Anzeige
gegen Unbekannt
ggf.
wegen Vortäuschen einer Straftat im Rahmen des Urheberrechts, hier
Upload geschützter Werke, sowie Ausspähen von Daten und ggf.
weiteren Verstößen gegen IT-Recht.
Wie
nachfolgend erläutert, bleibt mir zunächst nur die Vermutung, dass
Unbekannte den Schutz meines Anschlusses überwunden und anschließend
die Leitung für ca. XXX
Minuten zur Datenübertragung genutzt haben.
Auslösender
Anlass: Beigefügt ist eine Abmahnung wegen angeblicher Verletzung
des Urheberrechts an einem Film der Firma XXXXXXXXXXXX.
Dazu
ist festzustellen, dass ich diese Verletzung nicht begangen habe und
m. E. auch nicht als Störer hafte. Des weiteren ist festzustellen,
dass weder XXXXXXXXXX
andere mir
bekannte Personen diese Urheberrechtsverletzung begangen haben.
Passwortschutz
und Anti-Virus-Schutz meines Anschlusses
Router-Hardware
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Die
Verwaltungsschnittstelle des Routers ist seit Inbetriebnahme mit
einem Passwort geschützt. Die Frage nach der Art des Passworts wurde
bereits in einem Anruf von mir bei XXXXXXXXXXXXXXXXXXXX
beantwortet:
das Routerkennwort ist selbstverständlich nicht das voreingestelle
Kennwort des Herstellers sondern ein von mir gewähltes.
Die
Remote-Verwaltungsschnittstelle der Router-Hardware ist von Anfang an
deaktiviert. Damit entfällt eine mögliche zweite Schwachstelle
meiner Anschlußsicherung.
WiFi-Funktion
Die
WiFi-Funktion des Routers ist mit einem langen Kennwort
gesichert.
Computer
Mein
Computer XXXXXXXX
ist mit
einem Kennwort gesichert. Die Remote-Verwaltung des Computers ist
seit Anschaffung deaktiviert. Ein anderer Remote-Zugang zum Computer
mittels Software wie etwa VNC hat ebenfalls seit Anschaffung des
Geräts nie bestanden.
Firewall
Der
XXXXXXXXXX-Firewall
ist seit Anschaffung des Geräts standardmäßig aktiviert und
blockiert eingehende Verbindungen. Freigabe von Kommunikation bedarf
der Bestätigung des Benutzers.
AntiVirus/Anti-Malware
Hier
kommt XXXXXXXXXXXXXXXXXXXX
zum Einsatz. Die automatische
Update-Funktion ist aktiviert. Bislang hat XXXXXXXXXXXXXX
keinen
einzigen Virus/Malware-Befall gemeldet.
Über
den üblichen Standard hinausgehende Sicherung des Anschlusses
Port-Scan
Vor
einiger Zeit habe ich auch den Router mittels eines extern
angesiedelten Port-Scans überprüft. Das verwendete Tool lief von
einer Seite der Firma XXXXXXX aus. Es fand keine offenen Ports.
XXXXXXX WiFi Guard
Als
XXXXXXXXXXXXX
Service läuft außerdem auf meinem Computer seit XXXXXXXXXX
das Programm XXXXX WiFi Guard. Dieses Programm
meldet automatisch jedes neue Gerät, welches auf das WLan zugreift.
Wireshark
In
unregelmäßigen Abständen nehme ich zusätzlich Traffic-Monitoring
mittels „Wireshark“ https://www.wireshark.org/
vor.
Dies
geschieht i.d.R. zur Diagnose von Problemen, etwa falls die
Internetverbindung holprig ist und ich den internen Verkehr sehen
möchte.
Außerdem
prüfe ich mit Wireshark je nach Laune und gefühltem Interesse den
Datenverkehr von neu installierten Programmen.
Überprüfung
meines Computers mit Blick auf die o.a. Abmahnung
Kein
Bittorrent-Client vorhanden
Auf
meinem Computer befindet sich kein Bittorrent-Client. Eine Nutzung
der Browser-basierten Bittorrent-Funktion kann nur mit meinem
Einverständnis erfolgen, was hier kategorisch auszuschließen ist.
Suche
nach einer „torrent“ Ressourcendatei
Auf
meinem Computer befindet sich keine „torrent“-Ressourcendatei,
die die Nutzung von Bittorrent für eine XXXXXXXXXXXXXX
erkennen lässt.
Suche
nach der vorgeblichen XXXXXXXXXXXXXXXXdatei
Auch
diese Suche fiel erwartungsgemäß negativ aus.
Hashwert-Suche
Die
Abmahnung enthält einen Hashwert. Ich
hielt es
für meine Sorgfaltspflicht, Nachforschungen anzustellen.
Hierzu
habe ich mit dem kostenlosen Programm XXXXXXXXXX
die Dateien der
Festplatte
untersucht. Die Untersuchung erfolgte in mehreren Phasen, da das
Programm nicht die gesamte große Festplatte in einer Sitzung
verkraftet.
XXXXXXXXX
erstellt MD5 und SHA1 Hashwerte für Dateien. Es wurde keine Datei
gefunden, deren Hashwert dem der Abmahnung entspricht.
Suche
nach modifizierten Dateien für den XXXXXXXXX
Ich
habe XXXXXXXXXX
eine Suche nach Dateien vorgenommen, die am XXXXXXXXX
modifiziert
wurden. Die Suche nach versteckten Dateien ist bei mir stets
aktiviert, da ich im Rahmen meiner Arbeit auch mit versteckten
Dateien zu tun habe.
Der
beigefügte Screenshot XXXXXXXXXXXX
am strittigen
Tag keine modifizierte Datei.
Der
angebliche Upload lag (gerundet) zwischen XXXXXXXXXXXX.
Das
Dateisystem zeigt also für den vorgeblichen Tatzeitpunkt nichts an.
Dies
stützt meine unten erläuterte Darstellung, dass ich zum angeblichen
Tatzeitpunkt nicht zuhause war.
Event und Security Logging
[Einloggen in den Computer nach dem
angeblichen Tatzeitpunkt. Erläuterung des Tagesablaufs etc.]
Weitere
Nachforschungen zum Thema Filesharing und Hacking
Ich
würde mir liebend gerne einen Bittorrent-Client installieren, um die
genauen Funktionen zu untersuchen. Leider muss ich darauf zunächst
verzichten.
Ich
verfolge ansonsten zwei Richtungen. Zum einen lese ich seit dem Tag
der unseligen Abmahnung alles mögliche zum Thema Filesharing, zum
zweiten habe ich XXXXXXXXXXXXXX
um Zusendung eines Gutachtens zur Ermittlungssoftware XXXXXXXXXX
gebeten.
Ob dies geschieht weiß ich nicht.
Aus
den wenigen öffentlichen Fragmenten zur Technik ist wenig zu
entnehmen, außer dass XXXXXXXXXXXXXXXX
die Bittorrent-Teilnahme wohl mit einem modifizierten passiven Client
stattfindet.
Ob
und ggf. welche Schutzmechanismen gegen falsche Daten bestehen,
bleibt also für mich ungeklärt. Siehe hierzu auch
https://www.sans.org/reading-room/whitepapers/legal/bittorrent-digital-contraband-36887.
[Update 2/21] Das SANS-Papier ist eine Goldgrube.
Man kann davon ausgehen, daß deutsche Copyright-Verfolger die dortigen Verfahren und Probleme kennen und entweder komplette Tools der dortigen Hersteller oder sehr ähnliche benutzen.
Das bedeutet:
1) Die Copyright-Verfolger speichern wahrscheinlich die Peer ID eines verfolgten Clients.
This twenty-byte peer ID is generated by a peer before it joins a torrent. It typically identifies the client software version and includes a random string (Pontes, 2009).
Auf deutsch: die 20 Byte lange Peer ID wird erzeugt bevor ein Client dem Netzwerk beitritt. Sie identifiziert typischerweise die Version der Client-Software und enthält zudem eine zufälliig generierte Zeichenfolge.
Abmahnungen geben dazu keine Auskunft, obwohl dies dem Beschuldigten die Nachforschung auf mehreren Heimsystemen oder Firmencomputern erleichtern könnte.
2) Da die direkten Clients des Verfolgers (das bessere Verfahren, sicher in DE benutzt) Daten vom verdächtigen Computer hochladen, wird die exakte Datenmenge entweder schon erfasst oder es wäre trivial, das zu tun.
Abmahnungen geben dazu keine Auskunft. Grund ist wahrscheinlich, daß man auf diese Weise den Gerichten keine Rechtfertigung für gleiche Abmahnkosten zu geben braucht. Beispiel: nehmen wir an, jemand hat einen ganzen Film hochgeladen und wird zu 1000 Euro verdonnert.
Wenn jetzt ein anderer sagen wir 2 Minuten im Bittorrent-Netzwerk war und mit einer schlechten Verbindung sagen wir 500 KB hochladen konnte, dann wird Letzterem ebenfalls eine Abmahnung über 1000 Euro geschickt.
Ausserdem finde ich es bedenklich, daß z.B. bei einer Geschwindigkeitsüberschreitung ein Meßwert angeben werden muß, im Abmahnwesen jedoch nicht.
3) Honeypots, als Lockvögel.
SANS sagt dazu: In fact, it is easy to make a torrent file seem very popular, giving the would-be downloader a false sense of security because “everyone is doing it.” If one controls the bit torrent tracker, it can be done by a simple change to the code or by manipulating the file that the tracker uses to maintain its list of peers (Berns & Jung, 2008).
Deutsch: Es ist sehr einfach, eine Torrent-Datei sehr populär aussehen zu lassen, was einem Möchtegern-Downloader in falscher Sicherheit wiegt, denn "es tun ja alle". Wenn man den Bittorrent-Tracker kontrolliert, kann man das mit einer einzigen simplen Programmcodeänderung erreichen, oder indem man die Datei manipuliert, die der Tracker zur Speicherung seiner Peer-Liste benutzt (Berns und Jung, 2008).
Man kann davon ausgehen, daß deutsche Copyright-Verfolger die dortigen Verfahren und Probleme kennen und entweder komplette Tools der dortigen Hersteller oder sehr ähnliche benutzen.
Das bedeutet:
1) Die Copyright-Verfolger speichern wahrscheinlich die Peer ID eines verfolgten Clients.
This twenty-byte peer ID is generated by a peer before it joins a torrent. It typically identifies the client software version and includes a random string (Pontes, 2009).
Auf deutsch: die 20 Byte lange Peer ID wird erzeugt bevor ein Client dem Netzwerk beitritt. Sie identifiziert typischerweise die Version der Client-Software und enthält zudem eine zufälliig generierte Zeichenfolge.
Abmahnungen geben dazu keine Auskunft, obwohl dies dem Beschuldigten die Nachforschung auf mehreren Heimsystemen oder Firmencomputern erleichtern könnte.
2) Da die direkten Clients des Verfolgers (das bessere Verfahren, sicher in DE benutzt) Daten vom verdächtigen Computer hochladen, wird die exakte Datenmenge entweder schon erfasst oder es wäre trivial, das zu tun.
Abmahnungen geben dazu keine Auskunft. Grund ist wahrscheinlich, daß man auf diese Weise den Gerichten keine Rechtfertigung für gleiche Abmahnkosten zu geben braucht. Beispiel: nehmen wir an, jemand hat einen ganzen Film hochgeladen und wird zu 1000 Euro verdonnert.
Wenn jetzt ein anderer sagen wir 2 Minuten im Bittorrent-Netzwerk war und mit einer schlechten Verbindung sagen wir 500 KB hochladen konnte, dann wird Letzterem ebenfalls eine Abmahnung über 1000 Euro geschickt.
Ausserdem finde ich es bedenklich, daß z.B. bei einer Geschwindigkeitsüberschreitung ein Meßwert angeben werden muß, im Abmahnwesen jedoch nicht.
3) Honeypots, als Lockvögel.
SANS sagt dazu: In fact, it is easy to make a torrent file seem very popular, giving the would-be downloader a false sense of security because “everyone is doing it.” If one controls the bit torrent tracker, it can be done by a simple change to the code or by manipulating the file that the tracker uses to maintain its list of peers (Berns & Jung, 2008).
Deutsch: Es ist sehr einfach, eine Torrent-Datei sehr populär aussehen zu lassen, was einem Möchtegern-Downloader in falscher Sicherheit wiegt, denn "es tun ja alle". Wenn man den Bittorrent-Tracker kontrolliert, kann man das mit einer einzigen simplen Programmcodeänderung erreichen, oder indem man die Datei manipuliert, die der Tracker zur Speicherung seiner Peer-Liste benutzt (Berns und Jung, 2008).
Ob das im Copyright-Bereich benutzt wird, ist natürlich nicht bekannt. Es wäre verwunderlich, wenn jede Verfolgerfirma auf dieses Mittel verzichten würde. Aus der spärlichen Berichterstattung über die Technik lässt sich nichts entnehmen.
Das ist leicht verdächtig, da andererseits immer darauf verwiesen wird, daß der Verfolger-Client keine Daten zum Download freigibt, sondern nur hochlädt.
Ob dieses Anstiftungsmittel benutzt wird, ist also offen.
Das ist leicht verdächtig, da andererseits immer darauf verwiesen wird, daß der Verfolger-Client keine Daten zum Download freigibt, sondern nur hochlädt.
Ob dieses Anstiftungsmittel benutzt wird, ist also offen.
Noch ein Rat: Sprechen Sie nicht von IP Spoofing oder Man in the Middle (MTM). Das riecht nach Verzweifelung.
[Update 2/22] Abmahner hassen Strafanzeigen wegen vermutetem Hacken eines Anschlusses.
Die Polizei ist nicht begeistert, wenn Sie mit einer solchen Anzeige auftauchen, weil die Erfolgsaussichten der Aufklärung so gering ist.
Und die Polizei ist nun mal auch unter Beobachtung der Politik und wird wegen mangelnder Aufklärung gerne von Konservativen kritisiert.
Eine Anzeige wird aber angenommen, und Ermittlungen werden eingeleitet.
Für Abmahnkanzleien ist das ein Ärgernis, denn sie werden kontaktiert ohne als Ziel der Anzeige zu gelten.
Ziel ist ja Unbekannt.
Aber Ermittlungen sind Ermittlungen, d.h die Kanzleien müssen der Polzei versichern, daß ihre Software korrekt funktionerte.
Wenn viele Nachfragen kommen, sieht das natürlich schlecht aus.
Schließlich stellt man eine Anzeige ja in dem klaren Bewußtsein, daß sie unbedingt auf der Wahrheit beruht.
Es mag den einen oder anderen geben, der eine unwahre Anzeige stellt, aber das sollte kaum vorkommen, weil es eine Straftat ist, die hart verfolgt wird.
Eine unwahre Anzeige wegen 500 (Vergleichsangebot der Kanzlei) wäre eine Dummheit besonderer Güte.
Das echte Problem für Kanzleien liegt darin, daß solche Anzeigen Zweifel an der technischen Genauigkeit wecken, aber noch mehr dain, daß die Fiktion "ein Internet-Anschluß ist ja wie ein Auto" langsam bröckelt.
Ein Internet-Anschluß ist eben nicht wie ein Auto.
Wird das Auto gestohlen, ist es erst mal weg. Kommt es zurück, finden sich zumindest meist irgendwelche Belege für den Diebstahl.
Einen Internet-Anschluß kann man unter Umständen Monate oder länger stehlen, ohne daß es auffällt.
Hier macht nun die Anzahl gemeldeter Hacks den Unterschied.
Werden kaum welche gemeldet, kann die Kanzlei vor Gericht auf die Unwahrscheinlichkeit eines Hacks verweisen.
Und das wirkt.
Die psychologische Hemmschwelle vor einer Anzeige ist ja hoch, und es ist angesichts der damit verbundenen Strafbewehrung klar, daß viele Internet-Nutzer es eben unterlassen.
Das Geschäftsmodell der Abmahner trägt dem Rechnung, und zwar so:
Eine modifizierte Unterlassungerklärung ohne Schuldnachweis wird fast immer stillschweigend von der Kanzlei akzeptiert.
Wer jedoch gegen die Fiktion der Unhackbarkeit aufbegehrt, der wird eher gerichtlich verfolgt.
Damit funktioniert das Geschäftsmodell weiter: die Gerichte sagen, hey, es wird ja kaum gehackt. Die Kanzlei sagt, hey, unsere Technik ist super.
Langer Rede kurzer Sinn: Klappe halten, Anwalt aufsuchen. Legen Sie sich nicht mit Studios und Kanzleien an, die Millionen investiert haben und Gerichte um den kleinen Finger wickeln können.
Die Polizei ist nicht begeistert, wenn Sie mit einer solchen Anzeige auftauchen, weil die Erfolgsaussichten der Aufklärung so gering ist.
Und die Polizei ist nun mal auch unter Beobachtung der Politik und wird wegen mangelnder Aufklärung gerne von Konservativen kritisiert.
Eine Anzeige wird aber angenommen, und Ermittlungen werden eingeleitet.
Für Abmahnkanzleien ist das ein Ärgernis, denn sie werden kontaktiert ohne als Ziel der Anzeige zu gelten.
Ziel ist ja Unbekannt.
Aber Ermittlungen sind Ermittlungen, d.h die Kanzleien müssen der Polzei versichern, daß ihre Software korrekt funktionerte.
Wenn viele Nachfragen kommen, sieht das natürlich schlecht aus.
Schließlich stellt man eine Anzeige ja in dem klaren Bewußtsein, daß sie unbedingt auf der Wahrheit beruht.
Es mag den einen oder anderen geben, der eine unwahre Anzeige stellt, aber das sollte kaum vorkommen, weil es eine Straftat ist, die hart verfolgt wird.
Eine unwahre Anzeige wegen 500 (Vergleichsangebot der Kanzlei) wäre eine Dummheit besonderer Güte.
Das echte Problem für Kanzleien liegt darin, daß solche Anzeigen Zweifel an der technischen Genauigkeit wecken, aber noch mehr dain, daß die Fiktion "ein Internet-Anschluß ist ja wie ein Auto" langsam bröckelt.
Ein Internet-Anschluß ist eben nicht wie ein Auto.
Wird das Auto gestohlen, ist es erst mal weg. Kommt es zurück, finden sich zumindest meist irgendwelche Belege für den Diebstahl.
Einen Internet-Anschluß kann man unter Umständen Monate oder länger stehlen, ohne daß es auffällt.
Hier macht nun die Anzahl gemeldeter Hacks den Unterschied.
Werden kaum welche gemeldet, kann die Kanzlei vor Gericht auf die Unwahrscheinlichkeit eines Hacks verweisen.
Und das wirkt.
Die psychologische Hemmschwelle vor einer Anzeige ist ja hoch, und es ist angesichts der damit verbundenen Strafbewehrung klar, daß viele Internet-Nutzer es eben unterlassen.
Das Geschäftsmodell der Abmahner trägt dem Rechnung, und zwar so:
Eine modifizierte Unterlassungerklärung ohne Schuldnachweis wird fast immer stillschweigend von der Kanzlei akzeptiert.
Wer jedoch gegen die Fiktion der Unhackbarkeit aufbegehrt, der wird eher gerichtlich verfolgt.
Damit funktioniert das Geschäftsmodell weiter: die Gerichte sagen, hey, es wird ja kaum gehackt. Die Kanzlei sagt, hey, unsere Technik ist super.
Langer Rede kurzer Sinn: Klappe halten, Anwalt aufsuchen. Legen Sie sich nicht mit Studios und Kanzleien an, die Millionen investiert haben und Gerichte um den kleinen Finger wickeln können.
No comments:
Post a Comment