Wenn Ermittler unbemerkt auf den Google-Account zugreifen: Inzwischen wird es immer mehr mit dem Zugriff von Ermittlern auf Online-Accounts, was ein ernsthaftes, unterschätztes Problem darstellt. Ich hatte bereits über einen Fall mit der Steuerfahndung geschrieben, aus weiteren Cybercrime-Verfahren kann ich nun einen eigenen gesammelten persönlichen Eindruck wiedergeben.
Aggressiver Zugriff der Ermittler
Viele stellen sich das so vor, dass man die beschlagnahmten Endgeräte nimmt, um dann darüber Login-Vorgänge zu schaffen. Diese Vorstellung war vor vielen Jahren einmal angebracht, ist heute aber längst überholt. Jedenfalls in echten Cybercrime-Fällen geht man viel aggressiver vor.
Mir ist aus mehreren Verfahren ein deutlich proaktives Ermitteln bekannt, wobei ich hier bewusst weder die Art der Ermittlungen noch die Behörden offenlegen möchte: Ermittler haben beschlagnahmte Handys samt SIM-Karten vorliegen; das Smartphone wird zuerst gesichert, dann aus dem Flugmodus versetzt und bei dem gewünschten Dienst die Passwort-Zurücksetzen-Funktion ausgelöst.
Da man als Ermittler nun Zugriff auf den Mailaccount, aber auch die Handynummer bzw. eingehende SMS hat, kann nun problemlos ein eigenes Passwort gesetzt werden, das fortan als Login taugt. Auf dem Weg verschafften sich in den von mir bearbeiteten Fällen Ermittler eigenen Zugang u.a. zu Google, LinkedIn, Facebook, Instagram. Das selbst gesetzte Passwort, so viel sei nur am Rande bemerkt, war dabei äußerst einfach gewählt, sodass aus meiner Sicht nicht nur voller Zugriff auf das gesamte digitale Leben bestanden hat, sondern darüber hinaus auch noch eine Sicherheitslücke geschaffen wurde.
Strafprozessual nicht gedeckte Maßnahme?
Um es kurz zu machen: Diese Zugriffe sind aus meiner Sicht von keiner strafprozessualen Ermittlungsmaßnahme gedeckt. Insbesondere deckt nicht §110 Abs.3 StPO diesen Zugriff ab, entgegenstehende Rechtsprechung verkennt schlicht die verfassungsrechtliche Dimension. So wie Mails nicht vollständig beschlagnahmt werden dürfen, ist es umso eingriffsintensiver, vollständig als Ermittler in Google-/Instagram-/LinkedIN-Accounts Einsicht zu nehmen. In diesen Fällen liegt ein klassischer Fall einer Online-Durchsuchung vor, die sich – sofern überhaupt Zulässig in dieser Form – an den Vorgaben der §100b StPO zu orientieren hat.
Zugriff auf Metaverse-Konten?
Die Möglichkeit, dass Dritte – z.B. auch Ermittler! – unberechtigt auf Metaverse-Accounts zugreifen und diese missbrauchen, ist durchaus denkbar. Im Metaverse, das sich durch komplexe virtuelle Umgebungen und die Verwendung digitaler Identitäten auszeichnet, könnten solche Zugriffe auf unterschiedliche Weise erfolgen. Beispielsweise könnten Hacker durch Phishing-Angriffe oder das Ausnutzen von Sicherheitslücken Zugriff auf Benutzerkonten erlangen.
Einmal im Besitz eines solchen Zugangs, könnten sie dann die Kontrolle über digitale Identitäten und Assets im Metaverse übernehmen. Dies könnte beispielsweise die Übernahme von Avataren, den Diebstahl von virtuellen Gütern wie NFTs oder Kryptowährungen oder das unbefugte Handeln im Namen des rechtmäßigen Kontoinhabers umfassen.
Die rechtlichen Fragen, die sich aus einem solchen Missbrauch ergeben, sind vielfältig und komplex. Dazu gehören die Haftung für durch den Missbrauch entstandene Schäden, die Frage der effektiven Durchsetzung von Rechten und Ansprüchen im virtuellen Raum sowie datenschutzrechtliche Bedenken im Kontext des unbefugten Zugriffs auf personenbezogene Daten.
Angesichts der fortschreitenden Entwicklung und Popularität des Metaverse ist davon auszugehen, dass solche Fragen in Zukunft noch stärker in den Vordergrund rücken werden, insbesondere im Hinblick auf die Sicherheit und den Schutz der Nutzer. Dies würde auch eine Anpassung des rechtlichen Rahmens und der Sicherheitsmaßnahmen erfordern, um den Schutz der Nutzer und ihrer Daten im Metaverse zu gewährleisten.
Vorsicht: Mit Zugriff der Ermittler rechnen!
Ich kann hier nur warnen, nach meiner Wahrnehmung unterschätzen immer noch viele, was jedenfalls in umfangreicheren Cybercrime-Verfahren passiert, auch manchein verteidigender Kollege. Der potenzielle nachherige Zugriff auf Online-Accounts muss in die eigene Verteidigungstaktik zwingend und dringend eingestellt werden.
Dabei darf man nicht zu kindlich denken: Ich weiss etwa aus vereinzelten Ermittlungen, dass manche Ermittler geschult genug sind, um zielgerichtet nach Yubikeys zu suchen. Bisher ist mir aber noch kein Fall bekannt geworden, dass man auf Passwort-Wallets versucht hat Zugriff zu nehmen, letztlich dürfte auch dies nur eine Frage der Zeit sein.
Die Problematik, dass ein Dritter – und nichts anderes sind Ermittler an dem Punkt – sowohl über Endgerät, Login-Daten als auch den standardmäßigen zweiten Faktor verfügt ist ein Risiko, das man schon mit Blick auf die eigene IT-Sicherheit nicht ignorieren darf. Verteidigungstaktisch kommt dann hinzu, dass durch dieses aus meiner Sicht massiv rechtswidrige Verhalten auch noch angebliche „Zufallsfunde“ weiterer Taten beim „durchsehen“ der Online-Identitäten drohen.
Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht. Beachten Sie unsere Tätigkeit im Steuerstrafrecht, digitaler gewerblicher Rechtsschutz, IT-Sicherheitsrecht sowie Softwarerecht.
- Schaden beim Subventionsbetrug - 19. April 2024
- BGH-Urteils zum Verbreiten kinderpornographischer Inhalte - 19. April 2024
- OLG Köln zur Abschöpfung des Gewinns im Wettbewerbsrecht - 19. April 2024