2008/03/17 Konstruktion und Dekonstruktion eines Terroristen?
Hans G. Zeger
"Terroristenprozess" als neuartige Mischung aus Gesinnungs- und Propagandaverfahren, Kommunikationsüberwachung und Internet-Sachbeweisen - von BVT und SEO ermittelte Daten halten nüchternen Beurteilung nicht Stand - Sicherheitsbehörden haben Chance vertan, Sinnhaftigkeit und Effizienz von Internetüberwachung zu belegen - wer in das Visier derartiger Ermittlungsmethoden kommt dürfte Unschuld nur schwer beweisen können - auf Eigentümlichkeiten des Medienraums Internet ist demokratische Gesellschaft nicht vorbereitet
(Kurzfassung des Textes http://ftp.freenet.at/int/prozess+ueberwachung.pdf)
Erstmals standen in Österreich terroristische Hilfsaktivitäten unter Anklage, die weder direkte Tatbeteiligung, Vorbereitungshandlungen, noch deren Finanzierung betrafen, sondern die ideologisch-propagandistische Weiterverbreitung von Ideen. Mit vier Jahren bzw. 22 Monaten vielen die - noch nicht rechtskräftigen - Urteile ziemlich deutlich aus.
Im Verfahren stand die Gesinnung des Angeklagten zur Beurteilung (so Richter Gerstberger am letzten Prozesstag). Damit wurden wesentliche Teile der Europäischen Menschenrechtskonvention, insbesondere Art. 8 (Privatsphäre) und Art. 10 (Meinungsfreiheit) umfassend relativiert, es ging um die Bewertung von Ideologien und oppositioneller Medienarbeit. Weiters wurden reine Internetdelikte verhandelt, bei denen abgesehen von den Angeklagten nicht erkennbar war, wer sonst noch beteiligt ist.
Ergebnisse der technischen Überwachung
Wenn Menge Inhalt als Beweismittel ersetzt, dann stehen uns problematische Zeiten bevor. Wenn ein Richter tausende Seiten elektronischer Überwachung als unverständlich kommentiert und meint, dieses Material sollen die Geschworenen eben "der freien Beweiswürdigung unterziehen", sollte der Gesetzgeber mehr als hellhörig werden. Wie soll etwas frei gewürdigt werden, wenn es sogar vom Berufsrichter nicht verstanden wird?
Die ermittelten Daten und technischen Informationen wurden daher in Folge gar nicht an sich bewertet, wie dies als Sachbeweis zu erwarten gewesen wäre, sondern dienten als Unterfutter dafür, dass sich die Polizeibeamten bei der Ermittlungsarbeit bemüht haben und dass deren Aussagen und Schlussfolgerungen daher glaubwürdig seien.
Resümee der Überwachungsergebnisse: Trotz gigantischem Aufwand, aufgeboten wurde das gesamte denkbare Lauscharsenal (akustische- und optische Überwachung, Telefon- und Internet-Überwachung, Computerüberwachung), zum Teil - folgt man dem Verfassungsexperten Funk - jenseits der Legalität, wurden bloß lückenhafte Datentrümmer zusammen getragen, die nur in der Masse, nicht aber im Inhalt beeindrucken und einer nüchternen Beurteilung nicht stand halten.
Geschaffen wurden Plausibilitätsketten, wie etwa folgende: Im Drohvideo werden Bilder verwendet, die auf einer regierungsamtlichen Seite vorhanden sind. Auf diese Seite wurde ein Monat vor der Videoveröffentlichung über einen malaysischen Proxyserver zugegriffen und der Angeklagte hatte auch irgendwann diesen Server benutzt. Also muss der Angeklagte, so der kurze Schluss, etwas mit dem Drohvideo zu tun haben.
Es wurde nicht einmal versucht die zeitlichen Abläufe genauer darzustellen und so zumindest die Faktenlage zu verbessern. Von wem und in welchem Ausmaß der malaysische Server tatsächlich genutzt wurde, wurde gar nicht versucht darzustellen. Wenn ein malaysischer Server von BVT-Mitarbeitern als Indiz für besondere Konspirativität vorgeführt wird, wird offenbar mit fehlenden Internetkenntnissen der Richter und Geschworenen spekuliert. Die transkontinentale Lokalisierung von Servern ist typisch für das Internet, ohne dass dadurch automatisch Illegalität abzuleiten wäre. So führt die Spur von www.gimf.org oder www.gimf.net direkt in die USA, von www.gimf.info nach Singapur, ohne dass damit sinnvolles über Inhalt und Betreiber gesagt werden kann.
Von den Ermittlungsbeamten wurden dutzende Alias- und Nicknames und Mailadressen präsentiert, wie sie üblicherweise in Foren und Chats verwendet werden. Auch eine Fülle von Dialogen und Beiträgen wurden aufgezeichnet. Hinter diesen Beiträgen stehen zahllose IP‑Adressen. Wenn die GIMF tatsächlich eine unternehmensartige Organisation wäre, dann müssten auf Grund dieser IP-Adressen auch Personen identifizierbar sein, die hinter diesen Adressen stehen und die Kontakt mit den Angeklagten hatten. Eine Ausforschung der Personen der zumindest in den USA und EU-Europa lokalisierten IP-Adressen wäre machbar, umso mehr, als das BVT ("Bundesamt für Verfassung und Terrorismusbekämpfung") intensiv mit US-Diensten und dem deutschen Geheimdienst zusammen arbeitete. Tatsächlich führen die BVT-Unterlagen, laut Verlesung der Unterlagen in der Hauptverhandlung aus, dass die Identitäten der Kommunikationspartner des Angeklagten nicht geklärt werden konnten.
Rolle und Funktion elektronischer Kommunikation nicht aufgearbeitet
An seine Grenzen kam das Verfahren auch, als es um die Beurteilung der Internetkommunikation ging. Die verschiedensten Kommunikationsformen wurden vermischt und unterschiedslos nebeneinander gestellt.
Persönliche bzw. private Kommunikation mittels eMail und Chat wurden Veröffentlichungen in Foren und auf Webseiten gleichgestellt, lokale Computernotizen wurde öffentlicher Propaganda gleichgesetzt. Selbst zwischen Uploads und Downloads wurde nicht ordentlich unterschieden, es macht jedoch einen wesentlichen Unterschied, ob jemand eine Information aus dem Internet konsumiert (download) oder verbreitet (upload).
Es entstand damit ein diffuser Daten- und Informationsnebel privater und veröffentlichter Vorstellungen, eigener und bloß wiedergegebener Positionen, der letztlich ausschlaggebend für die Verurteilung war.
Die grundsätzliche Frage, was denn der Unterschied sei, zwischen jemandem der im Hinterzimmer oder am Stammtisch mit Gleichgesinnten und in einer sehr beschränkten Öffentlichkeit über Politiker schimpft oder seinen Vorurteilen und Wut auch in drastischen Formulierungen Ausdruck verleiht und jemandem, der es mittels des technischen Instruments Computer gegenüber einer einzelnen Person oder einer beschränkten Gruppe im Rahmen eines Chats oder eines persönlichen eMails tut, wurde tunlichst vermieden.
Meinungsäußerung im Internet tendiert generell zu Radikalisierung und Einseitigkeit, zum einen weil sie sehr oft von Laien und nicht Berufsredakteuren erfolgt, zum Anderen weil die nicht ganz unlogische Vorstellung besteht, da ja jeder seine Meinung äußern könne, müsse man sich nicht um Ausgewogenheit im Einzelfall kümmern. Auch der Schutz der Anonymität begünstigt radikale und extremistische Positionen.
Dies unterscheidet das Internet mit seiner Vielzahl von interaktiven Websites, Blogs- und Communityplattformen, die auch Privatpersonen weltweite Medienpräsenz ermöglichen, fundamental von Fernseh- oder Radio-Berichterstattung, in der der Einzelne keine Möglichkeiten einer Meinungs- und Medienpräsenz hat. Eine ausgewogenere Berichterstattung soll somit den Gegenpol zur beschränkten Verbreitungsmöglichkeit darstellen.
Auch diese grundsätzlichen medienpolitischen und medienkritischen Fragestellungen wurden im Prozess tunlichst vermieden. Dies führte einerseits zu wiederholten hilflosen Versuchen des Angeklagten, seine in unterschiedlichen Formen getätigten Äußerungen zum Teil als private Meinungsäußerung, zum Teil als bloße Weitergabe von bestehenden, veröffentlichten Meinungen und zum Teil als propagandistisches Gegengewicht zu anderen Informationen darzustellen. Andererseits waren Berufs- und Laienrichter mit einem nicht aufbereiteten und unverdaulichen Datengebräu konfrontiert, dass geradezu zwangsläufig höchste Ablehnung und Skepsis hervorrufen musste.
Ist eine demokratische Gesellschaft auf einen Medienraum vorbereitet, in dem jeder jede nur denkbare einseitige Meinung propagieren kann? Die ernüchternde Antwort nach rund 15 Jahren öffentlich zugänglichem Internet lautet NEIN.
Große Chance vertan
Insgesamt wurde eine große Chance für die technische Kommunikations-Überwachung vertan. SEO ("Sondereinheit für Observation") und BVT hätten auf Grund der weitreichenden Überwachungsbefugnisse die Möglichkeit gehabt, durch objektiv nachvollziehbare Indizienketten zu beweisen, dass eine Internetüberwachung sinnvoll ist und Täter überführen kann.
Dazu wäre es aber notwendig gewesen einerseits alle technischen Zweifel an der Richtigkeit und Vollständigkeit der Aufzeichnungen zu beseitigen und andererseits die Sachbeweise so verständlich aufzubereiten, dass sie auch objektiv und ohne Kommentar der BVT-Beamten für Berufs- und Laienrichter aussagekräftig sind.
Statt ordentliche Indizienketten zu präsentieren wurde die Beurteilung der Überwachungsdaten den Laienrichtern zur "freien Beweiswürdigung" übertragen. Ohne den Laienrichtern nahe treten zu wollen, hatten diese kaum das technische Detailwissen, um tatsächlich die Aussagekraft der Aufzeichnungen beurteilen zu können. Und wenn sie es hätten, dann hätten sie jede Menge von Zusatzfragen zu stellen gehabt. Unter http://ftp.freenet.at/int/fragestellungen-prozess.pdf sind einige Fragen zusammengestellt, die sich ein technisch interessierter Prozessbeobachter unwillkürlich stellt. Damit wurde die Beweisführung auf die Glaubensfrage reduziert, ob den BVT-Beamten oder dem Angeklagten mehr geglaubt wird.
Tatsächlich entstand der Eindruck, dass tunlichst vermieden werden sollte in die Details der Kommunikationsüberwachung zu gehen, das Ergebnis hätte sowohl eine Belastung, als auch eine Entlastung des Angeklagten sein können. Die Vorgangsweise von Gericht und Sicherheitsbehörden ist umso ärgerlicher, als es natürlich technisch möglich gewesen wäre, zu qualitativ wesentlich besseren Sachbeweisen zu gelangen.
Gefahr der Beweislastumkehr
Für jeden, der ins Visier derartiger Überwachungsmaßnahmen und Datenaufzeichnungen kommt, dürfte es sehr schwer werden seine Unschuld zu beweisen. Was soll er tausenden Seiten von Aufzeichnungen entgegen halten, die, wie die BVT-Beamten behaupten, bestimmte plausible Erklärungen nahelegen, die für sich genommen - laut Richter - jedoch unverständlich sind und zu denen Anträge nach Alternativgutachten abgewiesen werden.
Den Erklärungsversuchen eines Beschuldigten, der in vielen Fällen gar nicht mehr alle Details Jahre zurückliegender Kommunikation und Computeraktivitäten präsent hat und dadurch auch widersprüchliche Erklärungen abgibt, kommt sowieso eine geringere Glaubwürdigkeit zu.
Macht diese Vorgangsweise Schule, wird man in Zukunft mit einer Häufung von Internetverfahren mit unscharfen Verdachtslagen und Gesinnungstaten rechnen müssen.
Das Überwachungsniveau der BVT
Tiefe Einblicke erlaubte der Prozess auch in die Überwachungsmethoden des BVT und deren Effizienz. Wenngleich die informierten Zeugen des BVT und der SEO Auskünfte über die Überwachungsmethoden unter Hinweis auf Ermittlungsschutz verweigerten, ließen sich doch für Experten ausreichend klare Hinweise auf die Methoden finden.
Positiv für die Ermittler war, dass der Angeklagte technisch nur sehr oberflächliche Informatikkenntnisse hatte und neben dem Standard-Betriebssystem "Microsoft Windows XP", auch den "Microsoft Internet Explorer" und "MSN Messenger" verwendete. Für diese Systeme existieren die meisten Überwachungswerkzeuge. Auch dass der Angeklagte "vergessen" hatte, die Verschlüsselung im Messengerdienst zu aktivieren, erleichterte die Überwachung, so ein BVT-Mitarbeiter. Insgesamt dürfte der Angeklagte seinen eigenen Computer nicht ausreichend unter Kontrolle gehabt haben.
Dass bei der forensischen Datensicherung bloß das Disk-Sicherungsprogramm Encase verwendet wurde, das sich etwa zur Integritätssicherung der beschlagnahmten Daten mit dem Hashverfahren MD5 zufrieden gibt, ein Verfahren das seit etwa zehn Jahren als nicht mehr sicher eingestuft wird, ließe Raum für Spekulationen und begründete Vorwürfe, dass Datenmaterial nachträglich manipuliert wurde. Selbstverständlich existieren modernere Integritätssicherungsverfahren, die als nicht manipulierbar gelten. Man hätte gerade bei derartig schweren Vorwürfen erwarten können, dass jeder, auch noch so geringe Manipulationsverdacht von vornherein ausgeschalten wird.
Weiters wurden keine Maßnahmen gesetzt, die zuverlässige zeitliche Zuordnungen der einzelnen überwachten Daten erlauben würden. Dazu wären jedoch technische Mittel, sogenannte Zeitstempeldienste, verfügbar, die eine eindeutige zeitliche Einordnung erlauben. Wenn diese Zeitstempeldienste von Dritten in Anspruch genommen werden, wäre jeder Manipulationsverdacht ausschaltbar gewesen.
Die Überwachung des Internetverkehrs erfolgte beim Provider Chello durch ein dem tcpdump vergleichbares Filterprogramm, das die Internet-Datenpakete von und zum Angeklagten kopierte. Die Verwendung einer Virtual Private Network - Software (VPN) wie sie als Freeeware in dutzenden Versionen verfügbar ist (der Angeklagte verwendete OpenVPN, http://openvpn.net/) und von SSL-/TLS-Serververbindungen reichten jedoch, um diese Aufzeichnungen für die Ermittlungsbeamten weitgehend wertlos zu machen.
Doch wie formulierte es ein BVT-Beamter in verblüffend naiver Logik: "OpenVPN und Proxyserver, welche Privatperson verwendet das schon, so jemand muss doch was zu verbergen haben!" ... und wer etwas verbirgt, muss ja auch ein Täter sein, ist man versucht zu ergänzen. Damit stehen etwa 5-10.000 Menschen in Österreich unter Generalverdacht, so groß dürfte mittlerweile die Community der notorischen VPN-Nutzer sein.
Die Überwachung der eMail-Kommunikation wurde schlicht dadurch unterlaufen dass ein eMail-Account gemeinsam genutzt wurde. Mails wurden nicht verschickt sondern auf einem Mailserver als Mail-Entwurf hinterlegt. Der Kommunikationspartner rief dann den Entwurf über ein Webmail-Interface über denselben Account ab, trug seine eigenen Nachrichten ein usw. usf. Eine simple Maßnahme, die auch die geplante Vorratsdatenspeicherung unterlaufen würde. Mails, die nie verschickt werden, werden nicht protokolliert, die Nutzung bzw. der Aufruf von Webseiten wird von der Vorratsdatenspeicherung nicht erfasst.
Um die Onlineüberwachung durchführen zu können, wurde in die Räume des Angeklagten eingebrochen und vor Ort ein Spyware-Programm am Computer des Angeklagten installiert. Das Programm entspricht, auch wenn das BVT keine Angaben dazu machen möchte, dem bekannten Orvell-Programm der ProtectCom GmbH. Das Programm erlangte vor einigen Jahren eine gewisse Berühmtheit, als sich herausstellte, dass mehrere Ministerien damit experimentierten.
Genutzt wurden die typischen Funktionalitäten wie Screenshots und Keylogging (Aufzeichnung der Tasteneingaben). Auch dieser Lauschangriff wäre mit Standardmitteln leicht zu umgehen.
Insgesamt ergibt sich folgendes Bild: Jemand, der etwas zu verbergen hat oder dem bloß seine Privatsphäre wichtig ist, müsste folgende Maßnahmen zur Abwehr eines Überwachungsangriffs setzen:
- Verschlüsselung seiner Festplatte (damit kann weder der Festplatteninhalt ausgespäht werden, noch ist es möglich ein Spyware-Programm ohne Zerstörung der Festplattendaten zu installieren)
- Hochfahren / Booten des Computers über eine CD (wer ganz sicher sein will, kann auch einen signierten und verschlüsselten USB-Stick verwenden)
- laufendes Entfernen temporärer Dateien, Beobachtung des Internettraffics
- laufende Kontrolle des Rechners mittels Anti-Spyware-Programme
- Nutzung von VPN-Software, SSL-/TLS-gesicherte Webserver, etwa für Forums- oder eMail-Nutzung und Verschlüsselung im Chat- oder eMail-Verkehr
Installationsaufwand für einen derartigen BVT-sicheren Computer: rund vier Stunden, Zusatzkosten: unter hundert Euro. Nach erfolgter Installation ist die Nutzung des Computers nicht wesentlich umständlicher als ein ungesicherter Computer.
Insbesondere die Verschlüsselung der Festplatte und das externe Booten sind ein Gebot der Stunde für jeden sorgsamen Computerbenutzer, bleibt doch damit auch im Fall eines Verlustes oder Diebstahls die Vertraulichkeit der Daten gewahrt.
Disclamer
Diese Ausführungen können keine Rechtfertigung oder gar Identifizierung mit den Handlungen und Absichten von Mohamed M. darstellen. Dies schlicht schon allein deswegen nicht, weil die Absichten nicht wirklich bekannt sind. Weder die Verantwortung des Angeklagten, noch die Behauptungen der Anklage, beide im jeweiligen Sinn gefärbt - was im Rahmen eines Strafverfahrens völlig legitim ist - konnten bei nüchterner Betrachtung ein lückenlos nachvollziehbares Bild der Ziele liefern.
Wenn die immer wieder wechselnde Verantwortung zu den Beweggründen für die Beteiligung an der GIMF-Propaganda stellenweise befremdlich und wenig glaubwürdig erscheint, muss auch zu Bedenken gegeben werden, dass es in einem Strafverfahren nicht so sehr auf die Glaubwürdigkeit des Angeklagten ankommt, sondern um die Glaubwürdigkeit der Anklage und deren Beweisführung geht. Hier blieben Lücken und Fragen offen.
|
