SkyECC  -  Man-in-the-Middle

• 2016: Zufälliger Fund verschlüsselter SkyECC-Telefone im Rahmen eines BtM-Verfahrens im Hafen von Antwerpen.
• Weitere Funde in anderen Verfahren mit Bezug zur organisierten Kriminalität.
• Belgische Polizei erwarb ein SkyECC-Telefon zu Analysezwecken.
• Serverstandort: Roubaix (Frankreich) beim Hostinganbieter OVH.
• Niederländische Behörden scheiterten 2018 mit einem Beschlagnahmeantrag – Begründung: fehlender Tatverdacht, bloße Nutzung von Verschlüsselung sei nicht strafbar.
• Ende 2018: Belgien und Niederlande stellen Europäische Ermittlungsanordnungen (EEA) an Frankreich.
• Kooperation mit Europol, französische Staatsanwaltschaft Lille übernimmt Verfahren.
• Ziel: Zugriff auf Kommunikation von SkyECC-Nutzern.
• 14. Juni 2019: Gericht genehmigt erstmals das Abfangen der Kommunikation über französische Server.
• Einrichtung verdeckter Überwachung – ohne Wissen von Anbieter (SkyGlobal), Hoster (OVH) oder Nutzern.
• Maßnahme wurde bis Dezember 2020 mehrfach richterlich verlängert.
• September 2020: Ausweitung auf weiteren Server.
• Dezember 2020: Einsatz eines „Man-in-the-Middle“-Servers, der die Kommunikation zwischen Server und Endgerät abfing.
• Durch Push-Benachrichtigungen wurden kryptographische Schlüssel an Ermittler übermittelt.
• Ergebnis: Zugriff auf Texte, Fotos, Sprachnachrichten aus der verschlüsselten Kommunikation – bei gleichzeitig weiter funktionierender App.
• 9. März 2021: Großeinsatz in Belgien, Frankreich und den Niederlanden, zahlreiche Festnahmen und Beschlagnahmen.
• Behörden anderer Staaten (z. B. Deutschland) waren nicht an der Überwachung beteiligt.
• Erst durch Einzel-EEAs über Eurojust gelangten deutsche Behörden an Chatinhalte.
• Europol informierte zudem proaktiv über strafrechtlich relevante Erkenntnisse.

EncroChat  -  Spiegelung der Daten

Französische Ermittlungen gegen den organisierten Drogenhandel decken den wiederholten Einsatz verschlüsselter Kryptohandys mit „EncroChat“-Software auf.

• Geräte (u. a. OnePlus One, BQ Aquaris X) waren speziell modifiziert: doppeltes Betriebssystem, deaktivierte Sensoren, selbstlöschende Nachrichten, „panic PIN“ etc.
• Nutzer nutzten ausschließlich EncroChat-interne Kommunikationsdienste („EncroChat“, „EncroTalk“, „EncroNotes“).
• Zielgruppe: nahezu ausschließlich Kriminelle (v. a. Drogenhandel).
• EncroChat war nicht legal registriert, es existierten weder Gesellschaftssitz noch offiziell bekannte Betreiber.
• Ermittlungsgruppe unter Eurojust mit Beteiligung französischer, niederländischer Behörden sowie Europol.
• Initiale Maßnahme: Spiegelung von Serverdaten durch Zugriff auf ein Rechenzentrum in Roubaix (Frankreich).
• Ergebnisse:
  • 66.134 registrierte SIM-Karten, betrieben vom niederländischen Anbieter.
  • Verbindungen in über 100 Länder; Hauptnutzungsstaaten: Niederlande, Spanien, UK, Deutschland, Italien.
  • 3.477 entschlüsselte Notizdateien belegten umfangreichen internationalen Drogenhandel.
• Auf Grundlage der französischen Strafprozessordnung (Art. 706-102-1 ff. CPP) beantragte die Staatsanwaltschaft Lille technische Maßnahmen zum verdeckten Online-Zugriff auf laufende Kommunikation.
• Mehrstufige richterliche Genehmigungen zwischen Januar und Mai 2020:
  • Remote-Zugriff und Ferninjektion eines Überwachungs-Tools auf Endgeräte durch nationale Sicherheitsdienste.
  • Ziel: Umgehung der Ende-zu-Ende-Verschlüsselung durch Abgriff „am Bildschirm“.
  • Weitere Maßnahmen: Netzumleitung, Load-Balancing-Manipulation, Umleitung von Domains/Subdomains.
• Überwachung von 32.477 Endgeräten in 121 Ländern.
• In Frankreich: 380 aktive Geräte – davon über 63 % nachweislich im kriminellen Kontext (v. a. Drogenhandel).
• Zahlreiche Hinweise auf Waffenhandel, Geldwäsche, Nutzung von Kryptowährungen, ausgefeilte Tarnstrukturen.
• Verkäufer standen in direktem Kontakt mit Administratoren der EncroChat-Plattform.
• 28. Mai 2020: Erweiterung der französischen Ermittlungen auf zahlreiche Straftaten inkl. Geldwäsche, Waffendelikte, bandenmäßiger Drogenhandel.
• 1. Juni 2020: Neue Genehmigung für Fernzugriff und Netzmanipulation für vier Monate.
• Begründung: EncroChat sei ausschließlich kriminell genutzt worden, Analyse der Geräte nicht möglich, Zugriff nur durch laufende Überwachung praktikabel.
• Generalstaatsanwaltschaft Frankfurt (ZIT) leitete Verfahren gegen Unbekannt ein (Az. 62 UJs 50005/20).
• 2. Juni 2020: EEA-Antrag an Frankreich zur Nutzung der EncroChat-Daten, Übermittlung durch Europol.
• Geliefert wurden:
  • Daten von in Deutschland verwendeten Geräten.
  • „Live“-Daten zwischen April und Juni 2020, sofern Mobilfunkverbindung in Deutschland bestand.
• Keine namentlich benannten Beschuldigten im EEA-Antrag; Bezugnahme auf Anhang D RL EEA (Katalog schwerer Straftaten).
• 13. Juni 2020: Französische Richterin genehmigt Rechtshilfeübermittlung an deutsche Behörden auf Basis des EU-Rechtshilfeübereinkommens.
• Zweckbindung: uneingeschränkte Verwendung in Ermittlungs- und Gerichtsverfahren möglich.
• Daten wurden an örtlich zuständige Staatsanwaltschaften in Deutschland verteilt.
• Technik: Einsatz einer staatlich initiierten Überwachungssoftware zur Live-Datenextraktion bei verschlüsselten Geräten.
• Verfahren: Umfassende richterliche Kontrolle in Frankreich; rechtlicher Rahmen: französischer CPP, EU-RL EEA.
• Verwertung in Deutschland: Zentrale dogmatische Fragen betreffen die Zulässigkeit der Verwertung der über Rechtshilfe erlangten Daten in deutschen Strafverfahren unter Achtung von §§ 100a ff., 160a, 161 StPO sowie Art. 8 EMRK und Art. 10 GG.

An0m  -  Geheime Ermittlungsapplikation des FBI

• Entwicklung: Die App An0m wurde vom FBI und der australischen Bundespolizei als verdeckte Ermittlungstechnologie entwickelt. Sie ermöglichte den verschlüsselten Versand von Text-, Foto-, Video- und Audionachrichten.
• Vertrieb an Kriminelle: Ab 2018 wurde An0m über ein Netzwerk von Vertrauenspersonen gezielt an kriminelle Organisationen vertrieben, unter dem Motto: "designed by criminals for criminals". Öffentlich war die App nicht zugänglich.
• Technik & Überwachung:
  • Die App war in einer Taschenrechner-App versteckt und nur per PIN zugänglich.
  • Hintertür (Master Key): Alle Nachrichten enthielten einen unsichtbaren Schlüssel, der es den Behörden erlaubte, sämtliche Inhalte live zu entschlüsseln und zu speichern.
  • Über ein Rechtshilfeabkommen mit einem EU-Staat (vermutlich Litauen) wurden ab dem 21.10.2019 bis 07.06.2021 alle Nachrichten über dortige Server geleitet und dem FBI zugänglich gemacht.
• Ermittlungsdaten:
  • Es wurden über 20 Millionen Nachrichten von 11.800 Geräten weltweit abgefangen und ausgewertet.
  • Das FBI informierte das BKA am 25. März 2021 über An0m und kündigte die Übermittlung deutschlandbezogener Daten an.
• Strafverfolgung in Deutschland:
  • Die Generalstaatsanwaltschaft Frankfurt leitete am 31. März 2021 ein Verfahren gegen Unbekannt ein.
  • Am 21. April 2021 wurde ein Rechtshilfeersuchen an die USA gestellt.
• Ergebnisse der Operation:
  • Am 7. Juni 2021 kam es in 16 Ländern zu koordinierten Durchsuchungen.
  • Dabei wurden rund 800 Personen festgenommen.
    Quellen:
    OLG Karlsruhe, Beschluss vom 4. Januar 2024 – 3 Ws 353/23
    Europol-Pressemitteilung vom 8. Juni 2021 zur Operation Sky ECC