ansammlung persönlicher Daten zum »ultimativen Beweismittel« für die Ermittlungsbehörden, da es das gesamte Leben des Beschuldigten dokumentiert und Aufschluss über Aufenthaltsorte, Kommunikationsinhalte, Kontakte, Gewohnheiten und sogar Schlafzeiten und -Qualität gibt. Die Auswertung stellt einen der tiefsten (offenen) Eingriff e in das Persönlichkeitsrecht des Beschuldigten dar. Smartphones unterliegen als Sonderfall informationstechnischer Systeme daher besonderem Schutz, da sie Daten über nahezu jeden Lebensbereich des Verwenders gesammelt bereithalten und der Nutzer auf die Vertraulichkeit dieser Daten schutzwürdig vertraut. Bereits die bloße Verschlüsselung intensiviert den Grundrechtseingriff bei einer Auswertung maßgeblich; das Vertrauen des Verwenders in seinen informationstechnischen Selbstschutz ist seinerseits rechtlich schützenswert.

Beschlagnahme und Auswertung des verschlüsselten Smartphones

Beschlagnahmen die Ermittlungsbehörden verschlüsselte Smartphones, die im Strafverfahren gegen den Willen des Beschuldigten verwertet werden sollen, ist eine Entschlüsselung notwendig, um die Daten auszulesen. Da Smartphones auf verschiedene Arten gesichert sein können, bestehen mehrere Optionen, die Schwierigkeiten teils praktischer, teils rechtlicher Natur unterliegen.

Keine Pflicht des Beschuldigten zur Mitteilung des Passworts

Die überwiegende Anzahl der Smartphones ist durch (mindestens) ein Passwort gesichert, das zum Entsperren des Gerätes benötigt wird. Hinzu kommt ein oftmals abweichender Code für die SIM-Karte. Nach dem Nemo-tenetur-Grundsatz, welcher zu den essentiellen Prinzipien eines rechtsstaatlichen Strafverfahrens gehört, darf niemand gezwungen werden, sich selbst zu belasten. Einem Beschuldigten steht es danach frei, sich zum Tatvorwurf zu äußern oder von seinem Schweigerecht Gebrauch zu machen. Auch im Übrigen darf er nicht gezwungen werden, aktiv an der  Aufklärung des Sachverhaltes mitzuwirken. Folglich ist er auch nicht zur Mitteilung eines Passworts bzw. PIN-Codes verpflichtet.

Ohne Kenntnis des Passworts bzw. PIN-Codes verbleibt für die Behörden nur die sehr zeitaufwendige und teure Möglichkeit des »Knackens« der Verschlüsselung durch systematisches und automatisiertes Durchtesten aller möglichen Kombinationen – i.d.R. durch Beauftragung eines entsprechenden Dienstleisters. Diese sog. Brute-Force-Methode hat zudem keine Erfolgsgarantie. Das Verfahren ist daher nach Möglichkeit durch wirksamere und zügigere Verfahrensweisen zu ersetzen, um das Ermittlungsverfahren effizienter zu gestalten und zugleich den Grundrechtseingriff bei der Beschlagnahme des Smartphones möglichst gering zu halten.

Keine Rechtsgrundlage für die zwangsweise biometrische Entsperrung

Fingerabdrucksensoren und die Entsperrung via Gesichtserkennung setzen sich am Smartphone-Markt immer weiter durch. Kaum ein modernes Mobiltelefon verfügt nicht mehr über die technische Möglichkeit der Fingerabdruckerkennung. Eine rechtlich brisante und höchstrichterlich noch nicht entschiedene Frage ist, ob Ermittlungsbehörden den Finger des Beschuldigten zwangsweise auf den Scanner legen, oder den Beschuldigten für eine Gesichts- oder Iriserkennung fixieren dürfen.

Nach der hier vertretenen Ansicht fehlt kann die Entsperrung des Smartphones nicht unter erzwungener Mitwirkung des Beschuldigten erfolgen. Dies gebietet der nemo-tenetur-Grundsatz. Den Ermittlungsbehörden stehen einzig die Durchsuchung gem. § 102 StPO zum Auffinden verschriftlichter Passwörter, sowie die Online-Durchsuchung gem. § 100b StPO zur Verfügung. Andernfalls verbleibt lediglich die Entsperrung im Wege der »brute-force«-Methode. Für das Auflegen des Fingers auf den Fingerabdrucksensor oder das Öffnen des Auges für einen Retinascan unter Anwendung von unmittelbarem Zwang hält die StPO keine hinreichende Rechtsgrundlage bereit.

*Update vom 19.10.2021* Den vollständigen Beitrag gibt es aktuell in der der Gratis-Ausgabe des StV Heft 3/2021.

Fußnoten

[1] Der vollständige Beitrag findet sich hier: Die Entschlüsselung von Smartphones gegen den Willen des Beschuldigten, StV-S 2021, Heft 3, S. 117 – 124 .

Posted by Dr. Mathias Grzesiek in IT-Strafrecht, Literaturempfehlung, Praxistipps
Tatortbestimmung im Internet

Tatortbestimmung im Internet

Der Tatort einer Straftat lässt sich bei vielen Delikten – bspw. einer Körperverletzung oder einem Diebstahl – im „realen“ Leben ohne Schwierigkeiten bestimmen. Im Bereich der Cyberkriminalität gestaltet sich dies dagegen umso schwieriger. Soll darauf abgestellt werden, wo sich der Täter selbst während der strafbaren Handlung befindet, wo die Handlung ihre Wirkung entfaltet oder doch darauf, wo sich der vom Täter ausgewählte Server befindet? Relevant ist die Klärung dieser Frage mitunter, um herauszufinden, ob und wo ein Täter strafrechtlich verfolgt werden kann.

Gemäß § 9 Abs. 1 StGB ist eine Tat an jedem Ort begangen, an dem der Täter gehandelt hat oder im Falle des Unterlassens hätte handeln müssen oder an dem der zum Tatbestand gehörende Erfolg eingetreten ist oder nach der Vorstellung des Täters eintreten sollte. Der Tatort kann somit sowohl nach dem Handlungs- als auch nach dem Erfolgsort einer Straftat bestimmt werden.

Der Handlungsort als Tatort

Der Bundesgerichtshof knüpft den Handlungsort iSd § 9 Abs. 1, 1. Fall StGB im Bereich der Cyber-Delikte bei einem aktivem Tun ausschließlich an den Aufenthaltsort des Täters, folglich an den Ort, an dem sich der Täter bei Vornahme der tatbestandlichen Handlung physisch befindet. Unerheblich hingegen ist demnach, wo die durch mediale Übertragung transportierte Handlung ihre Wirkung entfaltet oder an welchem Standort sich der genutzte Server befindet.[1]

Den teilweise in der Rechtsprechung und im Schrifttum – bis dahin – vertretenen gegenläufigen Ansichten[2], die im Ergebnis zu einem extensiven Anwendungsbereich des deutschen Strafrechts führen, erteilte der Bundesgerichtshof eine ausdrückliche Absage.[3]

Da der Handlungsort bei aktivem Tun auch sonst grundsätzlich durch den Aufenthaltsort des Täters bestimmt wird,[4] überzeugt die Ansicht nicht, nach der ein Handlungsort auch dort gegeben sein soll, wo die durch mediale Übertragung transportierte Handlung ihre Wirkung entfaltet. So ist der Radius der Wahrnehmbarkeit einer Handlung nicht als Teil der Handlung selbst anzusehen.[5] Aus denselben Erwägungen kommt es auch nicht in Betracht, den Standort des vom Täter angewählten Servers für ausschlaggebend zu erachten.[6]

Der Erfolgsort als Tatort

Der Tatort kann des Weiteren gemäß § 9 Abs. 1, 3. Fall und 4. Fall StGB an dem Ort liegen, „an dem der zum Tatbestand gehörende Erfolg eingetreten ist” oder eintreten sollte.

Auch hierbei stellen sich im Bereich der Cyberkriminalität verschiedene Probleme. So kann etwa eine Beleidigung im Internet durch die weltweite Abrufbarkeit im Grunde überall einen Erfolgsort haben, während sie außerhalb des Internets in der Regel einen beschränkten Empfängerkreis und daher nur wenige Erfolgsorte hat.[7]

Weiterhin haben beispielsweise abstrakte Gefährdungsdelikte, zu denen mit Ausnahme der Beleidigung alle Äußerungsdelikte zählen, nach weit verbreiteter Ansicht überhaupt keinen Erfolgsort iSd § 9 Abs. 1, 3. Fall und 4. Fall StGB, sondern sind bereits mit der Vornahme der entsprechenden Handlung vollendet. Wohingegen bei der Erpressung, einem Erfolgsdelikt, mit der Zahlung des erpressten Geldes der tatbestandliche Erfolg eintritt und der Erfolgsort somit am Ort der Zahlung liegt, genügt es beispielsweise für eine Strafbarkeit bei der Trunkenheit im Verkehr, einem abstrakten Gefährdungsdelikt, wenn der alkoholisierte Täter mit seinem Fahrzeug fährt, selbst wenn weit und breit keine andere Person, die verletzt werden könnte, anwesend ist und auch andere Rechtsgüter mit Sicherheit nicht beeinträchtigt werden.[8] Hierbei muss für eine Strafbarkeit des Täters weder ein Schaden entstehen, noch eine konkrete Gefahr für ein Rechtsgut eintreten. Mithin ist allein die Vornahme der tatbestandlichen Handlung ausreichend. Mangels der Notwendigkeit eines Erfolges existiert bei solchen Delikten auch kein Erfolgsort.

So entschieden auch der Bundesgerichtshof und das Landgericht Stuttgart, dass in einem so gelagerten Fall als Begehungsort einer Straftat regelmäßig lediglich der Handlungsort in Betracht käme.[9]

Eine damit nunmehr überholte Ansicht knüpft für die Bestimmung des Erfolgsortes bei abstrakten Gefährdungsdelikte im Internet dort an, wo die konkrete Tat ihre Gefährlichkeit entfalten kann, im Falle von Äußerungsdelikten also an jedem Ort, an dem die rechtswidrigen Inhalte verfügbar und damit abrufbar sind.[10] Der Bundesgerichtshof nahm dies allerdings nur an, wenn ein abstraktes Gefährdungsdelikt wie beispielsweise die Volksverhetzung, § 130 Abs. 1 und 3 StGB, anhand der sogenannten Eignungsformel zu einem abstrakt-konkreten Gefährdungsdelikt wird.[11] Demnach muss das entsprechende Verhalten des Täters geeignet sein, den tatbestandlichen Erfolg herbeizuführen. So sei nämlich das jeweilige Delikt hinsichtlich des Erfolgsorts mit konkreten Gefährdungsdelikten vergleichbar.[12] Jedoch hat sich der Bundesgerichtshof mittlerweile ausdrücklich von dieser Auffassung gelöst und seine Aussagen zu sogenannten abstrakt-konkreten Gefährdungsdelikten revidiert; demnach tritt jedenfalls an dem Ort, an dem die hervorgerufene abstrakte Gefahr in eine konkrete lediglich umschlagen kann, kein zum Tatbestand gehörender Erfolg ein.[13]

Teilweise wird der Erfolgsort jener Delikte auch im Sinne eines „Tathandlungserfolgs“ verstanden, wobei der jeweilige Ort sich dann entsprechend danach bestimmt, wohin der Täter rechtswidrige Daten aktiv und gezielt übermittelt.[14] Die bloße Abrufbarkeit der Daten genügt hiernach gerade nicht.

Hinsichtlich des Erfolgsortes ist ebenfalls der Rechtsprechung des Bundesgerichtshofs bzw. des Landgerichts Stuttgart[15] zu folgen, wonach im Hinblick auf abstrakte Gefährdungsdelikte lediglich auf den jeweiligen Handlungsort abgestellt werden kann. Aufgrund der Zufälligkeiten im Internet und des unbeschränkten Empfängerkreises kann auch hier allenfalls an den Aufenthaltsort des Täters verlässlich angeknüpft werden. Auch im Hinblick auf die prozessualen Konsequenzen ist es zweckmäßig und praktikabel, in dieser Frage der Rechtsprechung des Bundesgerichtshofs zu folgen.

Eine Bestimmung nach dem Standort des jeweils zur strafbaren Handlung genutzten Hardwaregerätes überzeugt nicht, unter anderem, weil zahlreiche Möglichkeiten existieren, die Identität eines Computers zu verschleiern. Am verlässlichsten bleibt daher eine Anknüpfung an den Aufenthaltsort des Täters.

Weiterlesen →

Posted by Louisa Lierz in Cybercrime, IT-Strafrecht, Praxistipps
IT-Sicherheit im Homeoffice – 7 Praktische Tipps

IT-Sicherheit im Homeoffice – 7 Praktische Tipps

Angetrieben durch die Corona-Krise nimmt der Trend zum Homeoffice stetig zu. Viele Arbeitnehmer arbeiten zum größten Teil – oder sogar ausschließlich – vom privaten Arbeitsplatz zu Hause. Im Homeoffice prallen Privat- und Arbeitsleben aufeinander, was ein Risiko für die IT-Sicherheit bedeutet. Unternehmen sehen sich daher zunehmend mit einer neuen Herausforderung konfrontiert: Der Gewährleistung von IT-Sicherheit im Homeoffice.

Cyber-Angriffe als Bedrohungsrisiko auch im Homeoffice

Cyber-Angriffe auf Unternehmen haben in den letzten Jahren merklich zugenommen. Laut der Cyber-Security-Studie 2020[1] gaben 78 Prozent der befragten Unternehmen an, im laufenden Jahr attackiert worden zu sein. Von 2018 bis 2019 betrug der durch Cyber-Angriffe verursachte Schaden mehr als 100 Milliarden Euro pro Jahr. Verglichen mit den Jahren 2016 und 2017 kam es sogar zu einer Verdopplung der Schadenssumme[2].

Cyber-Angriffe sind vielfältig und können nicht nur unangenehm sein, sondern auch zu erheblichen Vermögensschäden und Reputationsverlusten führen. Folgende Fallkonstellationen sollen der Verdeutlichung dienen:

  • Mit DDoS (Distributed-Denial-of-Service) Attacken werden Systeme gezielt überlastet, um Dienste oder Server zeitweise lahmzulegen. Ein durch eine DDoS-Attacke verursachter temporärer Ausfall eines Onlineshops oder einer Website kann innerhalb weniger Tag zu hohen Umsatzeinbußen führen.
  • Wenn Schadsoftware, wie bspw. Dateisysteme verschlüsselnde Ransomware, eindringt und die IT-Systeme eines Unternehmens lahmlegt, kann dies zu Produktionsausfällen und sogar zu einer kompletten Handlungsunfähigkeit des Unternehmens führen.
  • ATP-Angriffe, bei denen Angreifer über einen längeren Zeitraum gezielt Daten ausspionieren, können zu einem Verlust sensibler Daten oder Geschäftsgeheimnissen führen und dadurch irreversible Schäden verursachen.
  • Beim CEO-Fraud werden Mitarbeiter durch gezielte Video-Calls und E-Mails, bei denen sich der Angreifer als Führungskraft des Unternehmens ausgibt, veranlasst, große Geldbeträge zu überweisen. Diese Methode des sog. Social Engineerings ist zwar technisch anspruchslos, aber weit verbreitet.
  • Beim Phishing versuchen Cyber-Kriminelle mithilfe von gefälschten Webseiten, E-Mails oder Kurznachrichten an sensible Informationen oder Zugriffsdaten zu kommen.

Die Nichteinhaltung angemessener Sicherheitsmaßnahmen erhöht die Gefahr, Opfer eines Cyber-Angriffs zu werden. Dies gilt nicht nur im Büro, sondern auch im Homeoffice.

Optimaler Schutz nur mittels verschlüsselter VPN-Verbindung und MFA

 Bestmöglicher Schutz kann nur gewährleistet werden, wenn das Unternehmen die für das Arbeiten im Homeoffice notwendige Infrastruktur bereitstellt. Hierzu gehört neben der Zurverfügungstellung von sicheren Endgeräten (z.B. Firmen-Laptop oder Diensthandy) auch der geschützte Zugriff auf das Firmennetz via verschlüsselter VPN-Verbindung (Virtual-Private-Network). Dabei erfolgt der Verbindungsaufbau zu einer abgeschotteten Arbeitsumgebung (Terminal-Server oder Virtual-Desktop). Um eine VPN Verbindung aufzubauen, muss eine entsprechende Softwarelösung auf dem Endgerät installiert und eingerichtet werden. In der Regel gibt es vom Unternehmen hierfür Richtlinien und standardisiert genutzte Software.

Idealerweise wird die Verbindung erst dann aufgebaut, wenn sich der Mitarbeiter zuvor mittels einer MFA (Multi-Faktor-Authentifizierung) erfolgreich legitimiert hat. Hierzu ist neben der Eingabe von Login-Daten auch die Freigabe durch einen Hardware-Token (elektronisches Gerät zur Erzeugung eines Einmalpassworts) oder eine Smartphone-App erforderlich. Ist die Verbindung zum Unternehmensnetzwerk einmal aufgebaut, genießt der Mitarbeiter dank Firewall und Echtzeitüberwachung den gleichen Schutz, wie an seinem Arbeitsplatz im Büro. Das technische Konzept wird mittels einer Sicherheitsrichtline ergänzt, die das Unternehmen zur Verfügung stellen sollte. Diese sollte regeln, welche Informationen (auf Papier und auf IT-Systemen) aus dem Unternehmen transportiert und im Homeoffice bearbeitet werden dürfen, wer hierzu befugt ist und welche Sicherheitsvorkehrungen zu treffen sind.

7 praktische Tipps zur Verbesserung der IT-Sicherheit im Homeoffice

Insbesondere aus Kostengründen wird es vielen Betrieben jedoch nicht möglich sein, das beschriebene Konzept umsetzen zu können. Kommen im Homeoffice private Rechner zum Einsatz, besteht ein grundlegendes Sicherheitsrisiko, da der durchschnittliche PC-Anwender nicht über die erforderlichen Kenntnisse verfügt, um ausreichende IT-Sicherheitsmaßnahmen umsetzen zu können.

Mitarbeiter, die ihre privaten Rechner zu Arbeitszwecken nutzen, sind jedoch für die Sicherheit ihrer Geräte verantwortlich und mithin einem Haftungsrisiko ausgesetzt. Grundsätzlich sollte daher jeder Arbeitgeber, der seine Mitarbeiter auf privaten Endgeräten arbeiten lässt, erforderliche Sicherheitsmaßnahmen finanziell und organisatorisch unterstützen.

Nachfolgend werden 7 einfache und leicht umzusetzende Tipps aufgezeigt, wie die IT-Sicherheit am heimischen PC verbessert werden kann:

1. Hard- und Software auf dem neusten Stand halten

Zu einer soliden Arbeitsumgebung gehört, dass ausschließlich Software verwendet wird, die auf dem aktuellsten Stand ist. Nichts macht es Angreifern leichter, als unbekannte Schwachstellen im Programmcode (sog. Zero-Day-Exploits) zu nutzen, um Zugriff auf das Endgerät und damit auf Firmendaten zu bekommen. Notwendig ist es, stets die neuesten Software-Aktualisierungen zu installieren. Das Installieren von Updates und Patches betrifft jedoch nicht nur das Betriebssystem, sondern auch die verwendeten Software Programme, die Gerätetreiber der Hardware sowie den WLAN-Router.

2. Trennung von privaten und geschäftlichen Daten

Die private und geschäftliche Nutzung eines Geräts birgt ein großes Gefahrenpotenzial. Es ist daher empfehlenswert, die beiden Bereiche so gut es geht zu trennen. Die beste Möglichkeit stellt dabei die Nutzung von sogenannten Containern dar. Dabei handelt es sich um Anwendungen, die einen geschützten Bereich auf dem Endgerät abtrennen. Nur innerhalb dieses Containers ist ein Zugriff auf Unternehmensdaten möglich.

Steht keine Container-Software zur Verfügung, so kann eine Trennung der Daten zumindest über separate Benutzerkonten erfolgen. Wird der private Computer für die Arbeit im Homeoffice genutzt, dann sollte hierfür ein separates Konto erstellt werden. Hierdurch können private von geschäftlichen Daten getrennt werden. Das Arbeitskonto sollte selbstverständlich mit einem eigenen Passwort versehen werden.

Was den Zugriff auf das E-Mail-Postfach angeht, sollte dieser via Exchange-Client oder Webmail erfolgen, damit E-Mails nicht auf dem privaten Rechner gespeichert werden.

3. Nutzung aktueller Sicherheitssoftware

Sicherheitsprogramme, die nicht nur vor Computerviren schützen, sondern auch einen Phishing-Schutz und eine Firewall bieten, gibt es bereits für kleines Geld. Virenschutz ist nicht nur empfehlenswert, sondern fast schon obligatorisch. Der Befall des PCs im Homeoffice durch Malware kann sich schnell im gesamten Firmennetzwerk ausbreiten und erhebliche Schäden verursachen.

4. Verschlüsselung der Festplatte sowie portabler Speichermedien

Ein weiterer Tipp besteht darin, die Festplatte des Geräts und externe Speichermedien – wie USB-Sticks, Speicherkarten oder mobile Festplatten – zu verschlüsseln. Hierdurch kann auch im Homeoffice gewährleistet werden, dass Daten geschützt bleiben. Dieser Schutz hilft insbesondere dann, wenn das Notebook oder das Speichermedium verloren geht. Die Verschlüsselung des Datenspeichers ist meist mit den vorhandenen Mittelns des Betriebssystems möglich und verursacht keine zusätzlichen Kosten.

Weiterlesen →

Posted by Dr. Mathias Grzesiek in Cybersecurity, Datenschutz, IT-Compliance, Praxistipps