Strafverfolgung bei Anonymisierungsdiensten und Verschlüsselung
Dass das Internet ein Medium ist, das Aktivist_innen vielfältig für sich nutzen und dass diese Kommunikation von besonderem Interesse für Strafverfolgungsbehörden ist, wird sicher keine_n von euch überraschen. Das Wissen um die Bedeutung von Diensten wie TOR (The Onion Router) oder die Nutzung von Verschlüsselung ist mittlerweile zum Glück halbwegs weit in der Szene verbreitet. Nichtsdestotrotz gibt es rechtlich einige Dinge beim Einsatz dieser Techniken zu beachten, damit im Nachhinein nicht böse Überraschungen drohen.
Anonyme Zwiebeln
Im Internet lassen sich normalerweise sämtliche Bewegungen über eine sog. IP-Adresse nachvollziehen. Dies sind Zahlenkombinationen, die jedem Internetanschluss zugewiesen werden und beim Abrufen einer Web-Seite offen sichtbar sind. Um dies zu verhindern oder etwaige Internet-Zensur-Mechanismen von staatlicher Seite zu umgehen, können sogenannte Anonymisierungsdienste eingesetzt werden. Das bekannteste Werkzeug für diesen Zweck heißt The Onion Router (TOR). Dabei wird neben dem eigentlichen Internet noch ein weiteres Netzwerk aufgebaut, das der Verschleierung sowohl der eigenen Identität als auch des gewünschten Ziels (z.B. einer Internetseite) dient. Kurz gesagt funktioniert das technisch so, dass statt einer direkten Verbindung zur gewünschten Web-Seite eine Verbindung über das TOR-Netzwerk aufgebaut wird und durch zufälliges Springen über einige „Knoten“ innerhalb des Netzes die eigene Identität verschleiert wird. Am Ende dieser Kette erfolgt dann wieder der Austritt über einen zufälligen Knoten in das „normale“ Internet. (1) Im Gegensatz zum obigen Normalfall ist danach nicht mehr die eigene Anschluss-IP sichtbar, sondern die IP des Austrittsknotens, dem sog. Exit-Node. Diese Teile des TOR-Netzwerks sind essentiell wichtig für das Funktionieren dieser Technologie und jede_r kann durch einen einfachen Klick in der Konfiguration als solch ein Exit-Node fungieren.
Problematisch wird es nur dann, wenn strafbare Handlungen über das TOR-Netzwerk passieren und dann die eigene IP (in der Funktion eines Exit-Nodes) bei den Ermittlungsbehörden landet. So gab es in den vergangenen Jahren bereits Hausdurchsuchungen und Beschlagnahmen von Technik, die der Bereitstellung eines solchen Exit-Nodes diente, mit dem Vorwurf, es wären strafbare Handlungen damit getätigt worden. Mit ein paar Vorsichtsmaßnahmen kann das Risiko, für die Taten Dritter haftbar gemacht zu werden, hier aber drastisch minimiert werden.
Zum einen gilt für Exit-Node-Betreiber_innen das sog. Provider-Privileg (§7 (2) und §§8 bis 10 Telemediengesetz (TMG)). Dies bedeutet, dass Provider nicht für die Aktionen ihrer Kund_innen haftbar gemacht werden können. Sie könnten maximal zur Herausgabe von Nutzer_innendaten oder zum Einrichten von Überwachungsmaßnahmen nach § 100b StPO gezwungen werden. Das Speichern von Nutzer_innendaten findet allerdings bei TOR technisch nicht statt (2) und stünde auch nicht im Einklang mit dem TMG, welches ein Speichern von Daten, sofern sie nicht für Abrechnungszwecke gebraucht werden, untersagt. Eine Überwachungsanordnung nach §100b StPO ist auch durch das stets zufällige Wählen des Exit-Nodes eine mehr als fragliche Maßnahme. Die Behörden würden beim Überwachen eines einzigen Exit-Nodes nur einen sehr kleinen Ausschnitt der Kommunikation im TOR-Netzwerk abhören können.
Damit allerdings diese Provider-Tätigkeit belegt werden kann, sollte der Exit-Node mit einer separaten IP-Adresse versorgt werden – also auf keinen Fall über den heimischen WG-Internet-Anschluss betrieben werden. Dann könnte nämlich nicht widerlegt werden, dass mensch selbst die kriminalisierte Handlung getätigt hat. (3)
Daumenschrauben für Passwörter
Seit in Großbritannien im Jahr 2000 ein Katalog mit neuen Überwachungsmaßnahmen und -befugnissen eingeführt wurde, der auch das Herausgeben von Passwörtern erzwingen kann, stellt sich öfter die Frage, ob auch in Deutschland das Nutzen von Verschlüsselung mit „Daumenschrauben“ geahndet werden kann.
Das Gute vorweg: Die Nutzung von Verschlüsselung ist legal und wird sogar von (einigen) staatlichen Stellen gefördert. Falls mensch selbst in einem Prozess Aussagen zu verschlüsselten Computern o.ä. machen soll, so sind Beschuldigte dazu nicht verpflichtet – niemand muss an der eigenen Überführung mitwirken. Natürlich können Behörden alles versuchen, um die Verschlüsselung zu knacken – und bei schlecht gewählten Passwörtern (z.B. zu kurze oder der Name des eigenen Haustiers) wären sie somit vielleicht gar nicht auf Befugnisse wie in Großbritannien angewiesen.
Ein wenig anders sieht es aus, wenn mensch als Zeug_in in einem Prozess vorgeladen ist und sich nicht nach §55 StPO aus der Affäre ziehen kann (also z.B. mit dem/der Beschuldigte_n verheiratet ist). Zeug_innen sind zur Aussage verpflichtet und können von Richter_innen bei Weigerung mit Ordnungsgeld (bis zu 1.000 €) oder Ordnungshaft (max. 42 Tage) und im Anschluss Beugehaft (insgesamt max. 6 Monate, während der Prozess läuft) belegt werden.
Um dem zu entgehen, bietet sich u.U. das Nutzen der glaubhaften Abstreitbarkeit an. Dies heißt konkret, dass ein Passwort herausgegeben werden kann, dies aber nur einen Teil der Verschlüsselung zu unspannenden Informationen öffnet – die eigentlichen Daten liegen mit einem anderen Passwort weiterhin sicher auf dem Datenträger. Auch das Berufen auf Gedächtnisschwund beim Passwort kann u.U. Zeit erkaufen, sollte aber vorher mit dem/der Anwält_in abgeklärt werden.
Rote Hilfe Leipzig
Dieser Artikel ist eine Kurzfassung des Vortrags „Mit Sicherheit im Recht“, gehalten auf der CryptoCon13 in Leipzig