Autor: gero

  • Beschwerdeverfahren läuft

    Einleitung
    Der aktuelle Stand – und warum hier nicht schon viel früher mehr zu lesen war…

    Wie hier bereits nachzulesen, hat die Staatsanwaltschaft Essen und mit ihr das Amtsgericht Essen es für verhältmäßig gehalten, nach 2017 ein zweites mal eine Hausdurchsuchung bei einem Vorstandsmitglied von uns durchzuführen.

    Für Personen, die sich auch nur ein wenig mit Tor auskennen, ist das Ansinnen, Tor-Nutzer zu De-Anonymisieren, indem man Tor-Node-Betreiber durchsucht und sich Nodes anschaut, offensichtlich aussichtslos. Dieses Hintergrundwissen fehlt den lokalen Ermittlungsbehörden aber anscheinend.

    In der Konsequenz lassen wir uns jetzt anwaltlich vertreten (Kanzlei Hubrig) und haben Beschwerde sowohl gegen den aktuellen Durchsuchungsbeschluss als auch die genauso offensichtlich untaugliche und rechtswidrige Maßnahme in 2017 eingereicht.

    Wir würden einige Unterlagen sehr gerne bis auf wenige Schwärzungen im Volltext öffentlich machen, damit sich auch die Öffentlichkeit ein möglichst vollständiges Bild der Lage machen kann. Mindestens solange das Verfahren noch läuft, hindert uns aber aktuell §353d StGB daran, das auch zu tun.

    Mit der zwischenzeitlich erfolgten Beschwerdeeinreichung am 24.09., können wir aber jetzt zumindest auszugsweise einige weitere Details veröffentlichen.

    Der Durchsuchungsbeschluss

    „Geschäftsräume“

    Der Durchsuchungsbeschluss ordnet die Durchsuchung der „Geschäftsräume des Vereins“ an. Eigene „Geschäftsräume des Vereins“ hat es aber zu keinem Zeitpunkt je gegeben. Der Verein benötigt keine eigenen Räumlichkeiten sondern lediglich eine „ladungsfähige“ Anschrift (die im Vereinsregister eingetragen wird) und einen physischen Briefkasten für Schriftverkehr. Den Umstand, daß es sich um ein normales Reihenendhaus und eine Privatwohnung handelt, wo offensichtlich keine „Geschäftsräume“ zu erwarten sind, kann man trivial mit Google Streetview ermitteln, wenn man nicht sogar vor der Maßnahme eigene Fotoaufnahmen anfertigt (2017 so geschehen, wie wir aus den Akten heute wissen). Allerspätestens stellt man das fest, wenn man „vor der Türe steht“.

    „Der Verein Artikel 5 e.V. soll ein Tor-Netzwerk betreiben…“
    & Umfang der Durchsuchung

    Ein gescannter Satz aus dem Durchsuchungsbeschluss, der für sich alleine Vielen vermutlich bereits mehr sagt, als 10 Seiten Text:

    Der Verein Artikel 5 e.V. soll ein Tor-Netzwerk betreiben

    (zzgl. roter Markierung von uns)

    Die Beschwerde gibt das folgendermaßen wieder:

    In dem Beschluss heißt es, dass der Verein Artikel 5 e.V. ein Tor-Netzwerk betreiben soll und hierdurch verschiedenen Nutzern, deren Identität aktuell unbekannt ist, den Zugang zum Darknet ermögliche. Aus weiteren Verfahren ist bekannt, dass diese Zugänge [...] genutzt werden: Es ist zu erwarten, dass bei der Durchsuchung Beweismittel, insbesondere die oben genannten Gegenstände, oder Anhaltspunkte für ihr Vorhandensein gefunden werden, die für die weitere Sachaufklärung von Bedeutung sind. Ohne die Anordnung der Durchsuchung wäre die weitere Sachaufklärung zumindest wesentlich erschwert.

    Wo man aus Sicht der StA Essen bei einem Tor-Node-Betreiber alles Nutzerdaten finden kann…

    Zu diesem Zweck sollen auch alle Nebenräume und Kraftfahrzeuge durchsucht werden. Ferner wird die Sicherstellung folgender Gegenstände angeordnet: Computer, Notebooks, Tablets und ähnliche technische Geräte, insb. Server, Speichermedien, Mobiltelefone/Smartphone mit Zubehör, SIM-Karten Geräte zur Herstellung einer Internetverbindung Hinweise auf User.

    Dazu:

    Dass zu diesem Zweck auch noch alle Nebenräume und Kraftfahrzeuge durchsucht werden sollten und ferner die Sicherstellung folgender Gegenstände angeordnet wurde: Computer, Notebooks, Tablets und ähnliche technische Geräte, insb. Server, Speichermedien, Mobiltelefone/Smartphone mit Zubehör, SIM-Karten Geräte zur Herstellung einer Internetverbindung Hinweise auf User, kann nur von einer vollkommen unkundigen Personen beantragt und angeordnet worden sein. Aus dem angegriffenen Beschluss ist nicht im Ansatz zu erkenn, dass hier eine Verhältnismäßigkeitsprüfung vorgenommen wurde, nicht einmal wurde kurz in der Fachpresse oder in einer öffentlich zugänglichen Quelle der Sachverhalt geprüft.
    Unter keinem tatsächlichen Gesichtspunkt bestand die Möglichkeit, Nutzerdaten in Mobiltelefonen/Smartphones mit Zubehör, SIM-Karten zu finden. Es wäre technisch ein absoluter Ausnahmefall, wenn irgendjemand technisch überhaupt Hinweise auf Tor-Nutzer auf SIM-Karten vorhalte. Ein derartiger Fall ist schlicht nicht bekannt. Sollte es dafür aber konkreten Anlass gegeben haben, so hätte dieser in dem angegriffenen Beschluss genannt werden müssen. Wie sähe überhaupt eine Speicherung von Tor-Nutzerdaten auf SIM-Karten technisch konkret aus? Oder in
    Kraftfahrzeugen? Die Ermittlung richtete sich gegen unbekannt. Es gibt also überhaupt keinen Anfangsverdacht gegen den Beschwerdeführer, so dass auch die Durchsuchung und Beschlagnahme seiner Geräte nicht hätte angeordnet werden dürfen.

    IT Grundkenntnisse

    Mehreren Mitgliedern des Durchsuchungsteams musste Herr Kuehn mehrfach erklären, dass obwohl am Standort ein Middle-Relay am DSL-Anschluss betrieben wird, dieses in keinem Fall identisch sein kann mit dem Knoten der anlassgebend für die angegriffene Durchsuchung war. Es hat eine gefühlte Ewigkeit gedauert, bis der eine IT-Kundige sein Arbeitslaptop geholt, gebootet und in das LAN gestöpselt und ein Traceroute durchgeführt hat, um den technisch völlig ahnungslosen Teilnehmern des Durchsuchungsteams auch endlich die letzten Restzweifel zu nehmen. Der fragliche Knoten befindet sich auch nach seinen Angaben nicht am durchsuchten Standort. Wer technisch dermaßen unkundig ist, dürfte entweder nicht Teil eines solchen Teams sein oder müsste im Vorfeld bereits mindestens ausreichend gebrieft werden, um grob unverhältnismäßige Androhungen von Zwangsmaßnahmen (wir können Ihnen hier auch alles raustragen) zu vermeiden.

    „Wo wir schon mal hier sind“ und was „Hidden Services“ und Middle-Relays (nicht) mit strafbarem Exit-Traffic zu tun haben…

    Die im Beschluss aufgeführten Ermächtungen für das Durchsuchungsteam waren sehr weitgehend:

    Weiter heißt es in dem Beschluss, werden bei der Durchsuchung Gegenstände gefunden, die auf die Verübung einer anderen Straftat hindeuten, sind diese einstweilen in Beschlag zu nehmen.

    In den USA, die sonst selten ein Leuchtturm der Rechtsstaatlichkeit sind, gibt es ein Beweisverwertungsverbot für von Ermittlungsbehörden illegal erlangte Beweise. In Deutschland gibt es das trotz faschistischer Vergangenheit nicht. Hier leistet man sich o.g. Ermächtigungen und wer vor der aktuellen Cannabis-Teillegalisierung schon einmal unter dem Vorwand, „sie haben bestimmt einen Joint dabei“ durchsucht wurde, nur weil man an der „falschen Stelle“ demonstriert hat oder der Polizei aus anderen Gründen gerade unbequem war, der erahnt vermutlich das gigantische Mißbrauchspotenzial dieser Ermächtigung.

    Unsere Beschwerde dazu und zum Ablauf der Middle-Relay Begutachtung und des syslog-Exports:

    Nach erlangter Kenntnis über das im Haus betriebene Middle-Relay, gab es seitens des einen ITKundigen im Team den Wunsch, sicherzustellen, dass darauf keine Hidden Services laufen. Hidden Services im Tor Netz sind nicht illegal. Sie sind auch nicht ansatzweise pauschal fragwürdig sondern bereiten z.B. einen einfachen Weg, um aus VPNs oder von unterwegs verschlüsselt auf seine eigene IT-Infrastruktur zugreifen zu können. Das Ansinnen, sich diesen Knoten ansehen zu wollen, ist unter der gegebenen Begründung für den Durchsuchungsbeschluss (Erlangung von Nutzerinformationen zu Traffic über den netcup-Knoten) völlig unplausibel und zur Erlangung dieser Information offensichtlich ungeeignet. Welche Rolle sollte ein etwaiger Hidden Service auf der Virtuellen Machine, die das Middle-Relay betreibt, für nicht-existente Nutzerdaten zu einem Tor-Knoten in einem Netcup- Rechenzentrum spielen? In welchem Szenario würden diese dort auffindbar sein? Das Ansinnen, sich diesen Knoten ansehen zu wollen, ist ein Paradebeispiel für einen Exzess, der sich aus der in Deutschland fehlenden forbidden fruit-Doktrin ergibt. Es ist der Inbegriff von irgendwas wird sich da schon finden [wenn wir schon mal da sind]“. Da Zugang zu der betroffenen Virtuellen Machine aus Datenschutzgründen unbedenklich ist, ermöglichte Herr Kuehn dem ITKundigen unter dem rechtswidrigen Druck (wir können Ihnen hier auch alles raustragen) den
    Zugang. Es wurden die lokale torrc-Konfiguration (wo kein „Hidden Service“ auftaucht) dokumentiert, Linux Systemlogs exportiert und diese dann auf den ans lokale Netz angestöpselten Dienstlaptop übertragen. Beides findet sich nicht im Durchsuchungs- /Sicherstellungsprotokoll. Es ist neben der Untauglichkeit und damit Rechtswidrigkeit der ganzen Aktion ein Unding, dass man als „ITKundiger“ erst Linux-Kommandos dafür googeln muss und Herr Kuehn „mit Augen über der Schulter“ auf dem Laptop selbst die Verbindung zur Virtuellen Machine herstellen und an „sie müssten da schon noch die Zugriffsrechte ändern, wenn Sie das [als root erstellte file] per SSH mit dem user account [der SSH-Zugriff hat] herunterladen wollen“ erinnern muss.

    Das Protokoll

    Laut dem Durchsuchungsprotokoll wurde nichts beschlagnahmt. Weder eine ausgehändigte Rechnung noch der o.g. Log-Export tauchen dort auf. Das kann passieren, wenn Dinge parallel laufen, sollte es aber nicht. 

    „Der Durchsuchung wurde zugestimmt“… oder auch nicht

     So sieht das im Original aus:

    Scan der Zeile im Durchsuchungsprotokoll mit vorangekreuzter Zustimmung

    (zzgl. roter Markierung von uns)

     Und das ist die Antwort darauf:

    Rechtsstaatlich bedenklich ist das Protokoll an einer weiteren Stelle: Als das Protokoll Herrn Kuehn zur Unterschrift vorgelegt wurde, war bereits das Kreuz für der Durchsuchung wurde zugestimmt getätigt. Herr Kuehn musste dies nachträglich korrigieren lassen.

    Ob das freiwillige Aushändigen einer Serverrechnung und das ermöglichen eines Log-Exports unter der Androhung von Zwangsmaßnahmen plausibel eine Zustimmung zur Gesamtmaßnahme annehmen lassen, wird sich das Beschwerdegericht jetzt überlegen müssen. Aus unserer Sicht ist alles andere als eine explizite Frage vor dem ausfüllen des Formulars an dieser Stelle indiskutabel.

    Eine einmal unterschriebene Zustimmung wäre im Rahmen einer (offensichtlich drohenden und jetzt ja auch eingereichten) Beschwerde gegen den Beschluss sehr erklärungsbedürftig und würde die Erfolgsaussichten entsprechend schmälern.

    Offensichtlich ohne jede Aussicht auf Erfolg

    Weder Verein noch Vorstand werden dieses mal als Beschuldigte geführt. Die Durchsuchungsmaßnahme stützt sich damit auf §103 StPO.

    Ganz abgesehen davon, daß eine Durchsuchung „bei anderen Personen“ anders ablaufen sollte und mit anderen Ermächtigungen für das Durchsuchungsteam verbunden sein müsste (s.o.), als es in diesem Fall passiert ist, so muss sie dem Gesetz nach trotzdem wenigstens Aussicht auf Erfolg haben. Wer weiß, wie Tor funktioniert, weiß auch, dass das nicht der Fall ist. Selbst wenn sie es wollen würden, sind die Betreiber von Tor-Nodes prinzipbedingt grundsätzlich nicht in der Lage, einzelne Nutzer zu De-Anonymisieren. Dieses Kernfeature des Tor-Netzes könnte und müsste man 2024 kennen.

    Dazu:

    Nach § 103 StPO wäre die Durchsuchung nur zulässig, wenn Tatsachen vorliegen, aus denen zu schließen ist, daß sich die Spur einer Straftat oder eine bestimmte Sache in den zu durchsuchenden Räumen befände. Die Beweisgegenstände müssen in der schriftlichen Durchsungsanordnung konkret bezeichnet sein. Allein die (unvernünftige) Vermutung, der Betreiber eines Tor-Knotens würde eine De-Anonymisierung bzw. Re-Identifikation vornehmen, reicht nicht aus. Die richterliche Anordnung wird damit den rechtsstaatlichen Mindestanforderungen nicht gerecht. Sie enthält keine tatsächlichen Angaben über den Inhalt des Tatvorwurfs und den tatsächlich aufzufindenden Beweise. Die schlichte Angabe des gesetzlichen Tatbestandes macht nicht deutlich, durch welche konkreten Handlungen der Beschwerdeführer gegenüber Tausender anderer Tor- Knoten-Betreiber in den Verdacht geraten ist, Nutzerdaten vorzuhalten. Eine vorherige Anhörung des Beschwerdeführers wäre möglich gewesen, ohne dass dadurch der Strafverfolgungszweck beeinträchtigt worden wäre. Dem widerspräche allenfalls eine pauschale Vorverurteilung der Tor- Knoten-Betreiber. Es handelt sich jedoch hierbei um legale und teilweise staatlich unterstützte Handlungen.

    Und selbst wenn man als Ermittlungsbehörde schon mehr Informationen haben sollte und man WIRKLICH an den betroffenen Knoten will, dann sollte man u.U. auch da durchsuchen oder nachfragen, wo der Knoten tatsächlich steht:

    Auf die Frage des Herr Kuehn, um welche IP-Adresse (und damit welchen Tor-Knoten) es sich handle, wurde ihm die IP-Adresse 46.232.251.191 genannt. Diese und auch keine andere IP-Adresse wurden im Durchsuchungsbeschluss nicht genannt. Diese IP-Adresse ist einem Tor-Exit des Beschwerdeführers zugeordnet, der bei netcup in einem Rechenzentrum betrieben wird. Am durchsuchten Ort befindet sich also nicht der Server, auf dem der Tor-Knoten betrieben wird, sondern in einem Rechenzentrum. Die Rechnung für diesen Knoten und den angegebenen Tatzeitraum wurde dem Durchsuchungsteam ausgehändigt. Die Rechnung hätte die Ermittlungsbehörde ohne Hausdurchsuchung bei einer Privatperson von netcup bekommen können.

    Fazit

    Es gibt z.B. mit der Zentralstelle zur Bekämpfung der Internet- und Computerkriminalität (ZIT) offensichtlich Ermittlungsbehörden, die wissen, was Tor ist und wie es funktioniert. Auch neben der deutschen Wikipedia, gibt es zahllose unabhängige und seriöse Informationsmöglichkeiten zu dem Thema. Um die Aussichtslosigkeit einer Durchsuchung, wie sie jetzt zum zweiten mal stattgefunden hat zu erkennen, reicht eigentlich auch schon folgende kleine Erklärgrafik zu Tor:

    Nichts von all diesem für Ermittlungsbehörden verfügbaren Wissen, hat man in Essen in Anspruch genommen. Wir hoffen, dass unsere Beschwerde diesen Mißstand jetzt ein für alle Male abstellt und dass u.a. diese Seite hier auch dazu beiträgt, dass es auch bei anderen Tor-Node-Betreibern in Zukunft nicht mehr zu solchen grob unverhältnismäßigen Maßnahmen kommt.

    Passiert das doch, könnte man u.U. (politische) Absicht unterstellen…

  • Hausdurchsuchung

    Am Freitag den 16. August 2024 hat die Staatsanwaltschaft Essen zum inzwischen zweiten mal die Privat- und Geschäftsräume des Vorstands durchsuchen lassen. Formal geht es dieses mal zwar „nur“ um „die Geschäftsräume des Vereins“. Da der Verein keine eigenen Räumlichkeiten besitzt/betreibt, bedeutet das aber ganz praktisch, daß zum zweiten mal beim Vorstand morgens um 6:04 ein bewaffnetes Rollkommando vor der privaten Türe und anschließend im Wohnzimmer steht und man ganz offen damit droht, die wirtschaftliche Existenzgrundlage zu beschlagnahmen. Spätestens seit einem ähnlichen Vorgang 2017 muss der StA-Essen dies auch bewusst sein.

    Aus unserer Sicht zeugt bereits der im Rahmen der Maßnahme ausgehändigte Beschluss nicht nur von absolut mangelhafter technischer Sachkenntnis der Ermittlungsbehörden bzgl. Tor sondern auch von einer völligen Ignoranz bzgl. der Konsequenzen, die so ein Vorgang für Betroffene hat. Zusammen mit der Tatsache, daß die Durchsuchung/Beschlagnahmung einzelner Tor Nodes prinzipbedingt grundsätzlich nicht zu der de-anonymisierung von Tor-Nutzern geeignet ist, ergibt sich daraus eine grobe Unverhältnismäßigkeit der Maßnahme und daraus folgend eine offenkundige Rechtswidrigkeit des Beschlusses.

    Der Vorstand berät in den nächsten Tagen über die Konsequenzen für die weiteren Vereinstätigkeiten und die notwendigen juristischen Schritte.

    Details dazu folgen danach an dieser Stelle zusammen mit einer Information an die Vereinsmitglieder.

    Update 1 (7.9.2024) – der Termin für die MV steht

    Am Samstag, 21.09.2024 um 14:00 Uhr findet eine außerordentliche Mitgliederversammlung in den Räumen des foobar e.V. (Chaospott), Sibyllastr. 9 (Hofgebäude), 45136 Essen statt, um über die Konsequenzen zu beraten und entscheiden.

    Update 2 (12.9.2024) – Korrektur zu externer Berichterstattung

    Zwischenzeitlich ist an einigen Stellen leider berichtet worden, daß es um „einen in den Räumlichkeiten [des Vorstands] betriebenen Tor-Exit-Knoten“ geht. Das ist falsch und ein Mißverständnis. An der (mit der Wohn- und Geschäftsanschrift des Vorstands identischen) Meldeanschrift des Vereins wurde zu keinem Zeitpunkt jemals ein Exit-Knoten betrieben. Von dem Betrieb von Exit-Knoten an privaten DSL-Anschlüssen raten wir auch (genauso wie alle anderen uns bekannten Betreibervereine) explizit ab.

    Das nicht auseinander halten zu können (oder wollen) ist ein Aspekt, warum diese Durchsuchungsmaßnahme so offensichtlich unverhältnismäßig ist.

    Korrekt ist:

    1) An dieser Anschrift wurde lediglich ein Middle-Relay betrieben:

    https://atlas.torproject.org/#details/486740353B905AA4731F82C0B4CC25821A62C6E3
    (schon dem de-listing wegen Abschaltung zum Opfer gefallen)
    https://nusenu.github.io/OrNetStats/w/relay/486740353B905AA4731F82C0B4CC25821A62C6E3.html
    (ebenfalls nicht mehr erreichbar)

    Der Export von Logs dieses (mit dem ursächlichen Verfahren in keinerlei Verbindung stehenden) Tor-Nodes wurde dem Durchsuchungsteam unter dem o.g. Druck ermöglicht. Danach wurde der Knoten umgehend abgeschaltet (und auf die bad-relays mailingliste als „kompromitiert“ gemeldet).

    2) Anlassgebend für die Durchsuchung war Traffic eines Tor Exit-Nodes, das eindeutig in Namen und Auftrag des Vereins in einem externen Rechenzentrum betrieben wurde. Eine Rechnung für diesen Knoten wurde dem Durchsuchungsteam ausgehändigt. Die IP-Adresse zur Identifizierung des Knotens war im Durchsuchungsbeschluss (im Gegensatz zu 2017) allerdings nicht benannt und musste erst vom Durchsuchungsteam erfragt werden.

    3) Weder die exportierten Logs noch die ausgehändigte Rechnung tauchen im Protokoll auf.

    Kopf des Durchsuchungsbeschlusses

    Kopf des Durchsuchungsbeschlusses