Bundesgerichtshof, Beschluss vom 23.09.2014, Az. 1 BGs 210/14

1. Nach derzeitigen Stand der Ermittlungen besteht der Verdacht, dass unbekannte Angehörige eines fremden Geheimdienstes seit etwa August 2012 im Rahmen umfassender und zielgerichteter elektronischer Angriffe [X.] Behörden, Forschungseinrichtungen und Unternehmen ausspähen.

Wegen des Sachverhalts einschließlich der Vorgehensweise und den von der Tätergruppe verfolgten Zielstellungen sowie der den Verdacht begründenden Umstände wird auf die Ausführungen des Beschlusses des Ermittlungsrichters des [X.] vom 28. Mai 2014 - 1 [X.] - Bezug genommen.

2. Die Untersuchung der bisher sichergestellten Server hat keine Erkenntnisse über die Gruppierung "E.        B.  " und die Identität ihrer Mitglieder zu Tage gefördert. Bei der Auswertung der Server konnte keine Aktivität festgestellt werden, die in direktem Zusammenhang mit der Funktion als (nachgelagerte) [X.] steht. Es ist davon auszugehen, dass die unbekannten Täter die [X.] wie in der Vergangenheit häufig umziehen, um einer Enttarnung zu entgehen, und dass die Angriffe derzeit über andere, nicht bekannte [X.] erfolgen, wobei weiterhin die wahren IP-Adressen der Täter verschleiert werden.

3. Zum Zwecke der Identifizierung und Lokalisierung der [X.] "E.       B.  " sollen die von diesen genutzte IP-Adressen festgestellt werden. Um die IP-Adressen festzustellen, sollen auf einem vom [X.] mit der von der [X.] "E.      B.  “ genutzten Spähsoftware "[X.] RAT" (auch bekannt unter dem Namen "[X.]") infizierten Rechner Dateien gespeichert werden, die für die unbekannten Täter interessant erscheinen und deshalb von diesen voraussichtlich ausgeleitet, mithin herunter geladen, werden. Die Dokumente werden zuvor mit einem Lesebestätigungsdienst präpariert, der beim Abruf bzw. beim Öffnen des Dokuments automatisch die eigene IP-Adresse der [X.] an die Seite des "Ausgespähten" zurückübermittelt. Hierzu wird das Dokument mit einem funktionslosen, 1x1-Pixel kleinen, transparenten Bild versehen, das nicht direkt in dem [X.] integriert ist, sondern beim späteren Öffnen der Datei durch die allgemeine Office-Funktion "Bild einfügen" automatisch nachgeladen wird. Um das Nachladen zu ermöglichen, ist die Übermittlung der eigenen IP-Adresse der [X.] notwendig. Über die Erhebung der IP-Adresse und den Zeitpunkt des Zugriffs hinaus werden durch den Einsatz des [X.] keine weiteren Daten erhoben; insbesondere wird das von der Maßnahme betroffene lT-System nicht durchsucht.

Das Einbetten von unsichtbaren Bildern zum Zwecke der Feststellung, wann von welcher IP-Adresse auf Internetseiten zugegriffen wird oder eine E-Mail geöffnet wird, wird von vielen Providern, Herstellern von Betriebs- und Softwaresystemen standardmäßig angeboten und von vielen Webdienste-Anbietern und Webseitenbetreibern zu kommerziellen Zwecken, insbesondere für personalisierte Werbung, genutzt, ohne dass der Anwender davon erfährt (Beispiele: [X.], Google Analytics).

Die Maßnahme findet ihre Rechtsgrundlage in § 100g StPO; dessen Voraussetzungen liegen hier vor.

1. Bei der Erhebung der IP-Adresse im Wege des "[X.]" handelt es sich um die Erhebung von Verkehrsdaten im Sinne des § 100g StPO, die der richterlichen Anordnung bedarf.

Eine bloße Bestandsdatenauskunft nach § 100j StPO scheidet schon deshalb aus, da weder die IP-Adresse, über die Auskunft verlangt werden kann, noch der Telekommunikationsdiensteanbieter bekannt sind. Vorliegend geht es vielmehr um die einer Abfrage vorgelagerte Ermittlung der IP-Adresse.

Die Maßnahme kann auch nicht auf § 100h Abs. 1 Nr. 2 StPO gestützt werden. Zwar handelt es sich bei dem "[X.]" auch um die Verwendung eines für [X.] bestimmten technischen Mittels i.S.d. § 100h Abs. 1 Nr. 2 StPO (vgl. Bär, Handbuch zur EDV-Beweissicherung, 2007, Rn. 310; ders. [X.], StPO § 100g Rn. 32; [X.]/[X.], Handbuch für Wirtschafts- und Steuerstrafrecht, 4. Aufl. 2014, 27. Kapitel Rn. 138; [X.]/[X.] StPO § 100 Rdn. 2).

Es handelt sich aber auch um die Erhebung von Verkehrsdaten, die bei einem Telekommunikationsvorgang anfallen und die gemäß § 100g StPO nur unter den strengeren Voraussetzungen zulässig ist. Zwar ist eine Erhebung von Verkehrsdaten im Wege des "[X.]" nicht vom Schutzbereich des Art. 10 Abs. 1 GG umfasst, da hier die Ermittlungsbehörde selbst als [X.] auftritt und von daher keine Telekommunikation von außen überwacht wird (vgl. [X.], NJW 2008, 822, 835). § 100g StPO stellt aber auch ungeachtet dessen an die Erhebung von Verkehrsdaten erhöhte Anforderungen. Der Begriff der Verkehrsdaten ist in § 3 Nr. 30 [X.] legaldefiniert als Daten, die bei der Erbringung eines Telekommunikationsdienstes erhoben, verarbeitet oder genutzt werden. Welche Daten durch eine Dienstanbieter erhoben werden, bestimmt § 100g Abs. 1 Satz 1 StPO durch den Verweis auf den abschließenden Katalog in § 96 Abs. 1 [X.], der unter anderem auch die IP-Adresse erfasst.

Beim "[X.]" findet ein Telekommunikationsvorgang statt. Bei jedem Öffnen einer von der [X.] heruntergeladenen, manipulierten Datei wird ein Telekommunikationsvorgang zum Server des [X.]s ausgelöst, weil die manipulierte Datei (unbemerkt von der [X.]) ihre Inhalte ergänzen will und deshalb versucht, diese nachzuladen. Bei diesem Vorgang wird - soweit die Gruppierung keine statische IP-Adresse nutzt - eine dynamische IP-Adresse von deren Diensteanbieter vergeben. Die IP-Adresse wird ebenso wie Datum, Uhrzeit und Dauer der jeweiligen Verbindung sowohl beim Diensteanbieter erhoben als auch bei der mit dem Nachladen verbundenen Kontaktaufnahme auf dem Server des [X.]s protokolliert.

Auch wenn die Erhebung von Verkehrsdaten in der Regel allein beim dem Telekommunikationsdienstleister erfolgt und entsprechend die nachfolgende Abfrage durch die Ermittlungsbehörden den Regelfall darstellt, ist eine Erhebung auf anderem Weg durch den Wortlaut der Vorschrift mit umfasst. Dagegen spricht nicht, dass die Erhebung der Verkehrsdaten durch die Ermittlungsbehörden im Wege des "[X.]" keinen einem Eingriff in Art. 10 Abs. 1 GG darstellt. Mit der Erhebung ist jedenfalls ein Eingriff in das Recht auf informationelle Selbstbestimmung (Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG) verbunden, der seiner Intensität nach dem dem § 100g StPO zugrunde liegenden Regelfall entspricht: Die Erhebung beschränkt sich nicht darauf, eine von der [X.] genutzte dynamische oder statische IP-Adresse ohne konkreten Personenbezug in Erfahrung zu bringen. Im Falle der Nutzung einer statischen IP-Adresse ist die ermittelnde Behörde mit Kenntnis dieser Adresse selbst zur Herstellung des [X.] in der Lage, denn der Besitzer (und damit möglicherweise auch der Nutzer) einer statischen IP-Adresse kann schon über öffentlich zugängliche Informationsplattformen ermittelt werden, ohne dass es für eine spätere Abfrage der Erfüllung der Voraussetzungen des § 100j StPO bedürfte. Die Eingriffsintensität des "[X.]" bestimmt aber auch die Heimlichkeit der Maßnahme, die mit einer gezielten Täuschung der [X.] verbunden ist. Es handelt schließlich nicht nur um eine punktuelle Maßnahme, die etwa allein auf die einmalige Ermittlung einer genutzten IP-Adresse gerichtet ist, sondern um eine längerfristige Maßnahme mit dem Ziel, bisher unbekannte Personen zu identifizieren sowie darüber hinaus den geographischen Standort des bei jedem Öffnen einer Datei genutzten Internetzugangs zu ermitteln, was letztlich die Erstellung eines Bewegungsprofils der Täter ermöglicht.

2. Die Voraussetzungen des § 100g StPO liegen vor. Die [X.] ist einer Katalogtag im Sinne des § 100a Abs. 2 Nr. 1a StPO verdächtigt.

Die Erforschung des Sachverhalts wäre ohne die beantragte Maßnahme zumindest wesentlich erschwert. Die Untersuchung der bisher sichergestellten Server hat keine Erkenntnisse über die Gruppierung "E.       B.  " und die Identität ihrer Mitglieder zu Tage gefördert. Bei der Auswertung der Server konnte keine Aktivität festgestellt werden, die in direktem Zusammenhang mit der Funktion als (nachgelagerte) [X.] steht. Es ist davon auszugehen, dass die unbekannten Täter die [X.] wie in der Vergangenheit häufig umziehen, um einer Enttarnung zu entgehen, und dass die Angriffe derzeit über andere, nicht bekannte 02-Server erfolgen, wobei weiterhin die wahren IP-Adressen der Täter verschleiert werden.

Angesichts der der Schwere des [X.] und des [X.] ist die Anordnung auch verhältnismäßig. Die unbekannte Tätergruppe steht im Verdacht der Ausspähung einer Vielzahl von lT-Systemen von [X.]n Institutionen und Firmen in bisher unbekanntem Schadensumfang.