Entscheidungsdatum: 23.09.2014
In dem Ermittlungsverfahren
…
wird die Erhebung der IP-Adressen, die der Tätergruppierung "E. B. " beim Zugriff auf vom Bundeskriminalamt präparierten und bereitgestellten Dateien zuzuordnen sind, die sich auf einem Rechner befinden, der vom Bundeskriminalamt mit der von der Tätergruppierung zur Ausspähung deutscher Behörden, Forschungseinrichtungen und Unternehmen in Umlauf gebrachten Schadsoftware "Havex RAT"/"Dragonfly" infiziert worden ist, im Wege des "IP-Tracking" in Echtzeit und unter Einsatz technischer Mittel
im Inland für die Dauer von drei Monaten, bis einschließlich 23. Dezember 2014
angeordnet.
I.
1. Nach derzeitigen Stand der Ermittlungen besteht der Verdacht, dass unbekannte Angehörige eines fremden Geheimdienstes seit etwa August 2012 im Rahmen umfassender und zielgerichteter elektronischer Angriffe deutsche Behörden, Forschungseinrichtungen und Unternehmen ausspähen.
Wegen des Sachverhalts einschließlich der Vorgehensweise und den von der Tätergruppe verfolgten Zielstellungen sowie der den Verdacht begründenden Umstände wird auf die Ausführungen des Beschlusses des Ermittlungsrichters des Bundesgerichtshofs vom 28. Mai 2014 - 1 BGs 111/14 - Bezug genommen.
2. Die Untersuchung der bisher sichergestellten Server hat keine Erkenntnisse über die Gruppierung "E. B. " und die Identität ihrer Mitglieder zu Tage gefördert. Bei der Auswertung der Server konnte keine Aktivität festgestellt werden, die in direktem Zusammenhang mit der Funktion als (nachgelagerte) C2-Server steht. Es ist davon auszugehen, dass die unbekannten Täter die C2-Server wie in der Vergangenheit häufig umziehen, um einer Enttarnung zu entgehen, und dass die Angriffe derzeit über andere, nicht bekannte C2-Server erfolgen, wobei weiterhin die wahren IP-Adressen der Täter verschleiert werden.
3. Zum Zwecke der Identifizierung und Lokalisierung der Tätergruppierung "E. B. " sollen die von diesen genutzte IP-Adressen festgestellt werden. Um die IP-Adressen festzustellen, sollen auf einem vom Bundeskriminalamt mit der von der Tätergruppierung "E. B. “ genutzten Spähsoftware "Havex RAT" (auch bekannt unter dem Namen "Dragonfly") infizierten Rechner Dateien gespeichert werden, die für die unbekannten Täter interessant erscheinen und deshalb von diesen voraussichtlich ausgeleitet, mithin herunter geladen, werden. Die Dokumente werden zuvor mit einem Lesebestätigungsdienst präpariert, der beim Abruf bzw. beim Öffnen des Dokuments automatisch die eigene IP-Adresse der Tätergruppierung an die Seite des "Ausgespähten" zurückübermittelt. Hierzu wird das Dokument mit einem funktionslosen, 1x1-Pixel kleinen, transparenten Bild versehen, das nicht direkt in dem Office-Dokument integriert ist, sondern beim späteren Öffnen der Datei durch die allgemeine Office-Funktion "Bild einfügen" automatisch nachgeladen wird. Um das Nachladen zu ermöglichen, ist die Übermittlung der eigenen IP-Adresse der Tätergruppierung notwendig. Über die Erhebung der IP-Adresse und den Zeitpunkt des Zugriffs hinaus werden durch den Einsatz des Lesebestätigungsdienstes keine weiteren Daten erhoben; insbesondere wird das von der Maßnahme betroffene lT-System nicht durchsucht.
Das Einbetten von unsichtbaren Bildern zum Zwecke der Feststellung, wann von welcher IP-Adresse auf Internetseiten zugegriffen wird oder eine E-Mail geöffnet wird, wird von vielen Providern, Herstellern von Betriebs- und Softwaresystemen standardmäßig angeboten und von vielen Webdienste-Anbietern und Webseitenbetreibern zu kommerziellen Zwecken, insbesondere für personalisierte Werbung, genutzt, ohne dass der Anwender davon erfährt (Beispiele: ReadNotify, Google Analytics).
II.
Die Maßnahme findet ihre Rechtsgrundlage in § 100g StPO; dessen Voraussetzungen liegen hier vor.
1. Bei der Erhebung der IP-Adresse im Wege des "IP-Tracking" handelt es sich um die Erhebung von Verkehrsdaten im Sinne des § 100g StPO, die der richterlichen Anordnung bedarf.
Eine bloße Bestandsdatenauskunft nach § 100j StPO scheidet schon deshalb aus, da weder die IP-Adresse, über die Auskunft verlangt werden kann, noch der Telekommunikationsdiensteanbieter bekannt sind. Vorliegend geht es vielmehr um die einer Abfrage vorgelagerte Ermittlung der IP-Adresse.
Die Maßnahme kann auch nicht auf § 100h Abs. 1 Nr. 2 StPO gestützt werden. Zwar handelt es sich bei dem "IP-Tracking" auch um die Verwendung eines für Observationszwecke bestimmten technischen Mittels i.S.d. § 100h Abs. 1 Nr. 2 StPO (vgl. Bär, Handbuch zur EDV-Beweissicherung, 2007, Rn. 310; ders. KMR, StPO § 100g Rn. 32; Wabnitz/Janovsky, Handbuch für Wirtschafts- und Steuerstrafrecht, 4. Aufl. 2014, 27. Kapitel Rn. 138; Meyer-Goßner/Schmitt StPO § 100 Rdn. 2).
Es handelt sich aber auch um die Erhebung von Verkehrsdaten, die bei einem Telekommunikationsvorgang anfallen und die gemäß § 100g StPO nur unter den strengeren Voraussetzungen zulässig ist. Zwar ist eine Erhebung von Verkehrsdaten im Wege des "IP-Tracking" nicht vom Schutzbereich des Art. 10 Abs. 1 GG umfasst, da hier die Ermittlungsbehörde selbst als Telekommunikationspartner auftritt und von daher keine Telekommunikation von außen überwacht wird (vgl. BVerfG, NJW 2008, 822, 835). § 100g StPO stellt aber auch ungeachtet dessen an die Erhebung von Verkehrsdaten erhöhte Anforderungen. Der Begriff der Verkehrsdaten ist in § 3 Nr. 30 TKG legaldefiniert als Daten, die bei der Erbringung eines Telekommunikationsdienstes erhoben, verarbeitet oder genutzt werden. Welche Daten durch eine Dienstanbieter erhoben werden, bestimmt § 100g Abs. 1 Satz 1 StPO durch den Verweis auf den abschließenden Katalog in § 96 Abs. 1 TKG, der unter anderem auch die IP-Adresse erfasst.
Beim "IP-Tracking" findet ein Telekommunikationsvorgang statt. Bei jedem Öffnen einer von der Tätergruppierung heruntergeladenen, manipulierten Datei wird ein Telekommunikationsvorgang zum Server des Bundeskriminalamts ausgelöst, weil die manipulierte Datei (unbemerkt von der Tätergruppierung) ihre Inhalte ergänzen will und deshalb versucht, diese nachzuladen. Bei diesem Vorgang wird - soweit die Gruppierung keine statische IP-Adresse nutzt - eine dynamische IP-Adresse von deren Diensteanbieter vergeben. Die IP-Adresse wird ebenso wie Datum, Uhrzeit und Dauer der jeweiligen Verbindung sowohl beim Diensteanbieter erhoben als auch bei der mit dem Nachladen verbundenen Kontaktaufnahme auf dem Server des Bundeskriminalamts protokolliert.
Auch wenn die Erhebung von Verkehrsdaten in der Regel allein beim dem Telekommunikationsdienstleister erfolgt und entsprechend die nachfolgende Abfrage durch die Ermittlungsbehörden den Regelfall darstellt, ist eine Erhebung auf anderem Weg durch den Wortlaut der Vorschrift mit umfasst. Dagegen spricht nicht, dass die Erhebung der Verkehrsdaten durch die Ermittlungsbehörden im Wege des "IP-Tracking" keinen einem Eingriff in Art. 10 Abs. 1 GG darstellt. Mit der Erhebung ist jedenfalls ein Eingriff in das Recht auf informationelle Selbstbestimmung (Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG) verbunden, der seiner Intensität nach dem dem § 100g StPO zugrunde liegenden Regelfall entspricht: Die Erhebung beschränkt sich nicht darauf, eine von der Tätergruppierung genutzte dynamische oder statische IP-Adresse ohne konkreten Personenbezug in Erfahrung zu bringen. Im Falle der Nutzung einer statischen IP-Adresse ist die ermittelnde Behörde mit Kenntnis dieser Adresse selbst zur Herstellung des Personenbezugs in der Lage, denn der Besitzer (und damit möglicherweise auch der Nutzer) einer statischen IP-Adresse kann schon über öffentlich zugängliche Informationsplattformen ermittelt werden, ohne dass es für eine spätere Abfrage der Erfüllung der Voraussetzungen des § 100j StPO bedürfte. Die Eingriffsintensität des "IP-Tracking" bestimmt aber auch die Heimlichkeit der Maßnahme, die mit einer gezielten Täuschung der Tätergruppierung verbunden ist. Es handelt schließlich nicht nur um eine punktuelle Maßnahme, die etwa allein auf die einmalige Ermittlung einer genutzten IP-Adresse gerichtet ist, sondern um eine längerfristige Maßnahme mit dem Ziel, bisher unbekannte Personen zu identifizieren sowie darüber hinaus den geographischen Standort des bei jedem Öffnen einer Datei genutzten Internetzugangs zu ermitteln, was letztlich die Erstellung eines Bewegungsprofils der Täter ermöglicht.
2. Die Voraussetzungen des § 100g StPO liegen vor. Die Tätergruppierung ist einer Katalogtag im Sinne des § 100a Abs. 2 Nr. 1a StPO verdächtigt.
Die Erforschung des Sachverhalts wäre ohne die beantragte Maßnahme zumindest wesentlich erschwert. Die Untersuchung der bisher sichergestellten Server hat keine Erkenntnisse über die Gruppierung "E. B. " und die Identität ihrer Mitglieder zu Tage gefördert. Bei der Auswertung der Server konnte keine Aktivität festgestellt werden, die in direktem Zusammenhang mit der Funktion als (nachgelagerte) C2-Server steht. Es ist davon auszugehen, dass die unbekannten Täter die C2-Server wie in der Vergangenheit häufig umziehen, um einer Enttarnung zu entgehen, und dass die Angriffe derzeit über andere, nicht bekannte 02-Server erfolgen, wobei weiterhin die wahren IP-Adressen der Täter verschleiert werden.
Angesichts der der Schwere des Tatvorwurfs und des Verdachtsgrads ist die Anordnung auch verhältnismäßig. Die unbekannte Tätergruppe steht im Verdacht der Ausspähung einer Vielzahl von lT-Systemen von deutschen Institutionen und Firmen in bisher unbekanntem Schadensumfang.