Ermittlungspanne I: Wie man (k)eine Cloud durchsucht

Cloud-Durchsuchung

„Außer Spesen nix gewesen!“

In einem großen Steuerstrafverfahren ermittelte die Staatsanwaltschaft gegen über 100 Personen in der gesamten Bundesrepublik. Eine dieser Personen rückte in den engeren Fokus der Ermittler, da man in ihr einen der Haupttäter sah. Die Staatsanwaltschaft erwirkte einen richterlichen Beschluss nach § 100a StPO, um die Telefone des Verdächtigen abhören und seinen E-Mailverkehr überwachen zu dürfen. Das Bayerische Landeskriminalamt klinkte sich sodann lauschend in alle Telefongespräche des Beschuldigten mit ein und ließ sich sich sämtliche seiner E-Mails zuleiten.

Eine der vom LKA abgefischten E-Mails enthielt die Rechnung einer IT-Firma. Diese Rechnung enthielt unter anderem den Posten: „Konfiguration Remote-Zugang Synology NAS System“. Dies ließ die Ermittler hellhörig werden. Da sie mit den Begriffen „Remote-Zugang“ und „Synology NAS System“ wohl nichts anfangen konnten, googelten sie wahrscheinlich ein wenig. Dabei müssen sie dann über den Begriff „Cloud“ gestolpert sein. Scharfsinnig wurde dann wohl kombiniert, dass die Firma Synology ja Cloud-Computing anbiete und der Beschuldigte folglich wohl seine Daten online in der Cloud von Synology speichere.

Der geneigte Leser wird beim Lesen der Begriffe „Synology“ und „Cloud“ bereits kurz gestutzt haben und sich nun mit einem leicht feixenden Grinsen ausmalen können, was dann passierte.

Richtig: die Staatsanwaltschaft erwirkte bei der zuständigen Ermittlungsrichterin tatsächlich einen Durchsuchungsbeschluss nach § 103 StPO (Durchsuchung bei Unbeteiligten), um die Geschäftsräume der Firma Synology in Düsseldorf zu durchsuchen und dort sodann die Daten sicherzustellen, die der Beschuldigte in der von Synology (vermeintlich) betriebenen Cloud abgelegt hatte. Im Wege der Amtshilfe wurde sodann die Steuerfahndung Düsseldorf, flankiert durch zwei „IT-kundige“ Beamte (O-Ton Durchsuchungsbericht) des Landeskriminalamts Nordrhein-Westfalen damit beauftragt, die Cloud – technisch also die Server – von Synology in Düsseldorf zu durchsuchen. Was die Beamten jedoch vor Ort vorfanden, waren weder Cloud noch Server, sondern lediglich ein halbes Dutzend verdutzter Büromitarbeiter.

Im sogenannten Beweissicherungsbericht des LKA NRW wurde der (von vorneherein aussichtslose) Einsatz dann auch entsprechend aktenkundig gemacht. Man habe festgestellt, dass die Firma Synology sogenannte NAS (Network Attached Storage) Systeme vertreibe und den Begriff „Cloud“ dabei im Zusammenhang mit der Möglichkeit benutze, über das Internet von überall auf der Welt aus auf die Netzwerkfestplatte in den heimischen vier Wänden zuzugreifen. Der Absatz endete mit einem fettgedruckten: „Die Firma ist kein Anbieter von verteiltem Online-Speicherplatz.

Bei der zeitgleichen Durchsuchung der Wohnung des Beschuldigten wurde dann doch tatsächlich eine Synology Diskstation aufgefunden.

Welche Lehren die Strafverfolger aus dieser Ermittlungspanne gezogen haben, ist nicht bekannt. Vermutlich keine. Allerdings macht dieser Fall eines deutlich: wer seine Daten online in der Cloud (sei es bei Dropbox, iCloud, etc.) speichert, sollte immer vor Augen haben, dass seine Daten auch dort nicht ohne weiteres vor neugierigen Blicken geschützt sind. Stehen die Cloud-Server in Deutschland, haben Ermittlungsbehörden die Möglichkeit, ganz einfach vor Ort bei dem jeweiligen Cloudstorageanbieter eine Durchsuchung nach § 103 StPO durchzuführen und gegebenenfalls den dort gelagerten Datenbestand des Beschuldigten sicherzustellen. Aus Gründen der Verhältnismäßigkeit spiegeln die Strafverfolger die relevanten Daten dann vom Server und stellen lediglich in Ausnahmefällen gleich den ganzen Server des Cloudanbieters sicher. Oft sind die fraglichen Daten jedoch physisch über mehrere Serverstandorte verteilt. Hier ist oft problematisch, ob die Strafverfolger rechtzeitig alle Standorte ermitteln können, um einer Löschung zuvor zu kommen. Der Gesetzgeber hat jedoch mit § 110 Abs. 3 StPO auf derartige Fälle reagiert. So kann die Staatsanwaltschaft beispielsweise bei drohendem Beweismittelverlust eine Hausdurchsuchung beim Beschuldigten durchführen und über dessen hochgefahrenen PC auf dessen Daten im Lokalen Netzwerk oder aber eben auch in der Cloud zugreifen und diese sichern. Hier hat sich schon mancher Beschuldigte schwarzgeärgert, weil er Festplattenverschlüsselung eigentlich immer für unnötigen Nerd-Kokolores gehalten hat.

Juristisch problematisch wird ein Datenzugriff über § 110 Abs. 3 StPO jedoch immer dann, wenn die Cloudserver nicht auf deutschem Grund und Boden stehen (was bei vielen Cloudanbietern der Fall sein dürfte), da die Ermittler in der Regel nicht ohne ein entsprechendes Rechtshilfeersuchen auf fremden Hoheitsgebiet tätig sein dürfen – auch wenn dies nur virtuell geschieht.

In dem hier geschilderten Fall führte die herausragende IT-Kompetenz der Ermittler übrigens nicht nur zum vergeblichen Versuch einer Cloud-Durchsuchung, sondern brockte dem Beschuldigten auch eine kaputte Haustür ein. Mehr dazu dann in Teil 2.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*