Cases-Duncan-bar

Mindestens 50 Fälle, in denen Kriminelle Verschlüsselung verwendet haben, sind inzwischen durch die Presse gegangen. Schaut man sich diese Fälle genauer an, ergibt sich so manche Überraschung.

Hier geht es zu Teil 1.

Der US-Amerikaner Joseph E. Duncan (Jahrgang 1963) tötete wahrscheinlich sieben Menschen. 2005 wurde er verhaftet. Ein Gericht verurteilte ihn zum Tode, das Urteil ist noch nicht vollstreckt.

Duncan

Duncan betrieb auf seiner Webseite einen Blog, in dem er über seine Taten berichtete. Erst nach seiner Festnahme fiel auf, dass seine Ausführungen keine Hirngespinste waren, sondern den Tatsachen entsprachen. Außerdem führte er nach eigenen Angaben ein Tagebuch, in dem er noch tiefer ins Detail ging. Dieses Tagebuch verschlüsselte er mit der Software PGP. Der Polizei gelang es nicht, die Verschlüsselung zu knacken.

Der Fall Duncan ist einer von über 50 mir bekannten Fällen, in denen es die Polizei mit verschlüsselten Daten zu tun bekam. Die entsprechende Liste gibt es hier. Diese Liste ist die Grundlage für meinen Vortrag bei der RSA-Konferenz, über den ich noch berichten werde.

 

Immer mehr Fälle werden bekannt

Sowohl der RSA-Vortrag als auch dieser Artikel sind natürlich zu kurz, um auf alle 50 Fälle einzugehen. Stattdessen werde ich ein paar Statistiken vorstellen, die ich auf Basis meiner Liste erstellt habe. Fangen wir mit der Anzahl der Fälle pro Jahr an.

Cases-per-year

Kriminalfälle, in denen Verschlüsselung eine Rolle gespielt hat, gibt es also schon länger. In den letzten Jahren ist die Zahl jedoch deutlich angestiegen. Ich gehe davon aus, dass ich die Zahl von fünf Fällen im Jahr 2015 noch nach oben korrigieren muss, da sicherlich noch weitere Verbrechen mit Krypto-Beteiligung bekannt werden.

 

Kinderporno-Delikte besonders häufig

Kinderporno-Fälle kommen in meiner Sammlung besonders oft vor.

Cases-per-offense

Aber auch andere Delikte sind gut vertreten. Anscheinend verwenden Kriminelle aller Coleur heutzutage Verschlüsselung.

 

Verwendete Produkte

Offensichtlich steht das kostenlose, sichere und einfach zu verwendende Produkt TrueCrypt bei Kriminellen besonders hoch im Kurs.

Cases-per-product

Da die Entwicklung von TrueCrypt inzwischen aufgegeben wurde, dürften wohl die Nachfolger VeraCrypt und tc play demnächst in der Statistik vorkommen.

 

Telefon- und E-Mail-Überwachung spielen keine Rolle

Das FBI, so habe ich gestern auf der RSA-Konferenz von einem Mitarbeiter dieser Behörde erfahren, unterscheidet zwischen statischen und bewegten Daten.

Cases-per-retrieval

Interessanterweise kommen in meiner Sammlung ausschließlich statische Daten (also solche, die auf Datenträgern gespeichert sind) vor. Verschlüsselte Informationen, die aus der Telefon- oder E-Mail-Überwachung stammen (also bewegliche Daten), sind dagegen nicht vertreten. Vielleicht redet die Polizei nicht so gerne darüber.

 

Auch die Opfer nutzen Verschlüsselung

Es wäre falsch zu glauben, dass die Polizei nur auf verschlüsselte Daten von Kriminellen stößt.

Cases-per-user

In zwei Fällen meiner Sammlung waren es die Opfer, die verschlüsselte Daten hinterlassen haben (es sind die Fälle Owens und Mills auf der Liste).

 

Meist ist die Polizei machtlos

Wenn die Polizei auf verschlüsselte Daten stößt, ist sie meist machtlos.

Cases-per-success

Nur etwa in jedem vierten Fall gelingt es der Polizei, die aufgefundenen Daten zu entschlüsseln.

 

Lohnt sich eine Hintertür?

Die entscheidende Frage in meinem RSA-Vortrag  lautet: Rechtfertigen die Fälle, in denen die Polizei verschlüsselte Daten nicht lesen kann, eine Hintertür in Krypto-Produkten?

Cases-per-status

Die Statistik zeigt: In den meisten Fällen konnte die Polizei den Fall lösen, ohne die Verschlüsselung lösen zu können. Nur in drei von 50 Fällen tappt die Polizei sowohl in Bezug auf den Täter als auch in Bezug auf die Verschlüsselung im Dunkeln. Dabei ist noch nicht einmal klar, ob eine vorgeschriebene Hintertür in diesen drei Fällen überhaupt geholfen hätte – vielleicht steht ja nichts Interessantes in den Daten, oder vielleicht hätte der jeweilige Täter bzw. das jeweilige Opfer illegalerweise eine Lösung ohne Hintertür verwendet.

1 / 2 / Auf einer Seite lesen

Kommentare (4)

  1. #1 Rainer Stamme
    3. März 2016

    Und wie vielen Fällen, die “die Polizei” bearbeitet stehen jetzt 50 Fälle überhaupt gegenüber? Sprechen wir hier von einer wachsenden Fallzahl, oder von einer statistisch nicht relevanten Änderungen im 0,00000-Bereich? DAS ist doch eigentlich interessant. Oder?

  2. #2 Merowech
    4. März 2016

    Verschlüsselte Informationen, die aus der Telefon- oder E-Mail-Überwachung stammen (also bewegliche Daten), sind dagegen nicht vertreten. Vielleicht redet die Polizei nicht so gerne darüber.

    Der Grund ist ganz einfach. Mit strafprozessual zulässigen “Bordmitteln” sind verschlüsselte Übertragungen nicht lesbar. Denn es handelt sich hierbei um das Ausleiten des DSL/Netzwerkverkehrs. Ist der z.B. per ssh verschlüsselt ist da Schicht im Schacht.

    Dabei schaut man quasi als “Man-in-the-middel” auf die Daten ohne Key, Schlüssel, Salt etc.

    Das Entschlüsseln ist technisch möglich. Aber für die “normale” Polizei nicht zulässig. Denn ich brauche dazu eine Software auf den Clients die für mich die Schlüssel mit ausliest. Stichwort Bundestrojaner.

    Um also den verschlüsselten Datenverkehr mitlesen zu können bedarf es der sogenannten Quellen-TKÜ.
    Auch hier muss man eine Überwachungssoftware auf dem Zielrechner installieren.

    Die bisherigen “Bundestrojaner” waren aber nicht zulässig.

    Weiterführender Artikel: Zeit: Der neue Staatstrojaner des BKA ist fertig

    Aber auch hier ein statistisches Problem. Das ist eine Software des BKA, die nur wenige herausragende Fälle bearbeitet. Die Massendelikte durch die Flächenbehörden werden davon nicht profitieren.

  3. #3 Merowech
    4. März 2016

    Jetzt registriere ich erst die Artikelüberschrift.

    Wenn die Polizei vor der Verschlüsselungstechnik kapitulieren muss (Teil 3)

    Ja und Nein.

    Die Polizei MUSS aus juristischen und strafprozessualen Gründen kapitulieren. Nicht aus technischen 😉

  4. #4 Merowech
    4. März 2016

    Zum Thema Entschlüsseln von geschlossenen Truecrypt Container und ganzen Platten hier meine “gefühlten” Erfahrungswerte:

    90% erfolgreich entschlüsselter Container entstehen durch “Sozial Engeneering”.
    Zum Beispiel durch sichergestellte “Post-It” Schnippsel mit Schlüsselhinweisen. Kriminalistische Analyse des Rechners und Generierung einer kleinen Passwortliste (Name Hauskatze, Geburtsdaten etc.), etc.

    ABER auch: Übersichtsaufnahme des Abreitsplatzes ! Oft werden Gegenstände / Objektnamen oder Gerätebezeichnungen aus dem unmittelbaren Umfeld des PC zur Passwortgenerierung herangezogen 😉

    6.9% “echtes” Bruteforcen mit Bibliotheken (für einfache Passwörter zwischen 5-8 Stellen). Hängt von der eingesetzten Rechenpower ab und schwere des Deliktes ab.

    2% durch digitalforensische Analyse der Hyperfile.sys. Eine Datei (Windows) die im Hybernation Modus (Ruhezustand) den gesamten RAM zwischenspeichert und somit auch den Schlüssel enthälten “müsste”. Hier ist entscheidend wann welche Container offen war/ist etc damit die Information in der Hyberfile landet.
    Dies funktioniert bei Laptops /Notebooks besonders gut.

    0.1% durch tatsächlichem Einfrieren des RAMs und späteren auslesen des Schlüssels (es soll schon mal gelungen sein)