Digitales IT-Recht Unternehmen

Apple, das FBI und die Rechtslage in Deutschland

Apple FBI iPhone Deutschland
geschrieben von Boris Burow

Vor ein paar Tagen hat sich Apple mit einem Brief an die Öffentlichkeit gewandt. Der Brief, den man hier abrufen kann, beschreibt die Sorge Apples vor einem massiven Eingriff in die Privatsphäre seiner Nutzer. Der Brief ist eine Art Appell an das FBI und die Regierung der USA, Softwareunternehmen nicht zu zwingen, Sicherungsmaßnahmen zur Strafverfolgung auszuhöhlen oder zu eliminieren. Ein Blick nach Deutschland.

Der offene Brief von Apple hat in den letzten Tagen hohe Wellen geschlagen. Viele Websites haben über den Fall berichtet. Es geht um die Frage, ob die Verfügung vom 16.02.2016 eines US-amerikanischen Gerichts rechtmäßig ist oder nicht. Die Frage wird kontrovers diskutiert und führt zu der Überlegung, ob eine solche Verfügung eines Gerichts auch in Deutschland möglich wäre. Die Hintergründe des Falls sind relativ einfach erklärt. Anfang Dezember 2015 töteten zwei Personen 14 Menschen im kalifornischen San Bernardino. Kurz nach der Tat wurden die Täter von der Polizei erschossen. Die Polizei bzw. das FBI sind seit diesem Zeitpunkt auf der Suche nach Motiven für diese Tat und möglichen Verbindungen zu den Terroristen des IS.

Die Ermittler des FBI konnten ein iPhone sicherstellen, aber sie können nicht auf das Gerät zugreifen, da dieses mit einer PIN versehen ist. Mit Hilfe dieser PIN ist das iPhone gleichzeitig auch vollverschlüsselt. Selbst wenn man also die Daten auf dem iPhone extrahieren würde, könnte man diese nicht entschlüsseln. Das FBI gab sich damit nicht zufrieden und hat daher eine gerichtliche Verfügung erwirkt, nach der Apple nun entsprechend die Pflicht zum Handeln auferlegt werden soll.

Die Entscheidung vom 16.02.2016 bezieht sich auf den sogenannten All Writs Act, 28 U.S.C. § 1651. Der All Writs Act geht zurück auf das Jahr 1789. Allerdings gab es eine gesetzliche Kodifikation in 1911, die immer wieder angepasst wurde. Der betreffende Absatz lautet:

(a) The Supreme Court and all courts established by Act of Congress may issue all writs necessary or appropriate in aid of their respective jurisdictions and agreeable to the usages and principles of law.

(b) An alternative writ or rule nisi may be issued by a justice or judge of a court which has jurisdiction.

Apple wird gerichtlich gezwungen mitzuhelfen

Auf Basis dieses Gesetzes hat das Gericht seine Entscheidung getroffen. Die Entscheidung sieht vor, dass die Firma Apple dem FBI helfen soll, Zugang zu den Daten auf dem iPhone zu erhalten. Das Gericht hat dabei verfügt, dass Apples technische Unterstützung drei wichtige Funktionen beinhalten soll.

Die technische Unterstützung soll dazu führen, dass die automatische Löschfunktion umgangen oder abgestellt wird, unabhängig davon, ob diese überhaupt eingeschaltet ist. Weiterhin soll Apple dabei helfen, dass mögliche PIN-Eingaben elektronisch auf das iPhone übermittelt werden und zwar entweder am physischen Port bzw. per Bluetooth, WIFI oder über andere mögliche Protokolle, die das iPhone versteht. Schließlich soll Apple auch sicherstellen, dass die verschiedenen PIN-Eingaben nicht dazu führen, dass das iPhone bei Falscheingaben keine verzögerten Eingaben mehr zulässt. In der Regel ist es so, dass ein iPhone nach Falscheingabe eine gewisse Zeitspanne angibt, in der keine weiteren Eingaben möglich sind. Diese Eingabe verlängert sich für jeden falschen Eingabeversuch.

Würde man also versuchen mittels einer Brute-Force-Attacke das iPhone zu entsperren, wäre nach kürzester Zeit keine weitere Eingabe mehr möglich. Weiterhin hat das Gericht verfügt, dass Apple beispielsweise eine signierte iPhone-Software zur Verfügung stellen könnte, die das FBI auf das iPhone laden könnte. Diese Software soll dazu führen, dass das installierte iOS auf dem iPhone nicht verändert wird, man aber Zugriff auf das Telefon erhält. Das Gericht verfügte, dass die Software so gestaltet werden könnte, dass sie nur auf diesem spezifischem iPhone lauffähig ist. Dabei stellt man Apple frei, auch andere Wege vorzuschlagen, die zum gleichen Ergebnis führen. Weiterhin darf Apple die Kosten für diese Maßnahmen der Regierung in Rechnung stellen und keine Kopien von etwaigen Daten von dem iPhone behalten. Sollte Apple der Auffassung sein, dass die Erfüllung dieser Vorgaben unzumutbar ist, kann Apple binnen fünf Tagen nach Erhalt der Verfügung entsprechend Stellung nehmen.

Rechtslage in Deutschland

Seitdem schlagen die Wellen hoch und es wird vielfach diskutiert, ob diese Aufforderung rechtstaatlich sein kann. Apple selbst hat in seinem offenen Brief Stellung bezogen und sieht die Problematik darin, dass das Entwickeln von modifizierten iOS-Versionen den Schutz der Privatsphäre aller Kunden gefährdet. Apple hat sich aus guten Gründen dafür entschieden, die iOS-Software so zu gestalten, dass das Gerät durch die PIN voll verschlüsselt wird. Damit ist ein Zugriff gerade eben nicht mehr möglich. Apple selbst hat geschrieben, dass das Nichtbefolgen der Anordnung des Gerichts nicht auf die leichte Schulter genommen wird. Allerdings will man der Aufforderung nicht Folge leisten.

Die Problematik, die nunmehr in den USA besteht, könnte jederzeit auch in Deutschland auftreten. Auch hier werden die iPhones vollverschlüsselt, wenn man eine PIN-Eingabe nutzt. Geht man davon aus, dass man keine vierstellige PIN verwendet, sondern gegebenenfalls ein komplexes Passwort, so dürfte es auch hier für die Behörden unmöglich sein, mittels der gängigen Methoden eine Entschlüsselung des iPhones vorzunehmen. Während wir also gespannt in die USA schauen, um zu sehen wie die Angelegenheit gerichtlich entschieden wird, blicken wir nach Deutschland und die hiesige Rechtslage.

Umgehung der Verschlüsselung auch für deutsche Sicherheitsbehörden interessant

Auch hier könnte es für die Ermittlungsbehörden interessant sein, eine solche Verfügung gegen einen Hersteller von entsprechender Software oder Hardware zu erwirken. Die Anwendungsfälle wären breit gefächert. Genauso könnte es ein Unternehmen treffen, das Verschlüsselungssoftware vertreibt und gezwungen werden soll, z. B. verschlüsselte Daten mittels einer modifizierten Software zu entschlüsseln. Auch hier gäbe es die Möglichkeit, dass das Unternehmen gegebenenfalls Möglichkeiten besitzt, um auf verschlüsselte Daten zuzugreifen.

Rein rechtlich ist bei dem Verdacht einer Straftat der Beschuldigte nicht schutzlos gestellt. Zur Aufklärung von Straftaten ist es dem Staat, insbesondere durch die Staatsanwaltschaft, erlaubt, Ermittlungsmaßnahmen zu ergreifen. Regelmäßig werden z. B. Durchsuchungs- und Beschlagnahmebeschlüsse von der Staatsanwaltschaft beim Amtsgericht beantragt, die dort leider oftmals ohne größere Gegenwehr abgenickt werden. Wenn also ein Beschuldigter ein Smartphone besitzt, wäre die Durchsuchung regelmäßig zulässig, um das Smartphone aufzufinden und sodann zu beschlagnahmen. Weiterhin wäre es auch zulässig, wenn versucht werden würde, das Smartphone zu entschlüsseln. Hierzu darf der Staat alle Methoden nutzen. Häufig wird hierbei eine Kopie des Datenträgers erstellt, um dann eine entsprechende Entschlüsselung vorzunehmen.

Aus der praktischen Arbeit weiß ich, dass z. B. bei verschlüsselten Containern auf Computern der Computer zunächst komplett durchsucht wird nach Zahlen, Daten, Namen und Wörtern, die eine gewisse Eigenart aufweisen und nicht zum Standartrepertoire in einem Wörterbuch gehören. Dann werden Passwortattacken sowohl mittels Wörterbüchern als auch dieser speziell erstellten Wortlisten durchgeführt, um gegebenenfalls die verschlüsselte Datei zu entschlüsseln. Dieses Vorgehen ist komplett rechtmäßig. Wer hier aber ein kryptisches Passwort verwendet, welches ausreichend lang ist und keine Rückschlüsse auf persönliche Daten oder Gegebenheiten enthält, ist hier in der Regel auf der sicheren Seite. Der Beschuldigte kann auch nicht gezwungen werden, Daten, wie z. B. das Passwort herauszugeben. Er darf hierzu auch nicht in Haft genommen werden oder anderweitigem Zwang ausgesetzt werden.

Es ist den Behörden aber bei schweren Straftaten durchaus auch möglich, bereits im Vorfeld verdeckte Überwachungsmethoden zu benutzen, um z. B. Gespräche abzuhören, die der Beschuldigte führt, sei es per Telefon oder aber im persönlichen Gespräch. Alle Erkenntnisse, die die Ermittlungsbehörden hieraus erhalten, können zur Entschlüsselung eines Smartphones genutzt werden. Die Ermittlungsbehörden haben somit sehr weitreichende Möglichkeiten und können im Prinzip sehr umfassend versuchen, alle relevanten Daten zusammenzutragen, um ein Telefon zu entschlüsseln.

Der Staat hat schon weitreichende Möglichkeiten in der Strafermittlung

Auch zulässig ist es, Ermittlungsmaßnahmen gegen Personen zu führen, die selbst weder an der Straftat beteiligt, noch einer solchen verdächtig sind. Dies bedeutet, dass auch bei Dritten Durchsuchungen und Beschlagnahmungen durchgeführt werden können, wenn es dazu dient, die Ermittlung in dem Fall zu unterstützen. Sollte daher z. B. ein Softwareunternehmen, dass Verschlüsselungssoftware herstellt, einen Generalschlüssel zur Entschlüsselung besitzen, könnte die Staatsanwaltschaft über das jeweilige Amtsgericht verfügen, dass dieser Generalschlüssel bei dem jeweiligen Unternehmen beschlagnahmt wird.

Sollte es aber keine bestehenden technischen Möglichkeiten geben, auf ein verschlüsseltes Smartphone zuzugreifen, so wäre es in Deutschland mit den bisherigen Gesetzen nicht möglich, ein Unternehmen zu zwingen, Software zu erstellen oder zu ändern, damit ein solcher Zugriff möglich wird. Zu unterscheiden ist dies von dem Fall, dass die Ermittlungsbehörden versuchen mittels anderer Software Zugriff auf ein verschlüsseltes Smartphone zu erhalten. Der Hersteller selbst könnte aber nicht zu so einer Handlung gezwungen werden. Hierzu fehlt es schlichtweg an einer gesetzlichen Grundlage. In Deutschland ist die Rechtslage daher so, dass ein unbeteiligter Dritter nie aktiv zur Mitarbeiter an der Aufklärung von Straftaten insoweit gezwungen werden kann, als dass er seine eigene Software modifizieren muss oder eine Softwarevision herstellen muss, die zur Entschlüsselung eines Smartphones führt.

Wenn aber ein Unternehmen Zugangsmöglichkeiten zu verschlüsselten Dateien hat, weil es diese bereits vorab selbst erstellt hat, kommt eine Herausgabe an die Ermittlungsbehörden in Betracht. Es ist daher letztlich für ein Unternehmen, welches sich im Bereich Verschlüsselung bewegt am besten, wenn es von vornherein keine Hintertüren, keine Generalsschlüssel, etc. gibt. In diesem Fall ist entsprechend faktisch ein Zugang unmöglich und das Unternehmen kann auch zu nichts gezwungen werden. Wer aber von vorneherein solche Hintertüren bzw. Generalschlüssel herstellt, der muss damit rechnen, auch zur Herausgabe gezwungen zu werden. Ein Zurückhalten wird dann sehr schwierig und wird regelmäßig dazu führen, dass ein Herausgabeverlangen besteht. Gleiches gilt auch für Informationen jeglicher Art, die z.B. Unternehmen für ihre Kunden speichern. Je mehr dieser Informationen verschlüsselt vorliegen, desto weniger kann das Unternehmen die Daten überhaupt herausgeben.

Ein richterlicher Beschluss wie in den USA wäre nicht möglich

Bei der geltenden Gesetzeslage in Deutschland wäre ein Beschluss, wie er von dem US-amerikanischem Gericht erlassen wurde gar nicht erst möglich. Es bleibt aber spannend, wie die Gerichte in den USA entscheiden werden. In Deutschland wäre es ähnlich wie in den USA auch möglich, z.B. nicht verschlüsselte Backups zu beschlagnahmen und zu analysieren. Letztlich wäre auch in Deutschland ein Zugriff auf ein iPhone möglich wenn dieses per Fingerabdruck entschlüsselt werden kann. Die Behörden dürfen bei Beschuldigten Fingerabdrücke anfertigen. Mit diesen wäre es dann wiederum möglich, auch das iPhone zu entsperren. Ist der Fingerabdrucksensor deaktiviert, kann somit keine Entschlüsselung stattfinden.

Über den Autor

Boris Burow

Boris ist Rechtsanwalt aus Karlsruhe und hat seine Begeisterung für IT, Medien und Internet zum Schwerpunkt seiner Arbeit gemacht.

Kommentieren