IP-Catching: Die Überwachungs-Maßnahme, die geheim bleiben soll

Internet-Zugangs-Anbieter überwachen, welche Kunden sich mit bestimmten IP-Adressen verbinden. Wir veröffentlichen Ermittlungs-Dokumente, die dieses „IP-Catching“ belegen. Juristen kritisieren, dass es keine Rechtsgrundlage dafür gibt. Das Bundeskriminalamt will die Maßnahme verschweigen.

Polizei fängt Fische. (Symbolbild) – Public Domain Umweltschutzministerium New York

Mal angenommen: Die Post überwacht alle Sendungen und sucht alle Briefe an netzpolitik.org. Sie guckt ohnehin sämtliche Umschläge ihrer Kunden an. Aber wenn ein Brief an uns geht, öffnet sie ihn und kopiert den Inhalt. Die Metadaten gibt sie der Polizei: Absender und Anschrift, Briefkasten oder Filiale, Datum und Uhrzeit.

Dieser Vergleich hinkt natürlich. Aber er beschreibt in etwa, was Internet-Zugangs-Anbieter für Ermittler tun. Die Methode nennt sich „IP-Catching“ und ist weitgehend unbekannt. Im September berichtete der Norddeutsche Rundfunk zuerst darüber. Wir haben interne Ermittlungsakten erhalten, die das IP-Catching ausführlich belegen. Wir veröffentlichen die Dokumente.

Bandenmäßige Kinderpornografie

Vor vier Jahren haben Ermittler die kinderpornografische Plattform „Boystown“ abgeschaltet. Die Zeit berichtete über Hintergründe. Das Landgericht Frankfurt am Main hat vier Hintermänner zu mehrjährigen Haftstrafen verurteilt, darunter einen Administrator mit dem Benutzernamen „Phantom“. Wir veröffentlichen das anonymisierte Urteil. Seit Januar ist es rechtskräftig.

Boystown wurde über Tor als Onion-Dienst betrieben. Tor ist ein Netzwerk aus Computern von Freiwilligen, das es ermöglicht, Überwachung und Zensur zu umgehen. Auch Facebook und die Deutsche Welle nutzen Tor und bieten ihre Webseiten als Onion-Dienst an. Die Betreiber von Boystown versuchten, mit der Nutzung von Tor eine Strafverfolgung zu erschweren.

Boystown ging im Juni 2019 online. Da ermitteln bereits Behörden in mehreren Ländern gegen den Administrator mit dem Benutzernamen „Phantom“. Wenige Monate später beginnt auch die Staatsanwaltschaft in Frankfurt zu ermitteln. Das Bundeskriminalamt schleust einen verdeckten Ermittler ein. So erfahren die Strafverfolger, dass „Phantom“ den Messenger Ricochet nutzt. Ricochet läuft über Tor und Onion-Dienste.

Verdeckte Ermittlungen

Am 14. Dezember 2020 erfährt das BKA durch verdeckte Ermittlungen, „dass der Nutzer ‚Phantom‘ aktuell einen deutschen Server der Firma Hetzner als Eintrittsknoten in das Tor-Netzwerk nutzt“. Der Eintritts-Knoten ist der erste Server einer Tor-Verbindung.

Noch am selben Tag beginnen die Ermittler, den Server zu überwachen. Das Amtsgericht Frankfurt verpflichtet den Hosting-Anbieter Hetzner, die Verkehrsdaten des Servers aufzuzeichnen. Die Polizei will erfahren, „mit welchen anderen IP-Adressen eine Kommunikation stattfindet“, also: wer sich noch mit diesem Tor-Server verbindet.

Nur drei Tage vorher übermittelt die niederländische Polizei drei IP-Adressen, die „Phantom“ „zugeordnet werden konnten“. Die Adressen gehören Telefónica Deutschland und sind nur drei Tage alt. Telefónica speichert für sieben Tage, wer welche IP-Adresse nutzt. Doch Telefónica kann die Adressen keinem Kunden zuordnen. Im Mobilfunk geben viele Anbieter mehreren Kunden die selbe IP-Adresse.

Verbindungen zu Zielsystem

Das BKA wendet sich erneut an Telefónica und telefoniert mit dem Konzern-Beauftragten für staatliche Überwachungsmaßnahmen. Sie diskutieren die Möglichkeit, „Verbindungen in Echtzeit zu einem bestimmten Zielsystem zu protokollieren“. Telefónica soll die Internet-Verbindungen aller Kunden überwachen und aufzeichnen, wer sich mit dem Tor-Server bei Hetzner verbindet.

Dazu muss Telefónica „systembedingt Inhaltsdaten der einzelnen Verbindungen [aufzeichnen]“, so das BKA. Laut Gesetz dürfen Inhaltsdaten aber in diesem Fall nicht erhoben werden. Sie sollen „nur kurzzeitig gespeichert und unmittelbar wieder gelöscht“ werden. Am Ende übermittelt Telefónica dem BKA „lediglich die Bestandsdaten des ermittelten Endkunden“. So soll „Phantom“ enttarnt werden.

Um diese Maßnahme einzurichten, will Telefónica einen „richterlichen Beschluss zur zukünftigen Aufzeichnung von Verkehrsdaten“. Am 16. Dezember schreibt das BKA einen Vermerk an die Staatsanwaltschaft. Die Polizei regt an, Telefónica „zur Erhebung sämtlicher Verkehrsdaten betreffend Verbindungen zu der IP-Adresse“ bei Hetzner zu verpflichten.

IP-Catching in Echtzeit

Die Staatsanwaltschaft schickt noch am selben Tag einen Antrag an das Amtsgericht. Telefónica soll drei Monate lang „die Daten der Kunden, die auf den benannten Server zugreifen, in Echtzeit [erheben]“.

Dazu muss Telefónica zwar „kurzfristig alle Daten (Verkehrs- und Inhaltsdaten)“ speichern, so die Staatsanwaltschaft. Aber die Inhaltsdaten werden „sofort wieder ungeprüft gelöscht“. Übrig bleiben „ausschließlich die Verkehrsdaten der relevanten Verbindungen“. Telefónica soll die Verkehrsdaten „intern abgleichen“ und dem BKA „lediglich die Bestandsdaten des Kunden“ mitteilen, den sie sucht.

Die Staatsanwaltschaft bezeichnet diese Maßnahme als „IP-Catching“. Sie verweist auf einen Gesetzeskommentar, der IP-Catching 2016 erstmals erwähnte. Die Staatsanwaltschaft zitiert den entsprechenden Abschnitt fast vollständig. Wir veröffentlichen den Original-Kommentar.

Verkehrsdaten-Erhebung

Demnach ist IP-Catching eine Form der Erhebung von Verkehrsdaten. IP-Catching erlaubt „eine Echtzeiterhebung künftig anfallender Verkehrsdaten in Form von IP-Adressen“. Das Ziel ist, „eine bisher nicht näher bestimmte Person aus dem Kreis der Nutzer eines bestimmten Dienstes […] erst zu selektieren“.

Als Beispiel-Dienste nennt der Kommentar „Zugriff auf bestimmte Webseiten, Nutzung eines Anonymisierungsdienstes, Teilnahme an Foren, Zugriff auf Kontaktformulare“. Die Anbieter solcher Dienste sollen „beim Aufruf dieses von der gesuchten Person jeweils genutzten Dienstes die verwendeten IP-Adressen der Nutzer [erheben]“.

Der Kommentar vergleicht IP-Catching mit „dem Einsatz eines IMSI-Catchers oder einer Funkzellenabfrage“. Bei all diesen Maßnahmen kann „eine Vielzahl von auch unbeteiligten Personen betroffen sein“. Diese „unvermeidbare Drittbetroffenheit“ macht die Maßnahme aber nicht unzulässig. Sie muss nur verhältnismäßig bleiben.

Daten aller Telefónica-Kunden

Das Amtsgericht Frankfurt gibt dem Antrag der Staatsanwaltschaft statt. Am 17. Dezember erlässt das Gericht einen Beschluss. Es verpflichtet Telefónica zur „Erhebung sämtlicher Verkehrsdaten (in Echtzeit) betreffend Verbindungen zu der IP-Adresse“ beim Hetzner-Server und zur „Zuordnung der erhobenen Verkehrsdaten zum Endkunden“.

Die Überwachungs-Maßnahme wird auf drei Monate befristet. Das Gericht erkennt an, „dass die Maßnahme die Erhebung von Daten aller Telefónica-Kunden mit Zugriff auf den Server erforderlich macht“. Zu diesem Zeitpunkt hat Telefónica Deutschland 44 Millionen Mobilfunkanschlüsse. Jeder, der sich mit dem Tor-Server bei Hetzner verbindet, wird aufgezeichnet.

Das Gericht erwähnt, dass „dabei auch Datensätze (Verkehrs- und Inhaltsdaten) erhoben werden“. Die werden aber „nach der Erhebung oder dem Abgleich unmittelbar wieder ausgeschieden“. Laut Gericht ist die Maßnahme damit nur eine Verkehrsdaten-Erhebung. Das Gericht erwähnt den Begriff „IP-Catching“ nicht. Aber es verweist auf den entsprechenden Gesetzeskommentar.

Das „Phantom“ enttarnt

Die Maßnahme hat Erfolg. Vier Tage später schreibt das BKA einen weiteren Vermerk mit den Ergebnissen. Durch die Überwachung des Tor-Servers bei Hetzner erfährt das BKA drei IP-Adressen und Port-Nummern von „Phantom“.

Telefónica gleicht diese Daten mit den selbst erhobenen Verkehrsdaten ab. Nur ein Anschluss hat die IP-Adressen und Port-Nummern verwendet und sich mit dem Hetzner-Server verbunden. Telefónica nennt dem BKA die entsprechende Rufnummer. „Folglich wird die Ricochet-Kennung von Phantom aktuell über den hier festgestellten Mobilfunkanschluss genutzt.“

Von da an folgt klassische Ermittlungsarbeit. Das BKA erfährt die Bestandsdaten der Anschluss-Inhaberin. Die Ermittler überwachen die Telekommunikation. Das BKA identifiziert Andreas G. als „Phantom“. Er nutzte den Internet-Anschluss seiner Mutter. Im April nehmen Polizisten ihn fest. Das Gericht verurteilt ihn zu zehneinhalb Jahren Haft mit anschließender Sicherungsverwahrung.

In diesem Fall hat das IP-Catching zum Erfolg beigetragen. Ob die Ermittlungen auch ohne diese Maßnahme erfolgreich gewesen wären, wissen wir nicht.

Gesetzlich nicht definiert

Trotzdem gibt es Kritik am IP-Catching. Es ist grundrechtlich sensibel und rechtlich problematisch sowie öffentlich unbekannt und wurde bisher geheimgehalten.

In einem Rechtsstaat gilt Gewaltenteilung. Gesetze werden von Parlamenten beschlossen – der Legislative. Weder Bundestag noch Bundesrat kennen das IP-Catching. Die Generalstaatsanwaltschaft Frankfurt am Main, die die Maßnahme im Phantom-Fall beantragt hat, sagt: „Die Ermittlungsmaßnahme ‚IP-Catching‘ ist gesetzlich nicht definiert“.

Die erste Erwähnung von IP-Catching, die wir finden konnten, ist der Beck’sche Gesetzes-Kommentar von 2016. Bis heute wird dieser Kommentar als juristische Grundlage genutzt. Der Jura-Professor Wolfgang Bär hat ihn verfasst. Bis 2015 war er Referatsleiter zur Bekämpfung von Internetkriminalität im Bayerischen Justizministerium – der Exekutive. Seit Juli 2015 ist er Richter am Bundesgerichtshof – der Judikative.

Wir haben Wolfgang Bär gefragt, wie das IP-Catching entstanden ist. Hat er die Maßnahme im Justizministerium entworfen? Oder haben Ermittler das IP-Catching damals bereits verwendet und er hat beispielsweise als Richter davon erfahren? Bär beantwortet diese Fragen nicht. Er teilt uns mit: „Zu den von Ihnen aufgeworfenen Fragen kann ich leider keine Angaben machen.“

Viele unverdächtige Personen

Andere Juristen widersprechen der Rechtsauffassung von Bär. Der Jura-Professor Christian Rückert hat einen Abschnitt zum IP-Catching im Münchener Gesetzes-Kommentar veröffentlicht. Rückert äußert „ernstliche Zweifel“, ob das IP-Catching „auf die bestehenden Rechtsgrundlagen […] gestützt werden kann“.

Die „große Streubreite der Maßnahme“ ist „materiell-rechtlich problematisch“. Beim IP-Catching werden „alle IP-Adressen der Nutzer/innen erhoben, die mit einem bestimmten Server kommunizieren bzw. eine bestimmte Internetdienstleistung in Anspruch nehmen“. Damit werden auch „Verkehrs- oder Nutzungsdaten einer Vielzahl von nichtverdächtigen Personen miterhoben“.

Eine Verkehrsdaten-Erhebung darf sich jedoch „nur gegen den Beschuldigten, Nachrichtenmittler und solche Personen richten, von denen anzunehmen ist, dass der Beschuldigte ihr IT-System benutzt“. Rückert kritisiert: „Keinesfalls darf das IP-Catching als ‚IP-Rasterfahndung‘ eingesetzt werden, um erst einen Kreis von Verdächtigen zu gewinnen.“

Gesetzgeber muss entscheiden

Rückert verweist im Münchener Kommentar auch auf das juristische Prinzip der Wesentlichkeitslehre. Laut Bundesverfassungsgericht hat der Bundestag die Pflicht „in grundlegenden Bereichen, insbesondere im Bereich der Grundrechtsausübung, alle wesentlichen Entscheidungen selbst zu treffen, also diese nicht den anderen Staatsgewalten zu überlassen“.

Das IP-Catching hat eine „sehr große Streubreite“ und damit eine „große Eingriffsintensität“. Deshalb braucht es „hinreichende Eingriffsschwellen und Schutzmechanismen“. Juristen vergleichen IP-Catching unter anderem mit der Funkzellenabfrage. Doch die ist im Gesetz geregelt. Der Gesetzgeber muss daher auch „über die Zulässigkeit des IP-Catchings gesondert entscheiden“.

Rückert hat „ernstliche Zweifel“, ob das IP-Catching „überhaupt auf die bestehenden Rechtsgrundlagen […] gestützt werden kann“. Für Jura-Professoren in Gesetzes-Kommentaren sind solche Worte äußerst kritisch.

Rechtsgrundlage reicht nicht

Die Neue Richter*innenvereinigung wird auf Anfrage noch deutlicher. Sven Kersten ist Sprecher des Bundesvorstandes dieser Berufsvereinigung von Richter:innen und Staatsanwält:innen und selbst Richter am Landgericht Berlin.

Kersten sagt: „Die aktuelle Gesetzeslage genügt für den Einsatz der Maßnahme nicht. Es existieren lediglich Regelungen, die vergleichbare Maßnahmen, aber nicht das IP-Catching erfassen.“ Ohne ein spezifisches Gesetz darf das IP-Catching nicht eingesetzt werden. „Aufgrund des erheblichen Eingriffs in Grundrechte bedarf es für den Einsatz des IP-Catchings zwingend einer gesetzlichen Grundlage.“

Kersten kritisiert auch die Geheimhaltung und Intransparenz. „Die Öffentlichkeit sollte davon wissen und darüber diskutieren, um ein Bewusstsein für die Problematik des Einsatzes zu entwickeln und um eine Lösung einfordern zu können.“

Bestehendes Recht überdehnt

Die Gesellschaft für Freiheitsrechte sieht das auch so. Laut Rechtsanwalt Benjamin Lück reicht der aktuelle Paragraf zur Erhebung von Verkehrsdaten „nicht als Rechtsgrundlage“ für das IP-Catching.

Im Phantom-Fall hat Telefónica nicht nur Verkehrsdaten erhoben, sondern auch Kommunikations-Inhalte. Wenn Ermittler eine „Zieladresse in Echtzeit überwachen lassen“, fallen nicht nur reine Verkehrsdaten an. Das ist vielmehr „eine Überwachung der grundrechtlich besonders geschützten Inhalte der Kommunikation“. Das unterscheidet das IP-Catching auch von einer Funkzellenabfrage.

Lück fordert den Gesetzgeber auf, „weit reichende Grundrechtseingriffe selbst zu regeln“. Die Ermittler sollten selbst auf eine gesetzliche Regelung hinwirken, „statt durch kreative Auslegung das bestehende Recht zu überdehnen“. Lück sieht ein Gesetzgebungsverfahren auch als Chance, „diese Ermittlungsmaßnahme in der Öffentlichkeit kritisch zu diskutieren“.

Öffentlich weitgehend unbekannt

Eine öffentliche Debatte scheint dringend notwendig. Im Rahmen dieser Recherche haben wir mit einer ganzen Reihe an Experten gesprochen: Anwälte und Richter, Abgeordnete und Lobbyisten, Kommunikationsanbieter und Techniker. Die allermeisten hatten noch nie von „IP-Catching“ gehört. Die Überwachungs-Maßnahme ist weitgehend unbekannt.

Die Bundesnetzagentur ist dafür verantwortlich, dass Kommunikations-Anbieter normale Überwachungsmaßnahmen durchführen können. Als Beispiele für „Regelfälle“ nennt sie uns „eine Überwachung oder eine Beauskunftung von Verkehrsdaten bestimmter Anschlüsse“. Von „konkreten Maßnahmen“ zum IP-Catching hat die Bundesnetzagentur „keine Kenntnis“.

Das Unternehmen DIaLOGIKa entwickelt Software für Überwachungsmaßnahmen, sowohl für Kommunikations-Anbieter als auch für Sicherheitsbehörden. Diese Produkte unterstützen IP-Catching nicht. Vor unserer Anfrage kannte DIaLOGIKa die Maßnahme nicht. Geschäftsführer Julian Backes bezweifelt, ob IP-Catching eine reine Verkehrsdaten-Maßnahme ist. Möglicherweise ist es vielmehr „eine Form der Telekommunikationsüberwachung“.

Keine Antwort, kein Kommentar

Transparenz fehlt auch in einem weiteren Bereich: Wie oft das IP-Catching eingesetzt wird. Wir haben die drei großen deutschen Mobilfunknetz-Betreiber gefragt, wie oft sie die Maßnahme in den letzten fünf Jahren durchgeführt haben. Die Deutsche Telekom hat seitdem „keine IP-Catching Maßnahmen durchgeführt“. Ob der ehemalige Staatskonzern gerichtliche Anordnungen zum IP-Catching erhielt, hat ein Sprecher nicht beantwortet. Vodafone sagt nur: „Kein Kommentar.“

Telefónica Deutschland will unsere konkrete Frage nicht beantworten. Der Konzern mit der Kernmarke O2 bestätigt nur allgemein, dass er mit Strafverfolgungsbehörden kooperiert. „Für den geschilderten Vorgang des so genannten IP-Catchings (Verkehrsdatenbeauskunftung) ist ein richterlicher Beschluss notwendig, um die für die Ermittlungsbehörden relevanten Verkehrsdaten weiter geben zu können. Zur Umsetzung dieses richterlichen Beschlusses sind wir verpflichtet.“ Telefónica will sich „darüber hinaus nicht weiter zu diesem Thema äußern“.

Die Generalstaatsanwaltschaft Frankfurt hat IP-Catching im Phantom-Fall beantragt. Wie oft sie das noch getan hat, kann sie nicht sagen. Es gibt „keine gesetzliche Vorgabe“ zur statistischen Erfassung. Oberstaatsanwalt Benjamin Krause hat „die derzeit im Dienst befindlichen Staatsanwält:innen“ gefragt, ob sie sich an einen solchen Fall erinnern können. „Dies war nicht der Fall.“

Sicherheit Deutschlands gefährdet

Von einer Presseanfrage an Polizei und Geheimdienste haben wir keine sinnvollen Antworten erwartet. Also haben wir die Bundestagsabgeordnete Clara Bünger gebeten, eine parlamentarische Frage an die Bundesregierung zu stellen. Die Antwort ist jedoch wenig informativ.

Der Generalbundesanwalt erfasst diese Informationen nicht statistisch. Zwar könnte man alle Ermittlungsverfahren händisch auswerten. Das würde aber die „Ermittlungsarbeit zum Erliegen bringen“. Deshalb ist „eine Beantwortung mit zumutbarem Aufwand nicht möglich“.

Die Bundespolizei „hat in den letzten fünf Jahren keine IP-Catching-Maßnahme durchgeführt“. Nach Informationen von netzpolitik.org gilt das auch für den Zoll. Offiziell ist die Antwort aber als Verschlusssache „nur für den Dienstgebrauch“ eingestuft. Ein Bekanntwerden könnte „die Funktionsfähigkeit der Zollverwaltung beeinträchtigen“ und „mithin die Sicherheit der Bundesrepublik Deutschland gefährden“.

Regierung verweigert Auskunft

Bundesnachrichtendienst, Verfassungsschutz und Militärischer Abschirmdienst haben ihre Antwort ebenfalls eingestuft. Wenn bekannt wird, wie oft die Geheimdienste IP-Catching nutzen, hätte das „erhebliche Nachteile“ für ihre „Auftragserfüllung“. Deshalb sind die Antworten Verschlusssache „Geheim“.

Das Bundeskriminalamt hat das IP-Catching im Phantom-Fall eingesetzt. „Weitergehende Auskünfte“ verweigert das BKA dem Bundestag vollständig. Im Gegensatz zum Zoll und den Geheimdiensten verweigert die Polizeibehörde sogar eine eingestufte Antwort. Demnach kann „auch ein geringfügiges Risiko des Bekanntwerdens unter keinen Umständen hingenommen werden“.

Clara Bünger, Innenexpertin der Linksfraktion im Bundestag, kritisiert diese Geheimhaltung. „Es ist bedenklich, dass die Bundesregierung Auskunft über ein Vorgehen verweigert, dessen rechtliche Grundlage fraglich ist und dessen potenzieller Eingriff in Grundrechte noch nicht einmal abschätzbar erscheint.“

Hier die Dokumente in Volltext (sensible personenbezogene Daten haben wir geschwärzt):

1. 2016-02-01: Beck’scher Online-Kommentar – IP-Catching
2. 2020-12-16: Bundeskriminalamt – Vermerk
3. 2020-12-16: Generalstaatsanwaltschaft – Verfügung
4. 2020-12-17: Amtsgericht – Beschluss
5. 2020-12-21: Bundeskriminalamt – Vermerk
6. 2023: Münchener Kommentar – IP-Catching
7. 2025-04-16: Bundesregierung – Antwort

• Datum: 1. Februar 2016
• Kommentar: Beck’scher Online-Kommentar
• Edition: 24
• Gesetz: Strafprozeßordnung
• Buch: Allgemeine Vorschriften
• Abschnitt: Ermittlungsmaßnahmen
• Paragraf: § 100g Erhebung von Verkehrsdaten
• Randnummer: 23
• Von: Prof. Dr. Wolfgang Bär

IP-Catching

Während es beim IP-Tracking nur darum geht, eine bekannte Person an Hand der von ihr verwendeten IP-Adresse zu identifizieren, ist es beim sog. IP-Catching Ziel des Eingriffs, eine bisher nicht näher bestimmte Person aus dem Kreis der Nutzer eines bestimmten Dienstes (z.B. Zugriff auf bestimmte Webseite, Nutzung eines Anonymisierungsdienstes, Teilnahme an Foren, Zugriff auf Kontaktformulare) erst zu selektieren. Dies kann dadurch erfolgen, dass i.R.d. Maßnahme über den betreffenden Diensteanbieter alle beim Aufruf dieses jeweiligen, von der gesuchten Person genutzten Dienstes die verwendeten IP-Adressen erhoben werden. Der Eingriff entspricht damit quasi einer Funkzellenabfrage, die sich aber statt auf Mobilfunkdaten hier auf die verwendeten IP-Adressen bezieht. Es erfolgt damit eine Echtzeiterhebung künftig anfallender Verkehrsdaten in Form von IP-Adressen. Dies kann auf der Grundlage des § 100g Abs. 1 S. 1 und S. 3 vorgenommen werden. Der Eingriff führt dabei – ebenso wie bei einer Funkzellenabfrage – aber dazu, dass eine Vielzahl von auch unbeteiligten Personen betroffen sein kann. Dadurch ergibt sich ein wesentlicher Unterschied zum IP-Tracking mit einer konkreten Zielperson. Die Erhebung der IP-Adressen erfolgt auch hier mit dem Ziel, über diese gewonnenen Informationen später i.R.d. sog. Personenauskunft eine Zuordnung zu einer Person auf der Grundlage des § 100j Abs. 2 i.V.m. Abs. 1 S. 1 vornehmen zu können.

• Datum: 16.12.2020
• Ort: Wiesbaden
• Von: Bundeskriminalamt, SO44
• Sachbearbeiter: Krüger, KHK
• An: Generalstaatsanwaltschaft Frankfurt am Main, ZIT
• Aktenzeichen: 60 UJs 50480/19 ZIT
• Betreff: Ermittlungsverfahren […] gegen den Nutzer des Nicknamen „Phantom“ wegen Verdachts der bandenmäßigen Verbreitung kinderpornografischer Schriften sowie des schweren sexuellen Missbrauchs von Kindern, gem. §§176a, 184b StGB
• Hier: Anregung zur Erhebung von Verkehrsdaten gem. § 100g StPO

Vermerk

1. Im Rahmen des internationalen polizeilichen Dienstverkehrs wurden am 11.12.2020 seitens der niederländischen Behörden die folgenden IP-Adressen mitgeteilt, die dem hier verfahrensgegenständlichen Nutzer des Nicknamen „Phantom“ zugeordnet werden konnten:

• 89.204.153.2██ port 519██; 8 Dezember 2020; 18:52 bis 20:24 UTC+1
• 89.204.154.██ port 339██; 8 Dezember 2020; 21:05 bis 22:00 UTC+1
• 89.204.153.██ port 330██; 9 Dezember 2020; 09:58 bis 10:54 UTC+1

Die IP-Adressen können dem Provider Telefónica Germany GmbH & Co. OHG zugeordnet werden. Mit Schreiben vom 11.12.2020 wurde seitens der Telefónica mitgeteilt, dass zu den genannten IP-Adressen keine Bestandsdaten beauskunftet werden können.

Grundsätzlich sind diese IP-Adressen dem Mobilfunknetz der Telefónica zuzuordnen. Es besteht somit die Annahme, dass „Phantom“ aktuell eine mobile Datenverbindung nutzt um Aktivitäten im Tor-Netzwerk zu entfalten.

2. Mit Beschluss des AG Frankfurt vom 14.12.2020 wurde die Erhebung und Herausgabe von zukünftig anfallenden Verkehrsdaten bzgl. der IP-Adresse 136.243.39.185 (Verpflichteter: Hetzner Online GmbH) angeordnet. Ziel dieser Maßnahme ist festzustellen, mit welchen anderen IP-Adressen eine Kommunikation stattfindet, die auf das Betreiben der von dem Nutzer des Nicknamen „Phantom“ genutzten Ricochet-Kennung „zk7egmb6dlqqmd██“ hinweisen.

Entsprechend der Ausführungen unter Nr. 1 ist zu erwarten, dass im Ergebnis weitere IP-Adressen des Providers Telefónica Germany GmbH & Co. OHG festgestellt werden.

3. Nach Rücksprache mit der Telefónica, Herrn M█████ K█████ (Coordinator Lawful Interception), würde dort die Möglichkeit bestehen Verbindungen in Echtzeit zu einem bestimmten Zielsystem zu protokollieren und ggf. einem konkreten Endkunden zuordnen zu können. Dies bedürfe eines entsprechenden richterlichen Beschlusses zur zukünftigen Aufzeichnung von Verkehrsdaten.

Durch Herrn K█████ wurde weiter mitgeteilt, dass zur Aufzeichnung der Verkehrsdaten bei der Telefónica systembedingt Inhaltsdaten der einzelnen Verbindungen aufgezeichnet würden. Diese würden an sich für den Analyseprozess der Verkehrsdaten nicht benötigt und entsprechend im Rahmen des technischen Verfahrens nur kurzzeitig gespeichert und unmittelbar wieder gelöscht.

Im Ergebnis der Auswertung würden dem Bundeskriminalamt lediglich die Bestandsdaten des ermittelten Endkunden übermittelt. Die bei der Telefónica im Rahmen des Prozesses aufgezeichneten Daten werden nicht übermittelt und lediglich im Rahmen der technischen Analyse verarbeitet.

Anregung

Aus den vorgenannten Gründen wird angeregt, beim zuständigen Amtsgericht einen Beschluss gemäß § 100g Abs. 1 StPO zur Verpflichtung des Unternehmens

Telefónica Germany GmbH & Co. OHG, Georg-Bräuchle-Ring 50, 80992 München

zur Erhebung sämtlicher Verkehrsdaten betreffend Verbindungen zu der

IP-Adresse 136.243.39.185

zu beantragen.

Dabei sollen die Verkehrsdaten in Echtzeit aufgezeichnet und eine Zuordnung der erhobenen Verkehrsdaten zum Endkunden hergestellt werden, wobei die kurzzeitige Speicherung von Inhaltsdaten für diesen Zweck notwendig wäre. Im Ergebnis sollen dem Bundeskriminalamt entsprechende Bestandsdaten des Kunden, der zu definierten Zeitpunkten Verbindungen zu der genannten IP-Adresse herstellte, übermittelt werden.

Die Tat wiegt auch im vorliegenden Fall schwer, weil auf der o. g. Plattform, auch durch „Phantom“ selbst, fortgesetzt kinderpornografische Schriften hochgeladen bzw. durch Verlinkung verbreitet werden.

Die Maßnahme ist unentbehrlich, weil die Erforschung des Sachverhaltes und die Ermittlung des Aufenthaltsortes des „Phantom“ auf andere Weise wesentlich erschwert oder aussichtslos wäre.

• Datum: 16.12.2020
• Ort: Frankfurt am Main
• Von: Generalstaatsanwaltschaft Frankfurt am Main
• Staatsanwältin: Dr. Julia Bussweiler
• Aktenzeichen: 60 UJs 50480/19 ZIT

Verfügung

1. Nach Aktenrückkehr:

1. Beschluss (1 x mit Gründe, 1 x abgek. Gründe) an so44@bka.bund.de mailen.
2. eDuplo ergänzen
3. Original-Beschluss (abgekürzte Gründe) an Telefónica per Post senden
4. Wv sodann (Statistik)

2. Vermerk:

Durch Mitteilung der niederländischen Behörden wurde bekannt, dass „Phantom“ eine Telefónica-Mobilfunkverbindung zum Zugriff auf den relevanten Server nutzt. Dabei konnten reale IP-Adresse erhoben werden, die – mangels Echtzeiterhebung beim Provider Telefónica – derzeit aber keinem Endkunden zugeordnet werden konnten.

Um bei zukünftigen Zugriffen von „Phantom“ eine solche Zuordnung zu ermöglichen, soll daher nunmehr die Anordnung einer Echtzeiterhebung dieser Verkehrsdaten gegenüber dem Provider Telefónica erwirkt werden, mittels derer dann eine Zuordnung zum Endkunden erfolgen kann.

Bei dieser Maßnahme handelt es sich um ein sog. „IP-Catching“, dessen Durchführung sich nach § 100g StPO richtet:

Bär in Beck-OK, § 100g, Rn. 23 führt dazu aus:

„[…] Beim sog. IP-Catching [ist] Ziel des Eingriffs, eine bisher nicht näher bestimmte Person aus dem Kreis der Nutzer eines bestimmten Dienstes (zB Zugriff auf bestimmte Webseite, Nutzung eines Anonymisierungsdienstes, Teilnahme an Foren, Zugriff auf Kontaktformulare) erst zu selektieren. Dies kann dadurch erfolgen, dass i.R.d. Maßnahme über den betreffenden Diensteanbieter alle beim Aufruf dieses von der gesuchten Person jeweils genutzten Dienstes die verwendeten IP-Adressen der Nutzer erhoben werden. Der Eingriff entspricht damit quasi dem Einsatz eines IMSI-Catchers oder einer Funkzellenabfrage, die sich aber statt auf Mobilfunkdaten hier auf die verwendeten IP-Adressen der Nutzer dieses Dienstes bezieht. Es erfolgt damit eine Echtzeiterhebung künftig anfallender Verkehrsdaten in Form von IP-Adressen. Dies kann auf der Grundlage des § 100g Abs. 1 S. 1 und S. 4 (S. 3 aF) zulässigerweise vorgenommen werden. Der Eingriff führt dabei – ebenso wie bei einer Funkzellenabfrage oder einem IMSI-Catcher-Einsatz – aber dazu, dass eine Vielzahl von auch unbeteiligten Personen betroffen sein kann. Dadurch ergibt sich ein wesentlicher Unterschied zum IP-Tracking mit einer konkreten Zielperson. Ebenso wie nach § 100h Abs. 3 oder § 100i Abs. 2 S. 1 führt die unvermeidbare Drittbetroffenheit aber nicht zur Unzulässigkeit der Maßnahme, sondern erfordert nur eine besondere Berücksichtigung des Grundsatzes der Verhältnismäßigkeit bei der Anordnung. Die Erhebung der IP-Adressen erfolgt auch hier mit dem Ziel, über diese gewonnenen Informationen später i.R.d. sog. Personenauskunft eine Zuordnung zu einer Person auf der Grundlage des § 100j Abs. 2 i.V.m. Abs. 1 S. 1 vornehmen zu können […].“

Konkret wird diese Maßnahme in zwei Schritten umgesetzt:

Schritt 1:

Durch den verpflichteten Provider werden die Daten der Telefónica-Kunden, die auf den benannten Server zugreifen, in Echtzeit erhoben. Aufgrund der zuletzt erfolgten Mitteilung von Telefónica ist diese Maßnahmen der Verkehrsdatenerhebung in Echtzeit aufgrund der dort vorhandenen technischen Gegebenheiten nur in Form einer ganzheitlichen Datenerhebung möglich, d.h. dass zunächst kurzfristig alle Daten (Verkehrs- und Inhaltsdaten) erhoben, die Inhaltsdaten allerdings sofort wieder ungeprüft gelöscht werden. Es verbleiben ausschließlich die Verkehrsdaten der relevanten Verbindungen.

Schritt 2:

Anhand der festgestellten Verkehrsdaten erfolgt nach Benennung der relevanten Zeitpunkte durch das BKA – die anhand der Monitorings des Online-Verhaltens des Beschuldigten bekannt geworden sind – eine Abfrage an Telefónica, welcher Kunde zu diesem Zeitpunkt auf den relevanten Server zugegriffen hat. Nach internem Abgleich der erhobenen Verkehrs- mit den vorhandenen Bestandsdaten werden dem BKA lediglich die Bestandsdaten des Kunden, der zu den benannten Zeitpunkten auf den Server zugegriffen hat, mitgeteilt. Die Auskunft, die letztendlich durch Telefónica erteilt wird, entspricht daher vom Umfang her einer qualifizierten Bestandsdatenauskunft.

Zwar muss zur Umsetzung dieser qualifizierten Bestandsdatenauskunft auf die erhobenen „höherwertigen“ Daten zurückgegriffen werden. Diese Vorgehensweise ist allerdings nicht unüblich und im Rahmen des § 100j Abs. 2 StPO gesetzlich sogar ausdrücklich vorgesehen. Dabei wird nach dem gesetzgeberischen Leitbild zur Erteilung der qualifizierten Bestandsdatenauskunft auf die gespeicherten Verkehrsdaten nach § 113 TKG zurückgegriffen, ohne dass dafür eine Anordnung nach § 100g StPO erforderlich ist.

Im Unterschied dazu, ist vorliegend eine Anordnung nach § 100g StPO deshalb erforderlich, da die zuzuordnenden Daten nicht aufgrund einer gesetzlichen Regelung vorgehalten werden, sondern erst erhoben werden müssen. Parallel zu der obig beschriebenen Situation ist nach h.E. aber keine Anordnung nach § 100a StPO erforderlich. Auch diese Daten verlassen – ebenso wie die Vorratsdaten nach § 113 TKG – die Sphäre des Diensteanbieters nicht. Darüber hinaus werden diese sogar im Anschluss an ihre rein technisch bedingte Erhebung sofort und ungesehen durch den Provider gelöscht.

3. U. m. A. (1 Bd. Hauptakte)

dem Amtsgericht – Ermittlungsrichter – Frankfurt

mit dem Antrag übersandt, einen Beschluss nach § 100g StPO entsprechend des anliegenden Entwurfs für die Dauer von drei Monaten zu erlassen.

Es wird gebeten, eine Beschlussausfertigung für den Provider mit abgekürzten Gründen beizufügen.

Hinsichtlich der hiesigen rechtlichen Bewertung wird auf den Vermerk Ziff. 1 verwiesen. Für eine Rücksprache dazu stehe ich unter der Rufnummer 0611/3265-87██ jederzeit zur Verfügung.

Da der relevante Server als Eintrittsknotenpunkt einem regelmäßigen Wechsel unterliegt, ist eine zügige Umsetzung der Maßnahme geboten.

Es wird zudem höflich um telefonische Benachrichtigung der ZIT unter der folgenden Rufnummer 0611/3265-87██ zwecks Abholung der Akte gebeten.

• Datum: 17.12.2020
• Ort: Frankfurt am Main
• Von: Amtsgericht Frankfurt am Main
• Ermittlungsrichterin: Johanna Rustler
• Geschäftsnummer: 9500 UJs 416932/19 – 931 Gs
• Aktenzeichen: 60 UJs 50480/19 ZIT

Beschluss

In dem Ermittlungsverfahren

gegen: Unbekannt

wegen: Verdachts einer Straftat nach § 184b StGB u. a.

wird auf Antrag der Generalstaatsanwaltschaft Frankfurt am Main

gemäß §§ 100g Abs. 1 S. 1 Nr. 1 und 2, 100e Abs. 1 S. 1, 101a Abs. 1 S. 1 StPO die Erhebung sämtlicher Verkehrsdaten (in Echtzeit) betreffend Verbindungen zu der IP-Adresse

IP-Adresse: 136.243.39.185

Verpflichteter: Telefónica Germany GmbH & Co. OHG, Georg-Brauchle-Ring 50, 80992 München

und die Zuordnung der erhobenen Verkehrsdaten zum Endkunden angeordnet.

Die Anordnung wird bis zum 16.03.2021 befristet.

Gründe (abgekürzt)

Es liegt der Verdacht schwerer Straftaten nach § 100a Abs. 2 Nr. 1 lit. g StPO vor, die aufgrund des Umfangs der Tathandlungen auch im Einzelfall schwer wiegen und die alle ausschließlich unter Verwendung von Telekommunikationsmitteln begangen wurden (§ 100g Abs. 1 S. 1 Nr. 1 und 2 StPO).

Durch die bisherigen Ermittlungserkenntnisse besteht der Verdacht, dass der Nutzer „Phantom“ eine Mobilfunkverbindung des Provider Telefónica nutzt, um auf den benannten Server zuzugreifen und sich darüber mit dem Tor-Netzwerk zu verbinden. Durch die niederländischen Strafverfolgungsbehörden konnten mehrere Zugriffe unter Nutzung von Telefónica-IP-Adressen festgestellt (08.12.2020 und 09.12.2020), die durch den Provider jedoch mangels Erhebung und Zuordnung der Daten in Echtzeit, bislang keinem Endkunden zugeordnet werden konnten.

Im Fall einer solchen Echtzeiterhebung sämtlicher Verbindungen, die auf den Server mit der relevanten IP-Adresse zugreifen und der Zuordnung zu den jeweiligen Endkunden, besteht die Möglichkeit durch einen Abgleich mit den im Rahmen der Ermittlungen bekannt gewordenen Online-Zeiten des Nutzers „Phantom“ die Identität des noch unbekannten Beschuldigten zu ermitteln.

Dass die Maßnahme die Erhebung von Daten aller Telefónica-Kunden mit Zugriff auf den Server erforderlich macht und dabei auch Datensätze (Verkehrs- und Inhaltsdaten) erhoben werden, die nach der Erhebung oder dem Abgleich unmittelbar wieder ausgeschieden werden, macht die Maßnahme dennoch nicht unverhältnismäßig. Auch bei den „normalen“ telefonischen Zielsuchlauf-Maßnahmen, beim Einsatz eines IMSI-Catchers und bei Telekommunikationsüberwachungsmaßnahmen besteht regelmäßig eine unvermeidbare Drittbetroffenheit, die lediglich einer genauen Verhältnismäßigkeitsabwägung bedarf (vgl. Beck-OK-Bär, § 100g, Rn. 23) und die im Einzelfall eine Pflicht zur unverzüglichen Löschung bestimmter, nicht von vornherein ausscheidbarere Daten auslöst. Mit diesen Konstellationen ist der Ausgangspunkt hier vergleichbar. Insofern ist auch die kurzfristige Erhebung dieser Daten zur Ermöglichung der Auskunft über den zuzuordnenden Kundenanschluss zulässig.

Mit Blick auf die Schwere der Tatvorwürfe, den Umfang der durch „Phantom“ ausgeübten kriminellen Aktivitäten und der Tatsache, dass auf die kinderpornographischen Plattformen täglich weltweit eine unbeschränkte Anzahl von Personen Zugriff ausüben kann, ist die angeordnete Überwachungsmaßnahme nicht unverhältnismäßig.

Darüber hinaus stehen andere Maßnahmen zur Aufklärung und Erforschung des Sachverhalts nicht zur Verfügung. Insbesondere ist mangels Datenspeicherung durch den Provider eine „unmittelbare“ Abfrage nicht möglich. Sie ist notwendig für eine weitergehende Identifizierung des Beschuldigten und die Feststellung der verwendeten technischen und logistischen Infrastruktur.

Andere Aufklärungsmöglichkeiten im Hinblick auf die relevanten kinderpornographischen Plattformen stehen zudem aufgrund des ausschließlichen Zugriffs über das Tor-Netzwerk, dem eine systemimmanente Verschlüsselung zugrunde liegt, nicht zur Verfügung, da die Benutzer aufgrund dieser Anonymisierungsmechanismen effektiv vor herkömmlichen Ermittlungsmaßnahmen hinsichtlich der durch sie genutzten Internetverbindung geschützt sind.

• Datum: 21.12.2020
• Ort: Wiesbaden
• Von: Bundeskriminalamt, SO44
• Sachbearbeiter: Meinel, KHK
• An: Generalstaatsanwaltschaft Frankfurt am Main, ZIT
• Aktenzeichen: 60 UJs 50480/19 ZIT
• Betreff: Ermittlungsverfahren […] gegen den Nutzer des Nicknamen „Phantom“ wegen Verdachts der bandenmäßigen Verbreitung kinderpornografischer Schriften sowie des schweren sexuellen Missbrauchs von Kindern, gem. §§176a, 184b StGB
• Hier:
  • Identifizierung eines durch „Phantom“ genutzten Mobilfunkanschlusses
  • Anregung eines Beschlusses gem. §§ 100a, e, i, StPO

Vermerk

1. Aktueller Sachstand

Mit Beschlüssen des AG Frankfurt a. M. vom 14.12.2020 sowie 17.12.2020 wurden gem. § 100g StPO Verkehrsdaten, auch in Echtzeit, bei den Providern Hetzner GmbH sowie Telefónica Germany GmbH erhoben.

Hintergrund war, dass im Rahmen der Ermittlungen zunächst festgestellt werden konnte, dass die seitens „Phantom“ genutzte Ricochet-Messenger-Kennung „zk7egmb6dlqqmd██“ einen Hetzner-Server (IP-Adresse 136.243.39.185) als Eintrittsknoten in das Tor-Netzwerk nutzt. Ferner wurde festgestellt, dass „Phantom“ aktuell einen Telefónica-Mobilfunkanschluss nutzt, um eine Internetverbindung in das Tor-Netzwerk herzustellen.

Im Zuge der Maßnahmen bezüglich der Verkehrsdatenerhebung beim Provider Hetzner wurde durch die Fachdienststelle im BKA, OE24, festgestellt, dass die seitens „Phantom“ genutzte Ricochet-Kennung in den nachfolgenden Zeiträumen

1. 17.12.2020 zwischen 19:10 und 19:30 Uhr (jeweils MEZ)
2. 17.12.2020 zwischen 21:52 und 22:09 Uhr
3. 18.12.2020 zwischen 9:26 und 9:46 Uhr

jeweils die (Klar-)IP-Adressen

1. 89.204.153.██ Port 440██
2. 89.204.153.██ Port 451██
3. 89.204.155.██ Port 443██

verwendete.

Diese konnten dem Kontingent des Providers Telefónica Germany zugeordnet werden. Die genannten IP-Adressen und Zeiträume wurden zum Abgleich mit den bei der Telefónica erhobenen Verkehrsdaten an diese übersandt.

Gemäß Auskunft des Telefónica-Mitarbeiters Herrn M█████ K█████ (Coordinator Lawful Interception), bestand zu o. g. Zeitpunkten unter den festgestellten Telefónica-IP-Adressen ausschließlich über die Rufnummer

0176209849██

eine mobile Daten-Verbindung zu dem seitens „Phantom“ genutzten Hetzner-Eintrittsknoten mit der IP-Adresse 136.243.39.185.

Folglich wird die Ricochet-Kennung von Phantom aktuell über den hier festgestellten Mobilfunkanschluss genutzt.

2. Ermittlungen zum festgestellten Telefónica-Anschluss

Gemäß § 112 und § 113 TKG wurden die Bestandsdaten zu der seitens „Phantom“ genutzten Mobilfunkrufnummer erhoben.

Der Anschluss 0176-209849██ ist demnach seit dem 31.05.2016 auf eine Frau

T███████ G█████

geb.: ██.██.19██

whft.: ███████████ ██, 33142 Büren

registriert.

Zu dem Anschluss existieren derzeit zwei aktive SIM-Karten.

Gemäß einer Überprüfung der Meldedaten ist o. g. Person tatsächlich existent und an besagter Anschrift aktuell gemeldet.

Im Zuge der Beauskunftung der Telefónica-Rufnummer teilte Herr K█████ am 18.12.2020 KHK Krüger, SO44, zudem fernmündlich mit, dass entsprechend der bei der Telefónica aufgezeichneten Verkehrsdaten während der tatrelevanten Zeiträume der Mobilfunk-Anschluss aus einer Funkzelle im Bereich der Stadt Büren genutzt wurde. Aus den von Telefónica mitgeteilten Verkehrsdaten ist auch ersichtlich, dass die gegenständliche Rufnummer aktuell über ein Mobiltelefon Apple iPhone 11 Pro Max genutzt wird. Diesem ist die IMEI-Kennung

35391610830495██

zuzuordnen.

3. Anregungen

3.1.

Aufgrund der vorangestellten Erkenntnisse wird angeregt, seitens der Generalstaatsanwaltschaft Frankfurt a. M. ZIT, beim zuständigen Gericht einen Beschluss gem. §§ 100a, e StPO zu erwirken, um den seitens „Phantom“ genutzten und auf T███████ G█████ eingetragenen Telefonanschluss zu überwachen.

Der Beschluss sollte die Aufzeichnung des Audio- und Datenverkehrs des nachfolgend genannten Anschlusses für die Dauer von drei Monaten umfassen:

Rufnummer: 0176-209849██, 02951-94810██ (Homezone-Rufnummer)

Provider/Verpflichteter: Telefónica Germany GmbH, Telefónica Germany GmbH & Co. OHG Special Services, Georg-Brauchle-Ring 50, 80992 München

Anschlussinhaberin: T███████ G█████, geb.: ██.██.19██, whft.: ███████████ ██, 33142 Büren

Ziel der Maßnahme wäre die Identifizierung des Nutzers des Anschlusses und somit die zweifelsfreie Zuordnung einer Identität zu „Phantom“. Da nicht auszuschließen ist, dass „Phantom“ den o. a. Mobilfunkanschluss kurzfristig nicht mehr verwenden könnte, bedarf es einer zeitnahen Identifizierung des tatsächlichen Nutzers des Anschlusses. Durch die hier angeregte Telekommunikationsüberwachungsmaßnahme kann dies gewährleistet werden.

3.2.

Weiter wird angeregt, seitens der Generalstaatsanwaltschaft Frankfurt a. M. ZIT, beim zuständigen Gericht einen Beschluss gem. §§ 100a, e StPO zu erwirken, um das seitens „Phantom“ genutzte Mobiltelefon Apple iPhone 11 Pro Max dahingehend zu überwachen, ob weitere SIM-Karten/ Anschlüsse für tatrelevante Handlungen über dieses genutzt werden. Der Beschluss sollte die Aufzeichnung des Audio- und Datenverkehrs der nachfolgend genannten IMEI-Nummer für die Dauer von drei Monaten umfassen:

IMEI: 35391610830495██

Nutzer: Unbekannt („Phantom“)

Provider/Verpflichteter:

• Telefónica Germany GmbH & Co. OHG Special Services, Georg-Brauchle-Ring 50, 80992 München
• Vodafone GmbH, RULO / Unternehmenssicherheit-Behördenauskünfte, Ferdinand-Braun-Platz 1, 40549 Düsseldorf
• Deutsche Telekom AG, ReSA Berlin, Holzhauser Str. 4-8, 13509 Berlin

3.3.

Ferner wird angeregt, seitens der Generalstaatsanwaltschaft Frankfurt a. M. ZIT, beim zuständigen Gericht einen Beschluss gem. §100i Abs. 1 Nr. 2 StPO gegen den im Vermerk unter Nr. 3.1. aufgeführten Mobilfunkanschluss der G█████ zu erwirken.

Zweck dieser Maßnahme wäre im Einzelfall die konkrete Lokalisierung des aktuellen Standorts des Nutzers des Mobilfunkanschlusses, um hierdurch ggfs. auch eine zweifelsfreie Zuordnung einer Identität zu „Phantom“ zu ermöglichen.

Dieser sollte auch die beiden dem Anschluss zugeordneten IMSI (SIM-Karten-)-Nr.

2620720108787██, 2620739423986██

enthalten.

Ohne die angedachten Maßnahmen wäre eine weitere Aufklärung des Sachverhalts nicht möglich bzw. wesentlich erschwert.

Es wird gebeten die Beschlüsse vorab per Fax an das

Bundeskriminalamt Wiesbaden, SO44, Z. Hd. KHK Meinel o.V.i.A., Fax: 0611-55 467██

und jeweils eine Ausfertigung im Original an den Verpflichteten zu übersenden.

• Datum: 2023
• Kommentar: Münchener Kommentar
• Gesetz: Strafprozeßordnung
• Auflage: 2
• Paragraf: § 100g Erhebung von Verkehrsdaten
• Von: Prof. Dr. Christian Rückert
• Randnummern: 127-130

IP-Catching

Unter dem Begriff des IP-Catching wird eine Ermittlungsmaßnahme verstanden, bei der die Ermittlungsbehörden die IP-Adressen der Nutzer einer bestimmten Internetdienstleistung erheben bzw. protokollieren. Über eine anschließende Bestandsdatenabfrage können dann die Standorte und ggf. sogar die Identitäten der Nutzer ermittelt werden. Die Ermittlungsbehörden erheben bei dieser Maßnahme sog. Log-Dateien, in denen Informationen über die Zugriffe auf den Internetdienst, u.a. die IP-Adressen, von der Datenverarbeitungsanlage des Dienstes gespeichert werden. Bei dem Internetdienst kann es sich um eine Webseite (sog. Webpage-Überwachung), einen E-Mail-Dienstleister, einen Anonymisierungsdienst (z.B. VPN-Anbieter), Internet-Foren oder jede andere Internetdienstleistung handeln. Da die Maßnahme gleichzeitig die Verkehrsdaten/Nutzungsdaten vieler verschiedener Internetnutzer erhebt, ähnelt sie einer Funkzellenabfrage oder dem Einsatz eines IMSI-Catchers. [Fn. 202: Zum Ganzen Bär in BeckOK StPO § 100g Rn. 26; Bär in KMR-StPO § 100g Rn. 66.] Die Abfrage kann dabei sowohl in Echtzeit für künftig anfallende IP-Adressen („Live-Ausleitung“ durch den Dienstleister) als auch durch Auswertung einer Log-Datei für die Vergangenheit (Übermittlung der Datei durch den Dienstleister) erfolgen. Als in die Zukunft gerichtete Maßnahme gegen einen einzelnen Nutzer ist die Maßnahme auch als sog. Login-Falle verstellbar, bei der nur die IP-Adresse das einzelnen Nutzers erhoben wird. [Fn. 203: Hierzu ausführlich: Brodowski StV 2022, 413.]

Die Rechtsgrundlage für das IP-Catching wird von Bär und Bruns für alle Fälle in § 100g gesehen. [Fn. 204: Bär in BeckOK StPO § 100g Rn. 26; Bär NZWiSt 2017, 81 (84); Bruns in KK-StPO § 100g Rn. 20.] Beim sog. IP-Catching handelt es sich richtigerweise jedoch in vielen Fällen nicht um eine Verkehrsdatenerhebung nach § 100g, sondern (zumindest soweit, wie im Regelfall, die IP-Adressen bei einem Telemediendienstleister erhoben werden) um eine Nutzungsdatenerhebung nach § 100k. [Fn. 205: Ebenso von der Grün Verdeckte Ermittlungen S. 76 f; Brodowski StV 2022, 413 (414 ff.).] § 100g ist vom Gesetzgeber als umfassende Befugnis zur Erhebung von Verkehrsdaten ausgestaltet worden. Lediglich die Erhebung von Verkehrsdaten nach Abschluss des Kommunikationsvorgangs und nicht beim Telekommunikationsdienstleister soll hiervon nicht erfasst sein (§ 100g Abs. 5). Ein solcher Fall liegt hier jedoch nicht immer vor. Bis zur Einführung der Nutzungsdatenerhebung bei Telemediendienstleistern in § 100k (hierzu → § 100k Rn. 2) war problematisch, dass die Erhebung von Verkehrsdaten nach § 100g Abs. 1, Abs. 2 auf solche Verkehrsdaten beschränkt war, die nach §§ 96 Abs. 1, 113b TKG a.F. (ab 1. Dezember 2021: §§ 9, 12 TTDSG, § 176 TKG) oder § 2a BDBOSG erhoben wurden und daher nicht auf die Erhebung von Daten angewendet werden konnte, welche nicht nach diesen Vorschriften erhoben wurden und damit keine Verkehrsdaten i.S.v. § 100g Abs. 1 waren. Die meisten Anbieter von Internetdienstleistungen, bei denen ein IP-Catching in Frage kommt (z.B. Webseiten, Handelsplattformen, Internetforen, Soziale Medien), sind allerdings keine Telekommunikationsanbieter i.S.v. § 3 Nr. 61 TKG (bis 1. Dezember 2021: § 3 Nr. 24 TKG) und speicherten daher die Verkehrsdaten nicht nach §§ 96 Abs. 1, 113b TKG a.F. (seit 1. Dezember 2021: §§ 9, 12 TTDSG, § 176 TKG). Es handelt sich vielmehr um Telemedienanbieter i.S.v. § 1 Abs. 1 TMG iVm § 2 Abs. 2 Nr. 1 TTDSG. Dementsprechend speichern diese Provider die IP-Adressen der Nutzer nach Art. 6 Abs. 1 S. 1 DSGVO (früher § 15 TMG, zur Verdrängung von § 15 TMG in der Fassung bis 1. Dezember 2021 durch Art. 6 DSGVO und Streichung der Vorschrift durch das TTDSG seit 1. Dezember 2021, → § 100k Rn. 19 ff.). Die IP-Adressen sind daher in diesen Fällen sog. Nutzungsdaten, deren Erhebung nunmehr nach § 100k erlaubt ist. Ein Rückgriff auf § 100g Abs. 1 ist nur möglich, wenn das IP-Catching bei einem Telekommunikationsdienst i.S.v. § 3 Nr. 24 TKG (bis 1. Dezember 2021) bzw. § 3 Nr. 61 TKG n.F. (ab 1. Dezember 2021) durchgeführt wird. Daher stellt sich bei sog. OTT-Dienstleistern ein Abgrenzungsproblem hinsichtlich der Wahl der Rechtsgrundlage. Je nachdem, ob diese Telekommunikationsdienst oder Telemediendienst sind, ist § 100g oder § 100k einschlägig. Dementsprechend hat das Inkrafttreten des Telekommunikationsmodernisierungsgesetzes und des TTDSG zum 1. Dezember 2021 hier Auswirkungen auf die Wahl der Rechtsgrundlage.

1. Rechtslage bis zum Inkrafttreten von Telekommunikationsmodernisierungsgesetz und TTDSG (vor 1. Dezember 2021)

Problematisch war – bis zum Inkrafttreten des TTDSG – allerdings, dass die Neuregelung in § 100k Abs. 1 bis zum Inkrafttreten des TTDSG am 1. Dezember 2021 ausdrücklich nur die Erhebung von nach § 15 TMG (in der Fassung bis 1. Dezember 2021) gespeicherten Daten erlaubte. Wie ausgeführt, werden die IP-Adressen durch Telemediendienstanbieter jedoch auf Grundlage von Art. 6 Abs. 1 S. 1 DSGVO gespeichert, soweit es sich nicht ausnahmsweise (bei einigen OTT-Dienstleistern) nach der Rspr. des EuGH um Telekommunikationsanbieter i.S.v. § 3 Nr. 24 TKG a.F. handelt (hierzu → § 100a Rn. 229 und → Rn. 21). Der Verweis in § 100k Abs. 1 führte daher nach hier vertretener Auffassung bis zum Inkrafttreten des TTDSG ins Leere bzw. verstieße eine Lesart, welche den Verweis auf § 15 TMG (in der Fassung bis 1. Dezember 2021) als Verweis auf Art. 6 DSGVO verstehen wollte, gegen den Grundsatz der Normenklarheit und Bestimmtheit und wäre verfassungswidrig (→ § 100k Rn. 24).

2. Rechtslage nach Inkrafttreten von Telekommunikationsmodernisierungsgesetz und TTDSG (ab 1. Dezember 2021)

Durch das Inkrafttreten des TTDSG, die Streichung von § 15 TMG und die neue Definition in § 2 Abs. 2 Nr. 3 TTDSG, auf welche § 100k Abs. 1 nun verweist, wird dieses Problem allerdings durch das TTDSG gelöst. Keine große Auswirkung hat dagegen die Einbeziehung von sog. interpersonellen Telekommunikationsdiensten gem. § 3 Nr. 24 TKG n.F. in den Begriff des Telekommunikationsdienstes nach § 3 Nr. 61 TKG n.F. in der geltenden Fassung nach dem Telekommunikationsmodernisierungsgesetz auf das IP-Catching. Denn die meisten Anbieter, bei denen ein IP-Catching in Betracht kommt (Webseiten, Handelsplattformen, Host-Provider) sind auch nach Inkrafttreten des Telekommunikationsmodernisierungsgesetzes keine Telekommunikationsdienste. Allerdings kommt § 100g Abs. 1 dann als Rechtsgrundlage in Betracht, wenn das IP-Catching bei einem OTT-Dienstleister, der „interpersoneller Telekommunikationsdienst“ i.S.v. § 3 Nr. 61 iVm Nr. 24 TKG n.F. ist, durchgeführt werden soll (z.B. bei einem Webmail-Provider oder den Nutzern eines Voice-over-IP-Dienstes).

3. Gemeinsames Problem: Große Streubreite der Maßnahme

Materiell-rechtlich problematisch erscheint außerdem die große Streubreite der Maßnahme, da – ähnlich wie bei einer Funkzellenabfrage nach § 100g Abs. 3 – Verkehrs- oder Nutzungsdaten einer Vielzahl von nichtverdächtigen Personen miterhoben werden, die lediglich durch ein sachliches Kriterium (hier: Nutzung des jeweiligen Internetdienstes) verbunden sind (soweit es nicht um eine nur gegen einen einzelnen Nutzer gerichtete, sog. Login-Falle geht.). Dennoch ist – wenn überhaupt – nicht § 100g Abs. 3, sondern § 100k bzw. § 100g Abs. 1 einschlägig. [Fn. 206: So auch Bär in BeckOK StPO § 100g Rn. 26.] Abs. 3 ist eine nicht ausdehnbare Spezialvorschrift für die Funkzellenabfrage, die dementsprechend auch nicht analog auf Erhebungen von Verkehrs- oder Nutzungsdaten außerhalb einer Funkzelle angewendet werden kann. Die große Streubreite ist an zwei Stellen zu berücksichtigen: Im Rahmen der Verhältnismäßigkeit („angemessenes Verhältnis zur Bedeutung der Sache“) ist zu überprüfen, ob die Schwere der Straftat und der Grad des Tatverdachts die Erhebung von Verkehrs- oder Nutzungsdaten einer großen Vielzahl von Personen angemessen erscheinen lässt. [Fn. 207: Ebenso Bär in BeckOK StPO § 100g Rn. 26; Bruns in KK-StPO § 100g Rn. 20.] Man wird dies – in Anlehnung an die Regelung in § 100g Abs. 3 – grds. nur bei Straftaten nach § 100g Abs. 1 S. 1 Nr. 1 bzw. § 100k Abs. 1 S. 1 Nr. 1 annehmen dürfen. Keinesfalls möglich ist damit eine Anwendung des (nahezu voraussetzungslosen) § 100k Abs. 3. Weiterhin muss die Streubreite bei der Maßnahmerichtung berücksichtigt werden. Nach § 101a Abs. 1 bzw. Abs. 1a iVm § 100a Abs. 3 darf sich die Maßnahme nur gegen den Beschuldigten, Nachrichtenmittler und solche Personen richten, von denen anzunehmen ist, dass der Beschuldigte ihr IT-System benutzt. Dementsprechend ist vor jeder Durchführung einer solchen Maßnahme streng zu prüfen, ob zu erwarten ist, dass sich unter den erhobenen IP-Adressen auch solche der genannten Personengruppen befinden (dass also eine dieser Personen den Internetdienst nutzt). Keinesfalls darf das IP-Catching als „IP-Rasterfahndung“ eingesetzt werden, um erst einen Kreis von Verdächtigen zu gewinnen.

Die sehr große Streubreite und die damit einhergehende große Eingriffsintensität führen auch zu der Frage, ob nicht nach der Wesentlichkeitslehre des BVerfG [Fn. 208: BVerfG 8.8.1978 – 2 BvL 8/77, BVerfGE 49, 89 (126 f.); BVerfG 16.6.1981 – 1 BvL 89/78, BVerfG 57, 295 (327); BVerfG 27.11.1990 – 1 BvR 402/87, BVerfGE 83, 130 (142); BVerfG 6.7.1999 – 2 BvF 3/90, BVerfGE 101, 1 (34) jeweils mwN aus der vorgehenden verfassungsgerichtlichen Rspr.; Grzesick in Maunz/Dürig GG Art. 20 VI Rn. 105; zur Wesentlichkeitslehre im Strafverfahrensrecht: Hauck, Heimliche Strafverfolgung und Schutz der Privatheit, S. 141.] der Gesetzgeber über die Zulässigkeit des IP-Catchings gesondert entscheiden muss. Hierfür spricht, dass das IP-Catching hinsichtlich seiner Eingriffsintensität und der Besonderheit der großen Streubreite mit der Funkzellenabfrage nach § 100g Abs. 3 vergleichbar ist. Ähnlich wie dort die Verkehrsdaten von allen in einer (oder mehreren) Funkzellen eingeloggten Mobiltelefonen erhoben werden, werden beim IP-Catching alle IP-Adressen der Nutzer/innen erhoben, die mit einem bestimmten Server kommunizieren bzw. eine bestimmte Internetdienstleistung in Anspruch nehmen. Die sich daher stellenden Fragen hinsichtlich des Ausgleichs der großen Eingriffsintensität dieser Maßnahme durch hinreichende Eingriffsschwellen und Schutzmechanismen im Rahmen der Verhältnismäßigkeit muss der Gesetzgeber beantworten – wie er dies auch für die Funkzellenabfrage in § 100g Abs. 3 getan hat. Es bestehen daher ernstliche Zweifel daran, ob das IP-Catching – unabhängig von der Abgrenzung zwischen Verkehrs- und Nutzungsdatenerhebung sowie Fragen der Verhältnismäßigkeit bei der Einzelfallanwendung – überhaupt auf die bestehenden Rechtsgrundlagen der §§ 100g, 100k gestützt werden kann.

4. Zusammenfassung

Zusammengefasst kann die Maßnahme des IP-Catchings also nur bei denjenigen Dienstanbietern, die Telekommunikationsanbieter i.S.v. § 3 Nr. 61, 24 TKG (bis 1. Dezember 2021: § 3 Nr. 24 TKG) sind, auf § 100g Abs. 1 S. 1 gestützt werden. In der Praxis handelt es sich jedoch bei denjenigen Diensten, bei welchen ein IP-Catching gewinnbringend erscheint, in vielen Fällen um Telemediendienste. Bei den Anbietern, die als Telemediendienst i.S.v. § 1 Abs. 1 TMG iVm § 2 Abs. 2 Nr. 1 TTDSG einzuordnen sind, war ein IP-Catching bis zum Inkrafttreten von TTDSG und Telekommunikationsmodernisierungsgesetz nur möglich, wenn man – anders als hier vertreten – § 100k Abs. 1 trotz des ausdrücklichen Verweises auf § 15 TMG (in der Fassung bis 1. Dezember 2021) auch als Rechtsgrundlage für die Erhebung von nach Art. 6 Abs. 1 S. 1 DSGVO gespeicherten Nutzungsdaten versteht. Nach Inkrafttreten des TTDSG und des Telekommunikationsmodernisierungesetzes am 1. Dezember 2021 kann die Erhebung von IP-Adressen bei Telemediendiensten nun auch nach hier vertretener Auffassung auf § 100k Abs. 1 iVm § 2 Abs. 2 Nr. 3 TTDSG und § 24 TTDSG gestützt werden. Nicht möglich ist es, die weniger strenge Eingriffsnorm des § 100k Abs. 3 anzuwenden, da diese ausweislich ihres eindeutigen Wortlauts („des Nutzers“) auf die Abfrage von IP-Adressen von einzelnen Nutzern bei Telemediendiensten beschränkt ist. Nach Inkrafttreten des TTDSG und des Telekommunikationsmodernisierungsgesetzes sind außerdem viele der sog. OTT-Dienstleister als „interpersonelle Telekommunikationsdienste“ (§ 3 Nr. 24 TKG n.F.) Telekommunikationsdienste i.S.v. § 3 Nr. 61 TKG n.F. Für diese Dienstleister kann das IP-Catching jetzt auf § 100g Abs. 1 S. 1 Nr. 1 gestützt werden. Insgesamt erscheint es jedoch zweifelhaft, ob die § 100g, 100h vor dem Hintergrund der Wesentlichkeitslehre überhaupt taugliche Rechtsgrundlagen für das sog. IP-Catching sind.

• Datum: 16. April 2025
• Von: Johann Saathoff, BMI
• An: Clara Bünger, MdB
• Betreff: Schriftliche Frage
• Arbeits-Nummer: 4/65
• Drucksache: 21/42

Schriftliche Frage der Abgeordneten Clara Bünger vom 9. April 2025

Frage:

Wie oft haben Bundesbehörden in den letzten fünf Jahren „IP-Catching“-Maßnahmen beantragt bzw. genehmigt bekommen, und wie viele wurden tatsächlich durchgeführt (vgl. tagesschau.de), bitte nach Status und Jahr auflisten)?

Antwort:

Zwar ist der parlamentarische Informationsanspruch grundsätzlich auf die Beantwortung gestellter Fragen in der Öffentlichkeit angelegt. Soweit parlamentarische Anfragen Umstände betreffen, die aus Gründen des Staatswohls geheimhaltungsbedürftig sind, hat die Bundesregierung zu prüfen, ob und auf welche Weise die Geheimhaltungsbedürftigkeit mit dem parlamentarischen Informationsanspruch in Einklang gebracht werden kann. Die Bundesregierung ist nach sorgfältiger Prüfung zu der Auffassung gelangt, dass aufgrund der Schutzbedürftigkeit der erfragten Informationen eine Beantwortung der Frage in offener Form teilweise nicht erfolgen kann.

Die Schriftliche Frage begehrt hinsichtlich der Zollverwaltung Auskunft zu Sachverhalten, die aufgrund der Folgen, die bei ihrer Veröffentlichung zu erwarten sind, als „geheimhaltungsbedürftige Tatsachen“; im Sinne des Sicherheitsüberprüfungsgesetzes (SÜG) in Verbindung mit der Verschlusssachenanweisung (VSA) als „VS-NUR FÜR DEN DIENSTGEBRAUCH“ (VS-NfD) einzustufen sind. Die Kenntnisnahme von Einzelheiten zu technischen Fähigkeiten der Zollverwaltung könnte sich nach der Veröffentlichung der Antworten der Bundesregierung nachteilig für die Interessen der Bundesrepublik Deutschland auswirken. Aus dem Bekanntwerden könnten sowohl staatliche als auch nichtstaatliche Akteure Rückschlüsse auf „Modi Operandi“ und die Fähigkeiten der Zollverwaltung ziehen. Im Ergebnis würde dadurch die Funktionsfähigkeit der Zollverwaltung beeinträchtigt und ermittlungstaktische Verfahrensweisen und mithin die Sicherheit der Bundesrepublik Deutschland gefährdet.
Daher ist die Antwort insoweit VS-NfD eingestuft und wird als nicht zur Veröffentlichung in einer Bundestagsdrucksache bestimmten Anlage übermittelt.

Hinsichtlich des Bundesnachrichtendienstes (BND), des Bundesamtes für Verfassungsschutz (BfV) und des Bundesamtes für den Militärischen Abschirmdienst (BAMAD) ist die Bundesregierung nach sorgfältiger Abwägung der widerstreitenden Interessen zu der Auffassung gelangt, dass eine Beantwortung der Frage ebenfalls nicht in offener Form erfolgen kann.
Die erbetenen Auskünfte sind geheimhaltungsbedürftig, weil sie Informationen enthalten, die im Zusammenhang mit der Arbeitsweise und Methodik der Nachrichtendienste des Bundes und insbesondere deren Aufklärungsaktivitäten und Analysemethoden stehen. Der Schutz vor allem der technischen Aufklärungsfähigkeiten der Nachrichtendienste des Bundes sowie der Fernmeldeaufklärung des BND stellt für deren Aufgabenerfüllung einen überragend wichtigen Grundsatz dar. Er dient der Aufrechterhaltung der Effektivität nachrichtendienstlicher Informationsbeschaffung durch den Einsatz spezifischer Fähigkeiten und damit dem Staatswohl. Eine Veröffentlichung von Einzelheiten betreffend solche Fähigkeiten würde in zunehmendem Maße zur Ineffektivität der eingesetzten Mittel führen, da Personen im Zielspektrum der Maßnahmen sich auf die Vorgehensweisen und Fähigkeiten der Sicherheitsbehörden einstellen und entsprechend auf andere Kommunikationswege ausweichen könnten. Dies hätte – mit Blick auf das Kommunikationsverhalten der im Fokus stehenden Akteure – eine wesentliche Schwächung der den Nachrichtendiensten des Bundes zur Verfügung stehenden Möglichkeiten zur Informationsgewinnung zur Folge. Dies würde für die Auftragserfüllung von BND, BfV und BAMAD erhebliche Nachteile zur Folge haben. Insofern könnte die Offenlegung entsprechender Informationen die Sicherheit der Bundesrepublik Deutschland gefährden oder ihren Interessen schweren Schaden zufügen.
Deshalb sind die entsprechenden Informationen als Verschlusssache gemäß § 2 Absatz 2 Nummer 2 der VSA „GEHEIM“ eingestuft und werden zur Einsichtnahme in der Geheimschutzstelle des Deutschen Bundestages hinterlegt.

Die Bundespolizei hat in den letzten fünf Jahren keine „IP-Catching“-Maßnahme durchgeführt.

Zu dem in der zitierten Pressemeldung genannten Sachverhalt wird mitgeteilt, dass das BKA im Rahmen von strafrechtlichen Ermittlungen und auf Basis eines richterlichen Beschlusses tätig gewesen ist.
Weitergehende Auskünfte zum BKA sind geheimhaltungsbedürftig und berühren in besonders hohem Maße das Staatswohl, weil sie Informationen enthalten, die im Zusammenhang mit der Arbeitsweise und Methodik des BKA stehen. Nach sorgfältiger Abwägung ist die Bundesregierung zu dem Schluss gekommen, dass auch das geringfügige Risiko ihrer Offenlegung nicht getragen werden kann.
Eine VS-Einstufung und Hinterlegung der in diesen Fragen angefragten Informationen in der Geheimschutzstelle des Deutschen Bundestages würde ihrer erheblichen Brisanz im Hinblick auf die Bedeutung der genannten Fähigkeiten für die Aufgabenerfüllung des BKA nicht ausreichend Rechnung tragen, weil insoweit auch ein geringfügiges Risiko des Bekanntwerdens unter keinen Umständen hingenommen werden kann (vgl. BVerfGE 124, 78 [139]).

Beim Generalbundesanwalt beim Bundesgerichtshof (GBA) werden die fragegegenständlichen Informationen statistisch nicht erfasst, so dass eine Beantwortung mit zumutbarem Aufwand nicht möglich ist. Zur Beantwortung wäre die händische Sichtung und einzelfallbezogene Auswertung aller in den letzten fünf Jahren geführten Ermittlungsverfahren des GBA erforderlich, was die Ressourcen in der betroffenen Abteilung für einen nicht absehbaren Zeitraum vollständig beanspruchen und deren Ermittlungsarbeit zum Erliegen bringen würde.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.