ReH..Mo - Blog

Bereits Anfang Oktober 2011 veröffentlichte der Chaos Computer Club eine Pressemitteilung, die die Ergebnisse der Analyse offizieller behördlicher Computerprogramme vorstellt, die zu Zwecken einer Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) eingesetzt worden sind. Die eingehende Untersuchung staatlicher Überwachungssoftware, so genannter Staatstrojaner, zeigte, dass das eingesetzte Instrumentarium auch eine weitreichende Online-Durchsuchung ermöglicht, die deutlich über eine reine Quellen-TKÜ hinausreicht. Die anschließende Presseberichterstattung beförderte die Tatsache ans Licht, dass solche Überwachungsprogramme bereits in mehreren Bundesländern zum Zwecke der Strafverfolgung eingesetzt worden sind.

Das Bundesverfassungsgericht hatte bereits im Rahmen seiner Entscheidung zur Online-Durchsuchung zutreffend festgestellt, dass mit der Infiltration eines komplexen informationstechnischen Systems mittels eines Trojaners die entscheidende Hürde genommen ist, um das System insgesamt auszuspähen und eine Online-Durchsuchung durchzuführen. Die Installation eines solchen Trojaners ist zugleich Voraussetzung der Durchführung einer Quellen-Telekommunikationsüberwachung (Quellen-TKÜ), welche jedoch in Abgrenzung zur Online-Durchsuchung allein den Zugriff auf übertragene Kommunikationsinhalte gestatten soll.

Aktuelle Veröffentlichungen aus dem Jahr 2012 (JurPC/MMR/ZD)

Mit diesem aktuellen Thema befassten sich Albrecht/Dienst in ihrem Artikel für JurPC, der sich mit der staatlich gesteuerten Infiltration informationstechnischer Systeme und den hierfür einschlägigen Ermächtigungsgrundlagen auseinandersetzt (JurPC Web-Dok. 5/2012, Abs. 1 - 65). Die Autoren weisen zu Beginn des Beitrags darauf hin, dass aufgrund der unterschiedlichen Eingriffsintensität und Ermächtigungsgrundlagen, die Online-Durchsuchung und die Quellen-TKÜ einer strikten Unterscheidung bedürfen. Vor allem stellen sie in Frage, dass die Beschränkung des Überwachungsvorgangs im Sinne einer reinen Quellen-TKÜ aus dem laufenden Telekommunikationsvorgang wie vom Bundesverfassungsgericht gefordert überhaupt technisch möglich ist. Zudem weisen Albrecht/Dienst auf die verfassungsrechtlichen Bedenken hinsichtlich sämtlicher Regelungen der Online-Durchsuchung im präventiven Bereich hin. Insbesondere § 20k BKAG erklären sie aufgrund eines unzureichenden Kernbereichsschutzes für verfassungswidrig.

Stadler widmet sich in seinem Artikel „Zulässigkeit der heimlichen Installation von Überwachungssoftware" (MMR 2012, 18) ebenfalls diesem Thema. Er bezweifelt gleichermaßen, ob die vom Bundesverfassungsgericht vorgenommene juristisch nachvollziehbare Differenzierung zwischen Onlinedurchsuchung und Quellen-TKÜ in technischer Hinsicht überhaupt praktikabel und zuverlässig möglich ist und fordert den Gesetzgeber auf, eine spezifische gesetzliche Regelung zu schaffen, die die Vorgaben des Bundesverfassungsgerichts aus der Entscheidung zur Onlinedurchsuchung umsetzt und die insbesondere sicherstellt, dass Maßnahmen, die über eine Überwachung der Internettelefonie hinausreichen, ausgeschlossen sind. Ebenso wie Albrecht/Dienst sieht Stadler die Quellen-TKÜ nach geltendem Recht nicht von der Vorschrift des § 100a StPO gedeckt.

Des weiteren ist der rechtliche Schutz vor Staatstrojanern Thema in der aktuellen ZD. Dort widmen sich Skistims/Roßnagel der verfassungsrechtlichen Analyse einer Regierungs-Malware (ZD 2012, 3). Zutreffend stellen auch sie fest, dass trotz vereinzelt bestehender Ermächtigungsgrundlagen zur Durchführung einer Quellen-TKÜ, diese derzeit stets aufgrund von Sicherheitsschwächen der Software und der Speicherung auf externen Servern einen Eingriff in das Computergrundrecht, das Fernmeldegeheimnis und das Recht auf informationelle Selbstbestimmung darstellt.

Tags: Online-Durchsuchung, Quellen-TKÜ

Am Mittwoch startete das Internet-Netzwerk Facebook jetzt auch in Deutschland mit der Einführung der neuen Timeline, beziehungsweise „Chronik" wie das online Lebensarchiv in Deutschland heißt. In ihr soll der Nutzer von der Geburt über den ersten Schultag, bis hin zur Hochzeit und darüber hinaus alles dokumentieren, was ihn gerade bewegt. Auch Kleinigkeiten, wie ein neues Piercing oder Gewichtsverlust lassen sich in unterschiedliche Kategorien eintragen.

„Mit der Chronik können Facebook-Nutzer individueller als bisher zeigen, wer sie sind", so der Sprecher des Unternehmens. Für Facebook-Gegner ist die Sachlage jedoch klar, durch die Ausweitung und Neugestaltung der Profilseite, sollen die User noch stärker an die Plattform gebunden werden. Die großformatige Header-Grafik mit vielen Bildern und ein chronologischer Zeitstrahl an der Seite sollen das Layout übersichtlicher machen und die Suche nach älteren Beiträgen erleichtert. So wird dem Nutzer extra eine Woche Zeit gegeben, um seine Chronik mit fehlenden Beiträgen, Kommentaren und Bilder zu vervollständigen bevor sie dann für alle Mitglieder sichtbar wird. Wer so viel Zeit und Mühe in die Gestaltung seines online Profils investiert, wird den Netzwerk-Anbieter nicht so schnell wechseln wollen.

Kritisch dabei ist jedoch die große Datenmenge der Nutzer, die durch die Timeline zusätzlich in Umlauf gebracht wird und vom Unternehmen gesammelt werden kann, zu sehen. Durch die neuen Funktionen wird die Möglichkeit Privates öffentlich zu machen noch wesentlich erweitert. Die Übergangszeit von sieben Tagen dient zusätzlich dazu den Usern die Möglichkeit zu geben, ihre Postings zu überarbeiten, die Sichtbarkeit zu verändern oder unliebsame Einträge zu löschen. An der Sichtbarkeit eines bereits veröffentlichten Beitrags soll sich jedoch nichts verändern. Vielmehr habe das Mitglied die Möglichkeit für jedes Element festzulegen, wer es sehen kann oder nicht, so das Unternehmen. Auch kann der Facebook-Nutzer zentral die Sichtbarkeit aller älteren Einträge mit einem Klick auf seine Freunde beschränken.

Was jedoch vor der Timeline mit erheblichem Zeitaufwand verbunden war, nämlich das Suchen und Auswerten älterer bereits von der Pinnwand heruntergerutschter Postings, ist nun mit wenigen Mausklicks möglich. So kann jedes Facebook-Mitglied im Zweifel innerhalb weniger Sekunden sehen, was der Andere letztes Weihnachten gemacht hat, und Vorletztes und so weiter. Daher warnen Datenschützer und Online-Experten eindringlich vor einem allzu leichtfertigen Einsatz der neuen Chronik.

Facebook-Mitglieder geraten damit noch stärker in die Pflicht, alle veröffentlichten Daten, vor allem auch längst vergessene Einträge aus der Vergangenheit, aktiv zu kontrollieren und das eigene Profil regelmäßig aufzuräumen

sagte der Hamburger Datenschutzbeauftragte Johannes Caspar.

Zwar hat Facebook mit dem Opt-In-Verfahren, welches eine ausdrückliche Aktivierung der Chronik seitens der Nutzer erforderlich macht, eine datenschutz- und verbraucherfreundliche Einführungsmethode gewählt, doch Casper fordert wohl zu Recht, dass diese Wahlmöglichkeit auf Dauer bestehen bleiben muss. Dies wird jedoch nur ein frommer Wunsch bleiben, denn ein Sprecher des Netzwerkes sagte auf Anfrage von RTL Aktuell Online: „Irgendwann wird die Chronik die einzige Form des Profils sein." Daher ist bereits jetzt allen Nutzern zu raten sich intensiv mit ihren eingestellten Daten zu befassen, bevor diese irgendwann in interaktiven Lebensläufen präsentiert werden.

Entscheidet sich ein Mitglied einmal für die Verwendung der neuen Chronik, schaltet diese sich automatisch nach sieben Tagen live ein und ist auch nicht mehr rückgängig zu machen. Doch die Timeline beinhaltet nicht nur datenschutzrechtliche Gefahren. Der IT-Experte Hannes Federrath, sieht mit der Chronik sogar eine Chance für mehr Transparenz, weil Daten, die bisher bei Facebook gespeichert sind und die das Unternehmen auch auswerten kann, jetzt an der Oberfläche zu sehen sind. So auch Marit Hansen vom Unabhängigen Datenschutzzentrum Schleswig-Holstein, die der Ansicht ist, die Inhalte wäre jetzt zwar immer noch schwierig zu handhaben, aber durch die Chronik besser beherrschbar. „Dies dürfte das Bewusstsein der Menschen steigern, dass man eigentlich vorsichtig umgehen sollte mit der Preisgabe personenbezogener Daten.", meinte Federrath. Aber auch er rief dazu auf, sich genau zu überlegen, welche Daten ins Netz gehören und welche nicht.

Neben der Timeline wird auch eine ganz neue Art von Anwendungen eingeführt, das sogenannte Frictionless Sharing. Hierbei posten Partnerdienste, wie beispielsweise der Rezeptdienst Foodily, der Videoverleih Netflix oder der Spieleanbieter Zynga weitgehend automatisiert und ohne Klick auf den Like- oder Share-Button die verschiedenen Aktivitäten der User, soweit diese dem „Teilen ohne Hindernisse" zugestimmt haben. So kann zum Beispiel eine Anwendung von Nike die Joggingstrecke eines Nutzers in Echtzeit auf dessen Profil bloggen. Trotz vieler neuer Funktionen und Möglichkeiten die die Timeline und damit verbundene Features mit sich bringen, bleibt jedoch immer ein bitterer datenschutzrechtlicher Beigeschmack, denn man kann sich nie sicher sein welchen Preis man für die „kostenlosen" Onlinedienste zahlt. Davor warnt auch Bundesdatenschutzbeauftragter Peter Schaar: „Facebooks Geschäftsmodell besteht darin, dass Facebook durch detaillierte Kenntnis der Interessen, Lebensumstände und Verhaltensweisen seinen Mitgliedern gezielt Werbung zukommen lässt. Dies funktioniert umso besser, je freizügiger die Nutzer mit ihren Daten umgehen. Dieses Geschäftsmodell ist nicht besonders datenschutzfreundlich und führt in der Konsequenz zum Verlust der Privatsphäre." Dem ist meiner Meinung nach wohl nichts mehr hinzuzufügen.

Tags: Datenschutz, Facebook

Das interdisziplinäre und interfakultäre DFG-Graduiertenkolleg 1681 „Privatheit. Formen, Funktionen und Transformationen“ ist an der Philosophischen und Juristischen Fakultät der Universität Passau verankert und vergibt zum 01. April 2012 6 Promotionsstipendien (1.200 Euro pro Monat). Das Kolleg stellt das Thema Privatheit (Begriff, Medien, Kultur, Raum) wegen dessen gesellschaftlicher wie wissenschaftlicher Relevanz ins Zentrum von Untersuchungen. Zweck des Kollegs ist die möglichst umfassende Rekonstruktion des Privatheitskonzeptes mit dem Ziel einer integrativen Theorie, die Parameter von Privatheit beschreibt und deren Interaktion nachvollziehbar macht.

Beteiligte Fachgebiete, in denen Promotionsmöglichkeit besteht, sind z.B. an der Philosophischen Fakultät: Neuere Deutsche Literaturwissenschaft / Medienwissenschaft, Deutsche Sprachwissenschaft, Anglistische Sprach-, Kultur- und Medienwissenschaft, sowie u.a. an der Juristischen Fakultät: Bürgerliches Recht, Arbeitsrecht, Öffentliches Recht, Medien- und Informationsrecht. Auch Bewerbungen aus anderen Fachgebieten sind willkommen.

Die Förderungsdauer ist zunächst auf zwei Jahre begrenzt. Über eine Fortsetzung der Förderung entscheidet eine Evaluation. Die Förderungshöchstdauer beträgt maximal drei Jahre.

Weitere Informationen zum Graduiertenkolleg und den Bewerbungsvoraussetzungen entnehmen Sie bitte dem Infoblatt der Uni Passau.

Tags: Graduiertenkolleg, Promotion

Um weiterhin mit dem Konkurrenten Google+ Schritt halten zu können, führt Facebook derzeit „intelligente" Freundeslisten, sogenannte Smartlists, ein, welche die Kontakte automatisch anhand der gemachten Angaben in die derzeit vier bestehenden Kategorien: Arbeitskollegen, Schul-/ Unifreunde, Familie und Freunde im Umkreis einteilt. Die Smartlists sollen den bisher müßigen Vorgang seine Freunde einzeln in Listen einzuteilen erleichtert. Neben diesen Smartlists führt Facebook zusätzlich noch zwei neue Listen für „enge Freunde" und „Bekannte" ein, die jedoch weiterhin von Hand verwaltet werden müssen. Mit den neuen Listen soll, wie beim Konkurrenten Google „Circles", nun ein größerer Focus auf die Freundeslisten gelegt werden, die bei vielen Usern schon zum Ausufern tendieren.

Tags: Facebook

2009 wurden laut dem Bundeskriminalamt allein in Deutschland „weit über 100.000 Menschen" Opfer sog. Skimming-Attacken, wobei der Schaden schätzungsweise 40 Millionen Euro betrug. Von Januar bis April 2010 wurden bereits mehr Fälle dieser „betrügerischen Geldautomatenkriminalität" registriert als im gesamten Jahr 2009. Für das Jahr 2011 ist ein weiterer signifikanter Anstieg zu befürchten.

Skimming ist das „Abschöpfen" von Daten aus einer Bank- oder Kreditkarte durch Auslesen des Inhalts des auf der Karte enthaltenen Magnetstreifens, um die Informationen anschließend auf einen Kartenrohling (sog. „White-Plastics") zu übertragen und diesen in der Folge gemeinsam mit der ebenfalls ausspionierten - sei es unter Zuhilfenahme einer Kamera oder des Einsatzes einer Tastenfeld-Attrappe - persönlichen Identifikationsnummer (PIN) für Geldabhebungen im Ausland zu missbrauchen. Namengebend für diese relativ neue Form des „Zahlungskartenbetrugs" sind die dabei zum Einsatz kommenden Kartenlesegeräte, die sog. Skimmer. Die Geldabhebungen erfolgen dabei stets im Ausland, da EC-Karten deutscher Ausgabestellen mit einem besonderen Schutzmechanismus, dem sog. moduliert maschinenfähigen Merkmal ausgestattet sind, das Abhebungen unter Zuhilfenahme billiger Datenträger unmöglich macht.

Seit 01.01.2011 müssen alle europäischen EC- und Kreditkarten mit der sog. EMV-Chip-Technologie ausgestattet werden und sollen dadurch für mehr Sicherheit sorgen. Weil eine Umsetzung des EMV-Standards in diversen außereuropäischen Staaten nicht geplant ist, wird sich aber auch auf neu ausgegebenen Karten wieder ein Magnetstreifen befinden, um die internationale Einsatzfähigkeit dieser zu sichern. Die auf dem Magnetstreifen gespeicherten Daten können zwar nach wie vor kopiert werden, an den neuen EMV-kompatiblen Geldautomaten werden jedoch nur die EMV-Chips ausgelesen. Ist also auf einer Karte kein Chip enthalten, so wird sie von dem Terminal als Fälschung entlarvt. Ein Abheben mittels Kartendubletten ist innerhalb Europas somit nicht mehr möglich. Zu einem Versiegen der Skimming-Kriminalität wird dies jedoch nicht führen; vielmehr wird sich diese wohl lediglich ins benachbarte außereuropäische Ausland, in dem mangels Einsatzes EMV-kompatibler Geldautomaten weiterhin Abhebungen mit Kartendubletten vorgenommen werden können, verlagern.

Die Autoren Alexander Seidl, wissenschaftlicher Mitarbeiter am Lehstuhl für Öffentliches Recht, Sicherheitsrecht und Internetrecht (Professor Dr. Dirk Heckmann) und Katharina Fuchs, wissenschaftliche Mitarbeiterin am Lehrstuhl für Öffentliches Recht, Informationstechnologierecht und Rechtsinformatik (Professor Dr. Gerrit Hornung) an der Universität Passau beleuchten in ihrem Aufsatz (HRRS 2011, 265 ff.) kurz die technischen Grundlagen des Skimmings und die Strukturen der international agierenden Banden, um im Schwerpunkt des Beitrags eine strafrechtliche Würdigung der Skimming-Kriminalität vorzunehmen. Die Vorgehensweise der Täter wird dabei in verschiedene Tatstadien unterteilt und jeweils umfassend rechtlich beleuchtet. Daneben werden Maßnahmen zur Vermeidung von Skimming-Attacken vorgestellt und auf die Problematik der Anwendung des deutschen Strafrechts eingegangen. Der Beitrag vermittelt Grundwissen zum Skimming und seiner strafrechtlichen Bewertung, insbesondere für Entscheidungsträger der Polizei-, Strafverfolgungs- und Justizbehörden, aber auch für Bankangestellte und Journalisten.

Tags: Skimming, Strafrecht

Wer ein Nutzerprofil in Facebook erstellt, kommt nicht umhin, ein persönliches Profilbild - vergleichbar mit einem Passfoto - einzurichten. Dieser Schritt ist zwar bei der Anmeldung nicht zwingend erforderlich, jedoch dient es vielen Facebook-Nutzern der eigenen Präsentation im Netz, vor allem um das Interesse anderer an der eigenen Seite zu wecken.

Die Verwendung fremder Fotos als Profilbild kann ohne entsprechende Einwilligung der dargestellten Person einen Verstoß gegen das allgemeine Persönlichkeitsrecht und die §§ 22, 23 KUG herbeiführen und Schadensersatz-, Bereicherungs-, Unterlassungs- bzw. Beseitigungsansprüche sowie Auskunfts- und Gegendarstellungsansprüche nach sich ziehen. Eine Ausnahme stellen hier nur Abbildungen von Personen der Zeitgeschichte dar, die auch ohne Einwilligung der Betroffenen verbreitet oder öffentlich zur Schau gestellt werden dürfen.

Juristisch problematisch war auch der Aufruf Ende letzten Jahres, sein Profilbild gegen ein Bild eines Comic-Helden aus der eigenen Kindheit zu ersetzen, denn auch Comic- oder Cartoonfiguren sind urheberrechtlich geschützt. Abhilfe schafft auch das Verfremden der Bilder durch Bildbearbeitungsprogramme nicht, denn der Schutz des Urhebers hört erst auf, wenn das ursprüngliche Bild vollständig unerkenntlich ist, was ja meist nicht das Ziel des Users ist und womöglich erst recht zur Verärgerung des tatsächlichen Rechtinhabers führt.

Der Nutzer sollte daher lediglich solche Profilbilder verwenden, die ihn selbst darstellen und es ihm als Urheber oder Rechteinhaber die Verwertung im Internet gestattet ist.

Tags: Social Network

Laut einer Pressemitteilung des BKA wurden im vergangenen Jahr 3183 Fälle von EC-Karten-Betrug registriert. Im Vergleich zum Jahr 2009 bedeutet dies einen Anstieg um 55 Prozent. In der Folge mussten nach Berichten der Financial Times Deutschland ganze 2500 der 9000 deutschen Geldautomaten ausgetauscht werden. Den 190.000 Betrugsopfern entstand ein Schaden von etwa 60 Millionen Euro.

Die Täter bedienten sich bei den Skimming-Attacken in der Regel kleiner Kameras, die oberhalb der Tastatur des Geldautomaten oder anderweitig versteckt angebracht wurden oder verwendeten Tastaturattrappen, um mit deren Hilfe die PIN-Eingabe auszulesen.

Hauptsächliche Schwachstelle des Systems ist nach wie vor der Magnetstreifen. Ohne diesen könnten Kartendaten nur direkt vom gegen Missbrauch besser geschützten Chip abgelesen werden.

Weil eine rechtliche Regelung hier nur schwer weiterhilft - die strafrechtliche Verfolgung der Täter führt häufig ins Ausland und meistens nicht zum Erfolg. Problematisch ist in diesem Zusammenhang schon, ab wann überhaupt eine strafrechtlich relevante Tat vorliegt. Das bloße Auslesen der auf dem Magnetstreifen einer Zahlungskarte mit Garantiefunktion gespeicherten Daten, um mit diesen Daten Kartendubletten herzustellen, erfüllt jedenfalls nicht den Tatbestand des Ausspähens von Daten (vgl. BGH, Beschl. v. 06.07.2010 - 4 StR 555/09 - MMR 2010, 711) - muss der Fokus auf dem Angebot von Schutzmechanismen seitens der Banken liegen, dem sogenannten „Magstripe-Controlling": Das BKA empfiehlt insbesondere, dem Kunden die Möglichkeit zu geben, die Nutzung seines Magnetstreifens nur für bestimmte Länder zuzulassen oder ein Limit für Auslandsabhebungen festzulegen. Zudem sollte es möglich sein, den Magnetstreifen auf der Karte gänzlich zu deaktivieren.

Zu Internetstrafrecht für die anwaltliche Praxis vertiefend vgl. Heckmann in: jurisPK-Internetrecht, 2. Aufl. 2009 (Online-Stand Dez. 2010), Kapitel 8.

Tags: Internetstrafrecht, Skimming