Wie funktioniert Strafverfolgung in der Cloud?

Früher war es für Ermittler einfach: Dokumente wurden in Aktenordnern gespeichert, Gespräche über das gute alte Telefonnetz geführt. Heutzutage werden immer mehr Dokumente im Web gespeichert, das Telefonnetz wird vor allem für’s Internet genutzt; viele neue internetbasierte Kommunikationswege und Dienste sind entstanden. Aber viele Dienste nutzen verschlüsselte Verbindungen und stellen damit Polizei, Strafverfolger & Co. vor Herausforderungen.

Unklarer Rechtsrahmen

Clouddienste operieren über Kontinente hinweg. Welche Daten wo genau liegen und welches Recht für welche Dienste eigentlich gilt, ist häufig noch ungeklärt. Auf der anderen Seite locken die Dienste Ermittler mit Datenspuren in ganz neuer Größenordnung: Persönliche Kommunikation, Dokumente und Unterlagen, Gruppenkonversationen, Standortdaten – immer mehr sammelt sich bei den Anbietern. „Big Data” wird auch für die Strafverfolgung zum Thema.

Zugleich wird es schwieriger, Clouddienste – und damit auch die Zugriffsbefugnisse – rechtlich einzuordnen. Telefongespräche und E-Mail-Übertragungen etwa zählen zur „Individualkommunikation” und unterliegen dem grundrechtlich geschützten Fernmeldegeheimnis. Wann und bei welchen Cloud-Diensten das gilt, ist aber schon umstritten. Einige kommen in ihrer Funktionalität klassischer Telekommunikation nahe, viele liegen in einem Zwischenbereich. Das bedeutet zum Beispiel, dass man häufig nicht recht weiß, ob im Einzelfall das Telekommunikations- oder das Telemediengesetz als rechtlicher Rahmen gilt.

Für viele Diskussionen sorgte der US-amerikanische „Patriot Act“ und seine Folgen für Daten in der Cloud. Das Gesetz hat die Befugnisse für US-Behörden erweitert und die Richterkontrolle reduziert. US-Ermittler können demnach auf Daten nicht nur bei US-Unternehmen, sondern auch bei deren Tochterfirmen in Europa zugreifen, wie Recherchen des Portals ZDNet ergeben haben. Im Business-Bereich haben einige Cloud-Anbieter darauf schon reagiert und vermarkten ihre Produkte als sichere, europäische Alternative zu US-Anbietern.

Aktenordner vs. Cloud

Der Umkehrschluss, dass Daten bei rein europäischen oder deutschen Anbietern vor Zugriffen automatisch besser geschützt seien, sei aber falsch, konstatiert Ian Walden, Professor für Informationsrecht an der Uni London. Regelungen für den Zugriff von Strafverfolgungs- und anderen Behörden gebe es in allen Ländern. Gesetzliche Hürden sollen dabei sicherstellen, dass rechtsstaatliche Verfahren und die Grundrechte der Betroffenen eingehalten werden. Ein Problem dabei: Die Regelungen stammen noch aus der Aktenordner-Zeit. Im Ergebnis stehen sich zum Beispiel US- und EU-Regeln zur Strafverfolgung ebenso wie die zum Datenschutz gegenüber.

In Bezug auf den Schutz privater Daten vor möglichem Missbrauch kommt eine Studie des EU-Parlaments zum Schluss: Die Rechtsunsicherheit ist groß, die Daten europäischer Bürger seien nicht hinreichend geschützt. Die Gefahren durch Betrug oder Identitätsdiebstahl dagegen seien vergleichsweise gering. „Sowohl Cloud-Nutzer als auch Cloud-Anbieter können nur schwer nachvollziehen, wann und wie Regierungen Nutzerdaten einsehen können”, hält eine Studie der Kanzlei Hogan Lovells fest, die die Möglichkeiten für Strafverfolgungsbehörden für verschiedene Länder untersuchte.

Das liegt neben der häufig ungeklärten Rechtslage auch daran, dass einige Zugriffe der Geheimhaltung unterliegen und versteckt erfolgen – etwa bei den „National Security Letters” des FBI, die solche Stillschweige-Vereinbarungen enthalten. Einige Unternehmen veröffentlichen inzwischen immerhin Statistiken über die Anfragen von Strafverfolgungsbehörden, so etwa Microsoft, Google oder – in sehr überschaubarer Form – Dropbox. Die US-Bürgerrechtsorganisation EFF hält das und weitere Punkte beim Umgang der Firmen mit staatlichen Stellen in einem jährlichen Bericht fest. In Deutschland wiederum warnt etwa der Strafrechtler Tobias Singelnstein, Professor an der FU Berlin, vor einer „Vergeheimdienstlichung” der Strafverfolgung, weil durch die technische Entwicklung zunehmend heimlich auf Informationen zugegriffen werden kann.

Wo Polizei & Co. ansetzen

Klicken für Großansicht: Datenerhebung zur Strafverfolgung. Illustration: Tigerworx.

Bei der Vielzahl an unterschiedlichen Clouddiensten und Nutzungskonstellationen sind auch die Möglichkeiten und Grenzen für Strafverfolger und Behörden vielfältig. Als ersten Überblick kann man aber drei Ansatzpunkte unterscheiden, wenn Polizei & Co. sich für die Daten von Nutzern interessieren: Die Nutzer, die Übertragung im Netz und die Diensteanbieter. Die verschiedenen Ansatzpunkte bringen auch unterschiedliche technische und rechtliche Bedingungen mit sich.

(1) Daten beim Nutzer

Gewissermaßen noch „vor” oder „nach” der Cloud steht die Datenerhebung beim Nutzer. Im Rahmen etwa einer klassischen Durchsuchung können Ermittler Daten auf dem Computer beschlagnahmen. Dabei können sie auch auf Daten bei Cloudspeicherdiensten zugreifen: In der Strafprozessordnung werden sogenannte „räumlich getrennte Speichermedien” ausdrücklich aufgeführt. Das gilt allerdings nur, wenn die Daten im Inland liegen, was bei Cloudspeicherdiensten eher die Ausnahme ist. Liegen sie im Ausland, müssen Strafverfolger sich erst an die jeweiligen Staaten wenden. Im Rahmen der Cybercrime-Konvention muss dann der jeweilige Staat die Daten vorläufig sichern. Darüber hinaus gibt es für solche Rechtshilfe innerhalb der EU weitere Verträge.

Ein Sonderfall beim Nutzer ist die Onlinedurchsuchung und die sogenannte Quellen-Telekommunikationsüberwachung. In beiden Fällen installieren Behörden heimlich Software beim Nutzer. Für die Onlinedurchsuchung hat das Bundesverfassungsgericht hohe rechtliche Hürden festgelegt. Die Entscheidung war sogar die Geburt des neuen „IT-Grundrechts”, das Computersysteme vor verdeckten staatlichen Eingriffen schützt. Die technisch ähnliche „Quellen-TKÜ” – sie zielt vor allem auf verschlüsselte Gespräche übers Internet – ist kaum weniger umstritten.

(2) Daten bei der Übertragung

Sind Daten noch unterwegs in „die Cloud” – also die jeweiligen Rechenzentren – scheinen Ermittler im Moment oft im Dunkeln zu tappen. Durch zunehmende Verschlüsselung bei internetbasierten Diensten sind Daten nicht mehr ohne Weiteres einsehbar, während Gespräche übers klassische Telefonnetz vergleichsweise einfach abhörbar waren. Im Bereich der Telekommunikationsdienste sind solche Abhör-Möglichkeiten schon lange normiert. Die Normen für die sogenannte lawful interception (erlaubte Überwachung) regeln technisch, wie Behörden die Dienste abhören können. Ohne die entsprechenden Schnittstellen dürfen die Dienste auch gar nicht angeboten werden. Wann sie rechtlich eingesetzt werden dürfen, regelt vor allem die Strafprozessordnung und das Artikel-10-Gesetz.

Für Clouddienste wird an einheitlichen technischen Standards noch gearbeitet. So erforschen mehrere Arbeitsgruppen beim Europäischen Institut für Telekommunikationsnormen (ETSI), wie sich die Abhör- und Überwachungsmöglichkeiten staatlicher Stellen bei Clouddiensten normieren lassen. Der Journalist Erich Moechel macht in einem entsprechenden Entwurf zwei Ansatzpunkte dafür aus: Neben den Cloudanbietern sollen auch Internet-Zugangsanbieter verschlüsselte Datenverbindungen auf Verlangen wieder „aufbohren” müssen.

Solche verschlüsselte Verbindungen kennt man im Alltag zum Beispiel vom Homebanking oder von Facebook (es heißt dann „HTTPS” im Browser). Um sie zu umgehen, müssten allerdings Sicherheitszertifikate, mit denen sich die Übertragungsrechner ausweisen, gefälscht werden. Technisch gesprochen handelt es sich dabei um eine sogenannte „Man-in-the-middle”-Attacke. Was von den Entwürfen umgesetzt wird, ist derzeit noch offen.

In Deutschland arbeitet auch das „Strategie- und Forschungszentrum Telekommunikation“ an einem Forschungsprojekt „Cloud“. Es untersucht „Fragestellungen zu Cloud-Computing und dessen Implikationen auf die Telekommunikationsüberwachung“ und soll dazu eine Studie erstellen. Beteiligt sind das Bundeskriminalamt, die Bundespolizei und der Verfassungsschutz.

(3) Daten beim Cloud-Anbieter

Die Anbieter von Clouddiensten sind wahrscheinlich der wichtigste Ansatzpunkt für Datenerhebungen. Der Internetrechts-Professor Peter Swire sieht hier sogar einen Paradigmenwechsel: An die Stelle des Abhörens in Echtzeit trete für Strafverfolgungsbehörden immer mehr der Zugriff auf die bei Cloudanbietern gespeicherten Daten.

Soweit es dabei um Kommunikationsinhalte geht, lässt sich die Situation bei Clouddiensten mit E-Mail-Anbietern vergleichen. Hier haben die rechtlichen Grundlagen dafür bereits das Bundesverfassungsgericht beschäftigt. Demnach greifen solche Erhebungen zwar in das Fernmeldegeheimnis ein, können aber nach den Regelungen zur Beweissicherung erlaubt sein. In der Regel muss der Nutzer allerdings vorab über eine solche Erhebung informiert werden, der Diensteanbieter immer. Daten darüber, wer wann welche Dienste verwendet hat – sogenannte Nutzungsdaten – können leichter herausgegeben werden, weil der Eingriff in Grundrechte hier geringer ist. Allerdings müssen Diensteanbieter sie auch nicht speichern, wenn sie sie selbst nicht benötigen.

Für Behörden sind außerdem die „Bestandsdaten“ interessant, die sie nach dem Telekommunikationsgesetz von den Diensten abfragen dürfen. Das sind Daten, die die Anbieter erheben, um mit ihren Kunden Verträge schließen zu können – zum Beispiel Name und Anschrift. Nach einer jetzt beschlossenen Neuregelung wurden die Hürden dafür abgesenkt. Zugleich wurde der Anwendungsbereich im Internet erweitert: Auch Zugangsdaten und Passwörter für Clouddienste sollen nun davon betroffen sein. Nach Belieben in der Cloud schnüffeln dürfen die Behörden deshalb allerdings noch nicht. Nach dem von Rechtswissenschaftlern so genannten Doppeltür-Modell ist eine weitere rechtliche Grundlage nötig, damit die Behörden die von den Diensten zu übermittelnden Daten auch tatsächlich nutzen dürfen.

In der Praxis ist der Zugriff auf die Daten von Nutzern kompliziert, vor allem weil die meisten von privaten Nutzern verwendeten Clouddienste nicht in Deutschland sitzen. Neben der erwähnten Cybercrime-Konvention des Europarats mit 47 Unterzeichnern sind es vor allem gegenseitige Rechtshilfeabkommen, die die grenzüberschreitende Rechtsdurchsetzung regeln. Diese gelten in der Praxis allerdings als schwerfällig, so dass Ermittlungsbehörden wohl häufig auch informelle Formen der Kooperation suchen.

Ein prominentes – und von vielen kritisiertes – Beispiel für solche informelle Kooperation ist aus der Geschichte der Plattform Wikileaks bekannt. Nach der Veröffentlichung der „Diplomatendepeschen” soll der Anbieter Amazon den Cloud-Webspeicher für Wikileaks auf politischen Druck hin abgeschaltet haben, was Amazon allerdings bestritten hat.

Fazit

Bei der Strafverfolgung in der Cloud sind derzeit noch mehr Fragen ungeklärt als geklärt. Wann und wo welches Recht gilt, ist bei den grenzüberschreitenden Diensten nicht leicht zu bestimmen. Etwas mehr Klarheit dürfte die EU-Datenschutzreform bringen, die auch eine neue Richtlinie für Polizei und Justiz enthält. Behörden wollen neue Zugriffsmöglichkeiten auf Dienste; dem stehen die Bedenken von Datenschützern und Bürgerrechtlern gegenüber. So oder so dürften Cloud-Anbieter für die Strafverfolgung zunehmend wichtiger werden, versammeln sie doch immer mehr Daten. Andere Wege – Überwachung beim Nutzer, „Knacken” der Übertragung – erweisen sich zumindest im Moment noch als schwieriger, da sowohl die technischen als auch die rechtlichen Hürden hier höher sind.