Hadmut Danisch
Ansichten eines Informatikers

Der Ursprung der „Login-Falle“ in der Nähe der SPD

Hadmut
20.6.2021 15:08
Uncategorized

Über Hintergründe, Gemurkse und die Unfähigkeit der Innnenministerkonferenz. [Update]

Ein Leser schreibt, diese „Login-Falle“ käme aus dem SPD-Thinktank „D64“, der allerdings von sich selbst behauptet, er sei unabhängig von der SPD. Wer als Verein in einer FAQ aber gleich als erste Frage „Ist D64 ein Think Tank der SPD?“ hat, kann sich das Dementi eigentlich auch gleich sparen.

Und die schreiben: Die Login-Falle: Strafverfolgung im Internet ohne Massenüberwachung

Hasskriminalität im Internet ist ein Problem: Insbesondere Frauen und marginalisierte Gruppen, die auch „in der analogen Welt“ im besonderen Maße Belästigungen und Diskriminierung ausgesetzt sind, werden jeden Tag im Internet beleidigt und bedroht. In einigen dieser Fälle nutzen Täter:innen den Deckmantel der Anonymität und versuchen so, Konsequenzen für ihr strafbares Handeln zu entgehen.
Anonymität im Internet ist wichtig. Sie schützt viele Menschen, die Gutes tun, aber Repressalien befürchten müssen: Seien es Journalist:innen, Whistleblower:innen oder Regimegegner:innen in autoritären Staaten.
Selbst unabhängig davon kann Anonymität die Grundlage der freien Meinungsäußerung sein, ganz ähnlich wie es bei der Stimmabgabe bei Wahlen der Fall ist. Insbesondere Personen, die sich in einer gesellschaftlich schwächeren Position befinden, sind auf diesen Schutz angewiesen.
Deshalb muss Anonymität im Internet grundsätzlich gewahrt werden. Trotzdem bedarf es ein effektives Instrument zur Strafverfolgung. Unser Vorschlag: Die Login-Falle.

Und wie ich neulich aus dem NDR berichtet hatte: Was „Hass“ ist, legt der Diskurs im Hintergrund (etwa die „Neuen Deutschen Medienmacher“) vertraulich, willkürlich und der Demokratie entzogen täglich neu fest.

Natürlich will man keine Identifizierung jedes Accounts, weil man die Anonymität noch für die eigenen Truppen, Agitatoren, Manipulatoren braucht. Erst dann, wenn jemand anderer Meinung ist, dann ist das eben keine Meinung mehr (Meinungsfreiheit haben wir schon, aber wenn es nicht die Meinung der SPD ist, dann ist es eben keine Meinung mehr, sondern „Hass“ und unterliegt nicht mehr der Meinungsfreiheit) und somit nicht mehr geschützt.

Ziel des ganzen ist also, für die eigenen Leute die Anonymität aufrechtzuerhalten und für alle anderen zu beenden und sie zu verfolgen.

Keine gute Idee sind deshalb Klarnamen- und Identifizierungspflichten, die immer wieder in der politischen Debatte auftauchen. Bei einer Klarnamenpflicht muss jede Person, die in einem sozialen Netzwerk aktiv ist, öffentlich ihren „echten“, bürgerlichen Namen tragen.

Und das will man natürlich nicht, weil die eigenen Aktivisten oder beispielsweise auch die „Netzfeuerwehr“ der Grünen gerne mit Fake-Accounts arbeiten und sich nur wenige Akteure gerne als Vielzahl von Leuten ausgegeben oder sich selbst bestätigen. Dann würde man auch merken, dass viele der Social Media Accounts von nur wenigen Leuten betrieben werden und die oft Mitglied in linken Parteien sind oder zu deren Medienagenturen gehören. Ich hatte ja mal auf einer Veranstaltung der SPD-nahen Friedrich-Eberstiftung gerügt, dass eine bei der schlechten Akustik dort (wenn sie ihre Wände wegfahren und das ganze Foyer nutzen) schlecht zu verstehen war, weil sie einen 90-Minuten-Vortrag in 30 halten wollte und einfach dreimal so schnell sprach anstatt ihn zu kürzen. Ging sofort die Weißer-Mann-mit-Mansplaining-Sirene auf Twitter an, stellte sich später raus: Kam von einem Mitarbeiter einer Medienagentur, die in Wahlkampfsachen für die SPD tätig ist. Da will man natürlich nicht, dass sowas ans Licht kommt.

Dabei wird aber zum einen völlig übersehen, dass diese Pflicht insbesondere die faktische Meinungsäußerungsmöglichkeiten von Menschen einschränken wird, die besonders schutzwürdig und -bedürftig sind. Es sind Menschen in Abhängigkeitsverhältnissen, die aufgrund einer Klarnamenpflicht auch bei legalen Äußerungen Repressionen in ihrem sozialen und beruflichen Umfeld fürchten müssten.

Oh ja, denn bekanntlich sind „schutzwürdig und -bedürftig“ und überhaupt „Meinungsäußerungen“ nur die, die der SPD politisch gut passen. Alle anderen nicht.

Deshalb wollen die keine allgemeine Klarnamenpflicht, sondern diesen Zwischenschritt, weil sie dann nämlich über die politisch gesteuerten Polizeien und Staatsanwaltschaften beeinflussen können, wer verfolgt wird und wer nicht. Dadurch hat dann die jeweilige Regierung die alleinige Kontrolle darüber, welche Identitäten aufgedeckt werden und welche nicht.

Konkret schlagen wir folgendes Verfahren vor, wenn – als Beispiel – Olivia vom Nutzer „Teddy Bär“ auf Facebook beleidigt und bedroht wird:

1. Olivia zeigt den Post direkt auf der Plattform über eine einfache, benutzerfreundliche Schnittstelle bei der zuständigen Polizei an. Der beleidigende Post wird der Polizei unmittelbar mitübermittelt, ohne dass es manueller Screenshots oder Ähnlichem bedarf.

2. Geschulte Polizist:innen prüfen die Anzeige, bejahen einen Anfangsverdacht und lassen nun bei Facebook die „Loginfalle“ für „Teddy Bär“ scharf stellen.

3. Die Facebook-App auf dem Smartphone von „Teddy Bär“ ruft entweder im Hintergrund Aktualisierungen ab oder „Teddy Bär“ öffnet aktiv Facebook in einem Browser, um sich neue Posts anzugucken.

4. Die Loginfalle schnappt zu: Kurzfristig (bestenfalls in Echtzeit) wird die IP-Adresse von „Teddy Bär“, über die die erneute Anmeldung stattfindet, an die zuständige Ermittlungsbehörde übermittelt.

5. Die Ermittlungsbehörde leitet die IP-Adresse an den zuständigen Telekommunikationsanbieter weiter und erhält von dort die gespeicherten Stammdaten (Name und Anschrift).

6. „Teddy Bär“ wird erfolgreich identifiziert, es kann Anklage erhoben werden.

Die Rechtsgrundlagen für diese Ermittlungsmaßnahmen existieren bereits: Die Strafverfolgungsbehörden sind berechtigt IP-Adressen und Stammdaten abzufragen, die Plattform- und Telekommunikationsanbieter sind zur Herausgabe der Daten verpflichtet. In der Praxis scheitert es jedoch oft daran, dass Ermittlungen nicht in der notwendigen Schnelligkeit durchgeführt werden, sodass die digitalen Spuren nichts mehr wert sind. Die Lösung hierfür ist nicht, Private zur langfristigen Vorratsdatenspeicherung zu verpflichten oder durch andere Instrumente Bürger:innen massenhaft, ohne konkrete Anlässe zu überwachen.

Da bin ich jetzt ein bisschen aus der Übung. In den Themen war ich mal fit, denn ich habe ja mal ein Jahr Vorratsdatenspeicherung gemacht (nicht freiwillig, kam unfreiwillig dazu wie die Jungfrau zum Kind), aber das war halt auch schon 2009, und ich habe da nicht mehr alles so präsent in Erinnerung, zumal es etliche Entscheidungen und Gesetzesänderungen gab, die ich nicht mehr alle so verfolgt habe.

Meiner Erinnerung nach ist das, was die da behaupten, aber falsch.

Denn die Strafverfolgungsbehörden sind keineswegs „berechtigt“, IP-Adressen abzufragen. Sie sind dann, wenn sie die IP-Adresse aus anderen Quellen (z. B. Log-Files von Servern) haben, zu fragen, wer die benutzt hat. Aber wie hier vorzugehen, dass man den Inhaber des Accounts „Teddy Bär“ wegen einer Straftat verfolge und dann die Provider beauftrage, mal herauszufinden, welche IP-Adresse Teddy Bär beim nächsten Mal benutzt, ist keine Abfrage von Stammdaten, sondern eine Erhebung von Verkehrsdaten. Ich lese Euch mal § 100g Abs. 1 Strafprozessordnung vor:

§ 100g Abs. 1 StPO:

Begründen bestimmte Tatsachen den Verdacht, dass jemand als Täter oder Teilnehmer

1. eine Straftat von auch im Einzelfall erheblicher Bedeutung, insbesondere eine in § 100a Absatz 2 bezeichnete Straftat, begangen hat, in Fällen, in denen der Versuch strafbar ist, zu begehen versucht hat oder durch eine Straftat vorbereitet hat oder

2. eine Straftat mittels Telekommunikation begangen hat,

so dürfen Verkehrsdaten (§ 96 Absatz 1 des Telekommunikationsgesetzes und § 2a Absatz 1 des Gesetzes über die Errichtung einer Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben) erhoben werden, soweit dies für die Erforschung des Sachverhalts erforderlich ist und die Erhebung der Daten in einem angemessenen Verhältnis zur Bedeutung der Sache steht. Im Fall des Satzes 1 Nummer 2 ist die Maßnahme nur zulässig, wenn die Erforschung des Sachverhalts auf andere Weise aussichtslos wäre. Die Erhebung gespeicherter (retrograder) Standortdaten ist nach diesem Absatz nur unter den Voraussetzungen des Absatzes 2 zulässig. Im Übrigen ist die Erhebung von Standortdaten nur für künftig anfallende Verkehrsdaten oder in Echtzeit und nur im Fall des Satzes 1 Nummer 1 zulässig, soweit sie für die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes des Beschuldigten erforderlich ist.

Standortdaten meint zwar eher GPS-Daten, das kann aber auch eine IP-Adresse sein, wenn sie angibt, über welchen Funkmast man eingeloggt war oder schlicht, wo man sich befand, etwa in welcher Gaststätte.

Schon da erstaunt, dass dieser komische Thinktank, mehr aber noch die Innenministerkonferenz, von der man ja eine gewisse Rechtskunde erwarten könnte, sowas als neue Idee anpreist. Das gibt es doch schon.

Zum Verständnis: §100g Abs. 1 spricht von Straftaten von auch im Einzelfall erheblicher Bedeutung, oder Straftaten, die mittels Telekommunikation begangen wurden, erlaubt aber nur die Erhebung für die Zukunft, also ab der Anordnung. Absatz 2 spricht von besonders schweren Straften und erlaubt dann den Zugriff auf die Vorratsdatenspeicherung, also Straftaten in der Vergangenheit.

Dieser SPD/nichtSPD-Thinktank und die Innenministerkonferenz spielen sich also als die großen Strafverfolger auf, erfinden aber letztlich nur den längst existierenden § 100g Abs. 1 StPO neu. Was nicht gerade darauf schließen lässt, dass sie wüssten, wovon sie da reden.

Warum der Gesetzgeber nicht in der Lage ist, das klar und verständlich hinzuschreiben und das immer um drei Ecken schwurbeln muss, entzieht sich meiner Kenntnis. Entweder versucht man, das bewusst schwer lesbar zu halten, oder sie einfach zu viele Geisteswissenschaftler da haben, die nichts gelernt haben außer sich möglichst unverständlich auszudrücken, damit man nicht so merkt, dass sie sonst nichts gelernt haben. Würde ich Gesetze schreiben, würde ich sie ganz anders formulieren, weil ich das Ziel verfolgen würde, dass zumindest ein großer Teil der Bevölkerung sie versteht.

Es gibt übrigens ungefähr 13 Fassungen des § 100g StPO. Was per se schon für ein ziemliches Gemurkse spricht. Letztlich weiß dann sowieso keine Sau mehr, was gerade gilt.

Wer das nun anordnet, ist aus dem Gesetzestext gar nicht so einfach herauszufinden, nach meiner Erinnerung war das 2009 aber nur mit richterlicher Anordnung möglich.

Was übrigens gar nichts bedeutet.

Ich kann mich nämlich noch erinnern, dass ich mehrfach das Problem hatte, dass ich eine richterliche Anordnung auf den Tisch bekam, auf der nur exakt der Gesetzestext stand, damit die rechtssicher sind, und ich dann beim Richter anrief, welche „Verkehrsdaten“ es denn so sein dürften – Telefonnummer oder doch lieber IP-Adressen oder sowas. Mehrmals ist es mir passiert, ich erinnere mich dumpf an einen besonders ausgiebigen Fall, in dem er Richter mir sagte, das wisse er auch nicht, das solle ich den Staatsanwalt fragen, der das beantragt hat. Auf meinen Einwand, dass er doch der Richter sei, dessen Anordnung ich hier auszuführen hätte, kam dann, dass er jeden Tag so viele unterzeichnet, dass er gar nicht die Zeit hätte, das zu lesen und zu prüfen, sondern dem Staatsanwalt vertrauen muss. Außerdem könne er ja auch schon deshalb nichts dazu sagen, weil die Akte (damals alles auf Papier, nicht digital) bei der Staatsanwaltschaft läge, da hätte er keinen Einblick mehr.

Dann rief ich den Staatsanwalt an. Ja, das wisse er ja auch nicht, das müsse ich den Richter fragen, der habe das doch verfügt und unterzeichnet.

Der Gesetzgeber baut da also extra ein Vier-Augen-Prinzip, in dem nur auf Antrag der Staatsanwaltschaft und nur auf Beschluss des Gerichts überwacht werden darf, und beide sind blind wie ein Nachttopf. Jeder schiebt’s auf den anderen. Nachdem ich dem Staatsanwalt vorhielt, dass es doch nicht meine Aufgabe sein könnte, mir da irgendwas zu überlegen, was hilfreich sein könnte, zumal ich ja den Fall nicht kannte, sondern sie doch wohl wissen müssten, was sie da beantragen und beschließen, hieß es, ich könnte doch mal den Polizisten fragen, der wüsste wohl am ehesten, was er braucht.

Dann habe ich mit dem Polizisten telefoniert, und der wusste dann auch, worum es ging, was er macht, was er braucht.

Nur: Laut Gesetz hat der das nicht zu entscheiden. Laut Gesetz wird das von der Staatsanwaltschaft beantragt und vom Richter geprüft und beschlossen, während es dann in der Realität so aussah, dass ich als Mitarbeiter beim Provider das mit dem Polizisten ausgekaspert habe, was dem bei seinen Ermittlungen am besten helfen könnte. Also eigentlich völlig verfahrensrechtswidrig.

Dazu muss man wissen, dass auch die Verkehrsdaten wie die IP-Adresse verfassungsrechtlich unter das Telekommunikationsgeheimnis fallen, also besonders geschützt sind. Das geht nicht an, wie diese Schwätzer von der SPD oder nicht von der SPD sich das so vorstellen:

Geschulte Polizist:innen prüfen die Anzeige, bejahen einen Anfangsverdacht und lassen nun bei Facebook die „Loginfalle“ für „Teddy Bär“ scharf stellen.

Das ist nicht nur Quatsch, das ist verfassungswidrig.

Schauen wir mal hier:

Anordnungsbefugt im Sinne von § 100g StPO (Erhebung von Verkehrsdaten) ist bei Gefahr im Verzug die StA.

Im Normalfall entscheidet das Gericht auf Antrag der StA.

Die Polizei kann die Maßnahme selbst nicht anordnen.

Nur auf der Grundlage einer richterlichen oder staatsanwaltschaftlichen Anordnung ist es der Polizei erlaubt, »Datenübermittlungsersuchen beim jeweiligen TK-Anbieter« anzufordern.

Bei Gefahr im Verzug reicht eine staatsanwaltschaftliche Anordnung aus.

Oder hier (die „debug links“ von deren Webseite):

Welche Stellen dürfen eine Auskunft verlangen?

Auskunft über Verkehrsdaten dürfen insbesondere Gerichte und bei Gefahr im Verzug auch Staatsanwaltschaften in strafrechtlichen Ermittlungsverfahren (vergleiche (debug link record:lo_unit_subpage:tx_locore_domain_model_unitpopup:537928) in Verbindung mit (debug link record:lo_unit_subpage:tx_locore_domain_model_unitpopup:537914) StPO) verlangen. Die Polizeien des Bundes und der Länder dürfen von sich aus jedoch keine Auskunftsanordnungen treffen. Eine Auskunft an diese polizeilichen Stellen darf zur Strafverfolgung nur dann erteilt werden, wenn es in einer richterlichen oder staatsanwaltschaftlichen Anordnung ausdrücklich so bestimmt wurde.

Die Polizeien dürfen eben keine solchen Anordnungen ausstellen.

Wo steht das eigentlich, dass das eine richterliche Anordnung braucht?

Es steht woanders. Nämlich in § 101a Absatz 1 StPO (vgl. Bundestag, Seite 3):

§ 101a Absatz 1 StPO

(1) Bei Erhebungen von Verkehrsdaten nach § 100g gelten § 100a Absatz 3 und 4 und § 100e entsprechend mit der Maßgabe, dass
1. in der Entscheidungsformel nach § 100e Absatz 3 Satz 2 auch die zu übermittelnden Daten und der Zeitraum, für den sie übermittelt werden sollen, eindeutig anzugeben sind,
2. der nach § 100a Absatz 4 Satz 1 zur Auskunft Verpflichtete auch mitzuteilen hat, welche der von ihm übermittelten Daten nach § 113b des Telekommunikationsgesetzes gespeichert wurden.

In den Fällen des § 100g Absatz 2, auch in Verbindung mit § 100g Absatz 3 Satz 2, findet abweichend von Satz 1 § 100e Absatz 1 Satz 2 keine Anwendung. Bei Funkzellenabfragen nach § 100g Absatz 3 genügt abweichend von § 100e Absatz 3 Satz 2 Nummer 5 eine räumlich und zeitlich eng begrenzte und hinreichend bestimmte Bezeichnung der Telekommunikation.

Wäre eine interessante Frage, warum sich ein Staat die Gesetze von Leuten machen lässt, die sich nicht verständlich ausdrücken können (und wollen).

§ 100e
Verfahren bei Maßnahmen nach den §§ 100a bis 100c

(1) 1Maßnahmen nach § 100a dürfen nur auf Antrag der Staatsanwaltschaft durch das Gericht angeordnet werden. 2Bei Gefahr im Verzug kann die Anordnung auch durch die Staatsanwaltschaft getroffen werden. 3Soweit die Anordnung der Staatsanwaltschaft nicht binnen drei Werktagen von dem Gericht bestätigt wird, tritt sie außer Kraft. 4Die Anordnung ist auf höchstens drei Monate zu befristen. 5Eine Verlängerung um jeweils nicht mehr als drei Monate ist zulässig, soweit die Voraussetzungen der Anordnung unter Berücksichtigung der gewonnenen Ermittlungsergebnisse fortbestehen.

[… und so weiter, der ist länger, das erspare ich Euch aber.]

Warum schreibt man über § 100e „Verfahren bei Maßnahmen nach den §§ 100a bis 100c“ und dann in § 101a, dass § 100e für § 100g entsprechend gilt, anstatt es gleich dort mit reinzuschreiben? Wer macht solchen Gesetzesschrott?

Wie auch immer, der Punkt ist, dass es heute immer noch so ist, wie es damals schon war, nämlich dass es nur ein Gericht darf. Bei Gefahr im Verzuge auch die Staatsanwaltschaft, aber nur für so lange, bis ein Gericht es machen konnte. Und die Polizei gar nicht. Sowas ähnliches hatte ich auch mal, akute Bombendrohung mit Täter im PKW auf dem Weg zum Tatort, war der eine von zwei Fällen, in dem es so dringend war, dass die Auskünfte ausnahmsweise mal mündlich per Telefon gegeben wurde und ich direkt mit den Polizisten im Einsatzwagen mit Blaulicht gesprochen hatte, während das im Hintergrund natürlich korrekt, aber nachlaufend per Fax noch abgewickelt wurde, aber zu langsam gewesen wäre. Im anderen Fall war morgens ein Kind ermordert worden und die Polizei der Überzeugung, dass der Mörder gerade unterwegs ist, mehrere Kinder eines nach dem anderen umzubringen, weil die zusammen gespielt hatten und dabei Zeuge von irgendwas gewesen waren. Da war dann auch richtig Action angesagt. Ich hatte damals mal ein Dankfax der Polizei bekommen und einige Zeit an der Wand hängen, auf dem Stand, dass der Mörder gefangen werden konnte. Wenn ich mich recht erinnere, war das der Fall.

Insofern halte ich das für doppelt verfassungswidrig, was die SPD/Nicht-SPD hier abziehen will.

  • Einmal materiall und unverhältnismäßig, schon für alles ab leichter Beleidigung oder irgendeiner Ausgrenzung die große Kampfmaschinerie in Gang zu setzen, die eigentlich für schwere Katalogstraftaten des § 100a StPO gedacht ist (aber mit dem Gummiparagraphen, dass es auch die Straftaten erfassen soll, die online begangen wurden, und damit dann wirklich jeden noch so geringen Pups).
  • Und dann formal, weil es einen Eingriff in die Grundrechte bedeutet und hier ein (wenn auch faktisch nutzloser, aber immerhin erforderlicher) Richtervorbehalt besteht (erinnert Euch mal an die Richterin in der Cause Frauenfahrschein, über die ich neulich berichtet habe. Der Richtervorbehalt ist ein absoluter Witz.), sie das aber schon mit „Geschulte Polizist:innen“ treiben wollen, die das dann „bejahen“.
  • Dass sie nicht wissen, dass es das in §100g StPO schon gibt und sie glauben, sie hätten etwas neues erfunden, also ganz offenbar die Gesetze nicht kennen und es auch nicht für nötig hielten, sich überhaupt mal irgendwie zu informieren, bevor sie losblubbern.
  • Und dann die Folkloregruppe Innenministerkonferenz das auch noch aufnimmt, und anscheinend auch keinen gefragt hat, der sich mit sowas auskennt. 16 Innenminister, die für Recht und Verfassung zuständig sind, und keiner weiß, was Sache ist.

Oder eben die Presse, etwa TAZ:

Alternative ist nun das Konzept der Login-Falle. Wenn ein Nutzer mit dem Pseudonym „arischer Wolf“ in Netzwerken hetzt, könnte der Netzwerkbetreiber verpflichtet werden, beim nächsten Login des „arischen Wolfs“ dessen aktuelle IP-Adresse zu registrieren und sofort der Polizei zu übermitteln. Dieser Vorschlag bräuchte keine Gesetzesänderung, nur eine direkte und automatisierte Kommunikation zwischen Polizei und Betreibern.

Entwickelt hat den Vorschlag der digitalpolitische Thinktank D64, der früher als SPD-nah galt. Erst am Montag wurde das Konzept vorgestellt. Dass die Idee vier Tage später schon Eingang in einen Beschluss der Innenministerkonferenz findet, ist rekordverdächtig, zeigt aber, dass das Konzept Substanz zu haben scheint. Vor allem der niedersächsische SPD-Innenminister Boris Pistorius hatte sich dafür starkgemacht.

Es zeigt eigentlich nur, dass sie alle miteinander keine Ahnung haben und nicht in der Lage sind, sich erst mal über die Rechtslage zu informieren.

Boris Pistorius ist übrigens Jurist mit zweitem Staatsexamen. Laut Wikipedia hat er sogar mal ein halbes Jahr als Rechtsanwalt gearbeitet, das Juristische lag ihm aber wohl nicht so. Seither ist er im Staatsdienst.

Wer wählt sowas?

Update: Interessant natürlich der Blick in den Vorstand. Die beiden Vorsitzenden:

Henning Tillmann

Henning Tillmann (* 19. Januar 1985 in Unna) ist ein deutscher Softwareentwickler, Internetaktivist und Politiker (SPD).

Marina Weisband

Marina Weisband (russisch Марина Вайсбанд; wiss. Transliteration: Marina Vajsband; * 4. Oktober 1987 in Kiew, Ukrainische SSR, Sowjetunion) ist eine deutsch-ukrainische Politikerin (Bündnis 90/Die Grünen) und Publizistin. Sie war von Mai 2011 bis April 2012 politische Geschäftsführerin und Mitglied des Bundesvorstands der Piratenpartei Deutschland.

Noch Fragen?