Kategorien
Cybercrime Blog IT-Sicherheit Strafprozessrecht

Zugriff auf Online-Accounts durch Ermittler

Wenn Ermittler unbemerkt auf den Google-Account zugreifen: Inzwischen wird es immer mehr mit dem Zugriff von Ermittlern auf Online-Accounts, was ein ernsthaftes, unterschätztes Problem darstellt. Ich hatte bereits über einen Fall mit der Steuerfahndung geschrieben, aus weiteren Cybercrime-Verfahren kann ich nun einen eigenen gesammelten persönlichen Eindruck wiedergeben.

Aggressiver Zugriff der Ermittler

Viele stellen sich das so vor, dass man die beschlagnahmten Endgeräte nimmt, um dann darüber Login-Vorgänge zu schaffen. Diese Vorstellung war vor vielen Jahren einmal angebracht, ist heute aber längst überholt. Jedenfalls in echten Cybercrime-Fällen geht man viel aggressiver vor.

Mir ist aus mehreren Verfahren ein deutlich proaktives Ermitteln bekannt, wobei ich hier bewusst weder die Art der Ermittlungen noch die Behörden offenlegen möchte: Ermittler haben beschlagnahmte Handys samt SIM-Karten vorliegen; das Smartphone wird zuerst gesichert, dann aus dem Flugmodus versetzt und bei dem gewünschten Dienst die Passwort-Zurücksetzen-Funktion ausgelöst.

Da man als Ermittler nun Zugriff auf den Mailaccount, aber auch die Handynummer bzw. eingehende SMS hat, kann nun problemlos ein eigenes Passwort gesetzt werden, das fortan als Login taugt. Auf dem Weg verschafften sich in den von mir bearbeiteten Fällen Ermittler eigenen Zugang u.a. zu Google, LinkedIn, Facebook, Instagram. Das selbst gesetzte Passwort, so viel sei nur am Rande bemerkt, war dabei äußerst einfach gewählt, sodass aus meiner Sicht nicht nur voller Zugriff auf das gesamte digitale Leben bestanden hat, sondern darüber hinaus auch noch eine Sicherheitslücke geschaffen wurde.

Strafprozessual nicht gedeckte Maßnahme?

Um es kurz zu machen: Diese Zugriffe sind aus meiner Sicht von keiner strafprozessualen Ermittlungsmaßnahme gedeckt. Insbesondere deckt nicht §110 Abs.3 diesen Zugriff ab, entgegenstehende Rechtsprechung verkennt schlicht die verfassungsrechtliche Dimension. So wie Mails nicht vollständig beschlagnahmt werden dürfen, ist es umso eingriffsintensiver, vollständig als Ermittler in Google-/Instagram-/LinkedIN-Accounts Einsicht zu nehmen. In diesen Fällen liegt ein klassischer Fall einer Online- vor, die sich – sofern überhaupt Zulässig in dieser Form – an den Vorgaben der §100b StPO zu orientieren hat.

Vorsicht: Mit Zugriff der Ermittler rechnen!

Ich kann hier nur warnen, nach meiner Wahrnehmung unterschätzen immer noch viele, was jedenfalls in umfangreicheren Cybercrime-Verfahren passiert, auch manchein verteidigender Kollege. Der potenzielle nachherige Zugriff auf Online-Accounts muss in die eigene Verteidigungstaktik zwingend und dringend eingestellt werden.

Dabei darf man nicht zu kindlich denken: Ich weiss etwa aus vereinzelten Ermittlungen, dass manche Ermittler geschult genug sind, um zielgerichtet nach Yubikeys zu suchen. Bisher ist mir aber noch kein Fall bekannt geworden, dass man auf Passwort-Wallets versucht hat Zugriff zu nehmen, letztlich dürfte auch dies nur eine Frage der Zeit sein.

Die Problematik, dass ein Dritter – und nichts anderes sind Ermittler an dem Punkt – sowohl über Endgerät, Login-Daten als auch den standardmäßigen zweiten Faktor verfügt ist ein Risiko, das man schon mit Blick auf die eigene IT-Sicherheit nicht ignorieren darf. Verteidigungstaktisch kommt dann hinzu, dass durch dieses aus meiner Sicht massiv rechtswidrige Verhalten auch noch angebliche „Zufallsfunde“ weiterer Taten beim „durchsehen“ der Online-Identitäten drohen.

Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)