Ermittlungspanne I: Wie man (k)eine Cloud durchsucht

Cloud-Durchsuchung

Außer Spe­sen nix gewe­sen!”

In einem gro­ßen Steu­er­straf­ver­fah­ren ermit­tel­te die Staats­an­walt­schaft gegen über 100 Per­so­nen in der gesam­ten Bun­des­re­pu­blik. Eine die­ser Per­so­nen rück­te in den enge­ren Fokus der Ermitt­ler, da man in ihr einen der Haupt­tä­ter sah. Die Staats­an­walt­schaft erwirk­te einen rich­ter­li­chen Beschluss nach § 100a StPO, um die Tele­fo­ne des Ver­däch­ti­gen abhö­ren und sei­nen E‑Mailverkehr über­wa­chen zu dür­fen. Das Baye­ri­sche Lan­des­kri­mi­nal­amt klink­te sich sodann lau­schend in alle Tele­fon­ge­sprä­che des Beschul­dig­ten mit ein und ließ sich sich sämt­li­che sei­ner E‑Mails zulei­ten.

Eine der vom LKA abge­fisch­ten E‑Mails ent­hielt die Rech­nung einer IT-Fir­ma. Die­se Rech­nung ent­hielt unter ande­rem den Pos­ten: „Kon­fi­gu­ra­ti­on Remo­te-Zugang Synolo­gy NAS Sys­tem“. Dies ließ die Ermitt­ler hell­hö­rig wer­den. Da sie mit den Begrif­fen „Remo­te-Zugang“ und „Synolo­gy NAS Sys­tem“ wohl nichts anfan­gen konn­ten, goo­gel­ten sie wahr­schein­lich ein wenig. Dabei müs­sen sie dann über den Begriff „Cloud“ gestol­pert sein. Scharf­sin­nig wur­de dann wohl kom­bi­niert, dass die Fir­ma Synolo­gy ja Cloud-Com­pu­ting anbie­te und der Beschul­dig­te folg­lich wohl sei­ne Daten online in der Cloud von Synolo­gy spei­che­re.

Der geneig­te Leser wird beim Lesen der Begrif­fe „Synolo­gy“ und „Cloud“ bereits kurz gestutzt haben und sich nun mit einem leicht fei­xen­den Grin­sen aus­ma­len kön­nen, was dann pas­sier­te.

Rich­tig: die Staats­an­walt­schaft erwirk­te bei der zustän­di­gen Ermitt­lungs­rich­te­rin tat­säch­lich einen Durch­su­chungs­be­schluss nach § 103 StPO (Durch­su­chung bei Unbe­tei­lig­ten), um die Geschäfts­räu­me der Fir­ma Synolo­gy in Düs­sel­dorf zu durch­su­chen und dort sodann die Daten sicher­zu­stel­len, die der Beschul­dig­te in der von Synolo­gy (ver­meint­lich) betrie­be­nen Cloud abge­legt hat­te. Im Wege der Amts­hil­fe wur­de sodann die Steu­er­fahn­dung Düs­sel­dorf, flan­kiert durch zwei „IT-kun­di­ge“ Beam­te (O‑Ton Durch­su­chungs­be­richt) des Lan­des­kri­mi­nal­amts Nord­rhein-West­fa­len damit beauf­tragt, die Cloud – tech­nisch also die Ser­ver – von Synolo­gy in Düs­sel­dorf zu durch­su­chen. Was die Beam­ten jedoch vor Ort vor­fan­den, waren weder Cloud noch Ser­ver, son­dern ledig­lich ein hal­bes Dut­zend ver­dutz­ter Büro­mit­ar­bei­ter.

Im soge­nann­ten Beweis­si­che­rungs­be­richt des LKA NRW wur­de der (von vor­ne­her­ein aus­sichts­lo­se) Ein­satz dann auch ent­spre­chend akten­kun­dig gemacht. Man habe fest­ge­stellt, dass die Fir­ma Synolo­gy soge­nann­te NAS (Net­work Atta­ched Sto­rage) Sys­te­me ver­trei­be und den Begriff „Cloud“ dabei im Zusam­men­hang mit der Mög­lich­keit benut­ze, über das Inter­net von über­all auf der Welt aus auf die Netz­werk­fest­plat­te in den hei­mi­schen vier Wän­den zuzu­grei­fen. Der Absatz ende­te mit einem fett­ge­druck­ten: „Die Fir­ma ist kein Anbie­ter von ver­teil­tem Online-Spei­cher­platz.

Bei der zeit­glei­chen Durch­su­chung der Woh­nung des Beschul­dig­ten wur­de dann doch tat­säch­lich eine Synolo­gy Disk­sta­ti­on auf­ge­fun­den.

Wel­che Leh­ren die Straf­ver­fol­ger aus die­ser Ermitt­lungs­pan­ne gezo­gen haben, ist nicht bekannt. Ver­mut­lich kei­ne. Aller­dings macht die­ser Fall eines deut­lich: wer sei­ne Daten online in der Cloud (sei es bei Drop­box, iCloud, etc.) spei­chert, soll­te immer vor Augen haben, dass sei­ne Daten auch dort nicht ohne wei­te­res vor neu­gie­ri­gen Bli­cken geschützt sind. Ste­hen die Cloud-Ser­ver in Deutsch­land, haben Ermitt­lungs­be­hör­den die Mög­lich­keit, ganz ein­fach vor Ort bei dem jewei­li­gen Cloud­s­to­rage­an­bie­ter eine Durch­su­chung nach § 103 StPO durch­zu­füh­ren und gege­be­nen­falls den dort gela­ger­ten Daten­be­stand des Beschul­dig­ten sicher­zu­stel­len. Aus Grün­den der Ver­hält­nis­mä­ßig­keit spie­geln die Straf­ver­fol­ger die rele­van­ten Daten dann vom Ser­ver und stel­len ledig­lich in Aus­nah­me­fäl­len gleich den gan­zen Ser­ver des Clou­dan­bie­ters sicher. Oft sind die frag­li­chen Daten jedoch phy­sisch über meh­re­re Ser­ver­stand­or­te ver­teilt. Hier ist oft pro­ble­ma­tisch, ob die Straf­ver­fol­ger recht­zei­tig alle Stand­or­te ermit­teln kön­nen, um einer Löschung zuvor zu kom­men. Der Gesetz­ge­ber hat jedoch mit § 110 Abs. 3 StPO auf der­ar­ti­ge Fäl­le reagiert. So kann die Staats­an­walt­schaft bei­spiels­wei­se bei dro­hen­dem Beweis­mit­tel­ver­lust eine Haus­durch­su­chung beim Beschul­dig­ten durch­füh­ren und über des­sen hoch­ge­fah­re­nen PC auf des­sen Daten im Loka­len Netz­werk oder aber eben auch in der Cloud zugrei­fen und die­se sichern. Hier hat sich schon man­cher Beschul­dig­te schwarz­ge­är­gert, weil er Fest­plat­ten­ver­schlüs­se­lung eigent­lich immer für unnö­ti­gen Nerd-Koko­lo­res gehal­ten hat.

Juris­tisch pro­ble­ma­tisch wird ein Daten­zu­griff über § 110 Abs. 3 StPO jedoch immer dann, wenn die Cloud­ser­ver nicht auf deut­schem Grund und Boden ste­hen (was bei vie­len Clou­dan­bie­tern der Fall sein dürf­te), da die Ermitt­ler in der Regel nicht ohne ein ent­spre­chen­des Rechts­hil­fe­er­su­chen auf frem­den Hoheits­ge­biet tätig sein dür­fen – auch wenn dies nur vir­tu­ell geschieht.

In dem hier geschil­der­ten Fall führ­te die her­aus­ra­gen­de IT-Kom­pe­tenz der Ermitt­ler übri­gens nicht nur zum ver­geb­li­chen Ver­such einer Cloud-Durch­su­chung, son­dern brock­te dem Beschul­dig­ten auch eine kaput­te Haus­tür ein. Mehr dazu dann in Teil 2.