[DrumminRebel]

Zitat:

Kinderpornografie: P2P-Ermittlung in den USA kritisiert



Wie wahrscheinlich ist es, dass die Beschreibung einer Datei in einem P2P-Netzwerk auch mit deren tatsächlichem Inhalt übereinstimmt? Eine Frage, die sich in den zahlreichen P2P-Netzen immer wieder stellt. Ein US-Gericht hat sich nun damit beschäftigt.

Der Fall ist heikel, geht es doch um weit mehr als lediglich eine MP3 oder ein Computerspiel. Von Kinderpornografie ist die Rede, im Prozess "United States v. Beatty". Letztere Person ist angeklagt, weil er kinderpornografisches Material über eine Tauschbörse bezogen und verbreitet hat. Genutzt hat er dafür den P2P-Client Phex. Ein Ermittler der Polizei war auf der Suche nach entsprechendem Material und stieß im Share-Ordner des Beklagten auf elf Dateien. Es befanden sich darunter einschlägige Bezeichnungen, Begriffe die "pedo" oder "lolita" enthielten.

Der Ermittler verglich die Hash-Summen der Dateien mit denen, die in der "Wyoming Internet Crimes Against Children (ICAC) Task Force" Datenbank waren. Bei einer Hash-Summe handelt es sich um einen kryptischen Wert, der einzigartig für eine Datei sein sollte. Sogenannte "Hash-Kollisionen", also derselbe Hash-Wert für zwei Dateien, sind möglich. Er erhielt elf Treffer für Übereinstimmungen. Der Dateiname sowie der identische Hash-Summen Abgleich bestätigte den Polizeibeamten, einen Pädophilen entdeckt zu haben. Eine Liste der Dateien sowie der abgeglichen Werte wurde an ein Gericht übermittelt. Gepaart mit einem Antrag, einen Durchsuchungsbeschluss zu bewilligen. Diesen erhielt man.

Kurze Zeit später wurde die Wohnung des Beklagten von oben bis unten durchsucht. Hunderte verdächtige Dateien wurden auf seinem PC sichergestellt, im Verhör machte er einige belastende Aussagen.

Einen letzten Ausweg sah die Verteidigung wohl darin, die Beweise für ungültig erklären zu lassen. Möglich wäre dies vielleicht gewesen, wenn der vorangegangene Durchsuchungsbeschluss als falsch deklariert worden wäre. Der Beklagte kritisierte also, dass die Regierung gar kein Recht dazu habe, seinen PC zu durchsuchen. Nach langer Diskussion kamen die Prozessparteien schließlich zu der Erkenntnis, dass die Regierung nicht illegal handele, wenn sie offen zugängliche P2P-Verzeichnisse von Verdächtigen durchsuche. Eine Durchsuchung des ganzen PCs lehnte der Richter jedoch ab, da dies ein Eindringen in die Privatsphäre darstelle.

Es galt nun die Frage zu klären, ob der Durchsuchungsbeschluss korrekterweise ergangen war. Der Ermittler hatte die Dateien nämlich nicht heruntergeladen und gesichtet, um deren Inhalt zu bestätigen. Auch dem Richter, der den Durchsuchungsbeschluss unterzeichnete, waren keine solchen Informationen vorgelegt worden. Lediglich Dateinamen und die Ergebnisse des Hash-Summen Abgleichs.

Der Beklagte versuchte nun, den kompletten Beschluss anzufechten. Schließlich habe der Richter die Dateien nicht selbst gesehen und der Ermittler ebenso wenig. Der vorsitzende Richter sowie die Prozessparteien einigten sich darauf, dass ein Dateiname oder eine Beschreibung nicht automatisch auf den tatsächlichen Inhalt schließen lasse. Wie jedem sicherlich klar ist, können Dateien in P2P-Netzwerken die verschiedensten Bezeichnungen haben, die oftmals sogar bewusst irreführend sind. Häufig wird dadurch versucht, den Empfängern Malware oder Vergleichbares unterzujubeln. Das Gericht formuliert dies treffend. Der "gesunde Menschenverstand sagt, dass der tatsächliche Dateiinhalt nicht definitiv allein vom Dateinamen bestimmt werden kann."

Dennoch habe der Dateiname oftmals einen vorherbestimmenden Wert. Schließlich würden bestimmte Bezeichnungen in Dateinamen nicht zufällig geraten sondern sie werden nach einem bestimmten Schema ausgewählt. Man wolle damit etwas zum Ausdruck bringen, damit auch andere Nutzer die entsprechenden Dateien wiedererkennen können. Die Forderung des Beklagten, den Durchsuchungsbeschluss zu widerrufen, wurde abgelehnt.

Unabhängig des Verfahrensausgangs wurde hier jedoch ein Durchsuchungsbeschluss bestätigt, der in seiner Art zumindest diskussionswürdig ist. Es mag zwar logisch erscheinen, dass man Dateien nach deren Inhalt benennt. Jedoch ist auch die bewusste Falschbenennung in Tauschbörsen keine Seltenheit. Schon zu Zeiten von Napster wurden alternative Buchstabierweisen genutzt, um Dateien zu "verschleiern". Der Dateiname kann somit eigentlich kein aussagekräftiges Mittel sein, um einen Durchsuchungsbeschluss zu rechtfertigen. Ein besseres Mittel mag der Hash-Summen Abgleich sein. Doch auch dieser ist alles andere als fehlerfrei. Zuletzt bleibt der vollständige Download mit anschließender Sichtung und eingehender Prüfung des Materials. Eine Methode, die jedoch nur selten bei "Filesharing-Ermittlungen" angewendet wird. Ob es nun in den USA ist, oder hierzulande.

Quelle: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]