Nicht polizeifest
Hallo,
Du berichtest auf dem CCC 06 während einer Veranstaltung davon, dass der Bürger gegenüber der Polizei/Staatsanwaltschaft nicht verpflichtet ist, Passwörter mitzuteilen (beispielsweise bei beschlagnahmten Computern). Wenn ich Daten mittels Fingerabdrucksensor sichere – dürfen die Behörden von mir in diesem Fall meinen Fingerabdruck “verlangen”?
Wäre interessant zu wissen.
Vielen Dank & angenehmen Tag
A. K.
Fingerabdrücke dürfen genommen werden, wenn sie für die “Durchführung des Strafverfahrens” notwendig sind (§ 81b Strafprozessordnung). Das Gesetz schränkt die Nutzung der Fingerabdrücke im Rahmen der laufenden Ermittlungen also nicht ein, zum Beispiel auf die Identitätsfeststellung.
Fingerabdruckgesicherte Computer sind also nicht polizeifest.
Sorry, aber: Wer sichert denn seinen Computer mit einem Fingerabdruck? Wie kann man denn die Daten mit einem Fingerabdruck verschlüsseln?
Selbst wenn im Gesetz stünde das man Passwörter rausgeben muss oder einen Monat Knast.
Lieber einen Monat Knast als das sie 10 mp3s auf dem Rechner finden würden.
Traurig, aber wahr.
Danke für den Hinweis. Gleich mal wieder abgeschaltet und auf die guten alten Passwörter zurückgegriffen. Die sind sicher im Kopf gespeichert und der gibt sie nicht her wenn man ihn abhackt ;-)
@1 das geht (mal abgesehen von der Sicherheit) mit Fingerabdrucklesern. Neuere Notebooks haben sowas Beispielsweise eingebaut.
Es gint auch USB Sticks, mit einem Fingerabdruckleser, der damit Daten sichert.
Technisch möglich ist es also schon :) (wie gesagt, abgesehen von der sicherheit wie nachgemachte fingerabdruecke und so weiter)
Ja, gut, Fingerabdrücke dürfen genommen werden. So weit, so bekannt. Aber die Frage zielte wohl eher darauf hinaus, ob man seinen Finger auch zur Entschlüsselung der Daten "hergeben" muß. Mit anderen Worten: kann man auch dazu gezwungen werden, seinen Finger auf den Fingerabdrucksensor draufzuhalten, damit die Daten entschlüsselt werden können?
@5: Nein, kann man nicht. Aber es spricht nichts dagegen, dass die Polizei deine Fingerabdrücke im Rahmen der Erkennungsdienstlichen Behandlung(TM) nimmt, daraus eine Kopie erstellt (z.B. auf Folie) und damit den entsprechenden Scanner selbst bedient.
Die einstmals so hochgelobte sicherheit von biometrischen Merkmalen als Ersatz von Passwörtern wird auch noch zusätzlich durch die Forderung unsers Bundesministers für Staatsi… unseres Bundesinnenministers konterkariert, der sich ein zentrale Fingerabdrucksdatei wünscht… und zwar für jeden Fingerabdruck, der im Rahmen der ausstellung eines ePasses oder eAusweises genommen wird.
Wird Zeit meinen alten Ausweis zu verlängern ;)
@5… und im Gegensatz zu dem, was ich ben geschrieben habe…
Fingerabdruckscannner sind doch sooooo sicher. Die würden doch bemerken wenn ihnen eine Kopie vorgelegt wird.
*Wer Ironie findet, darf si behalten ;-) *
Zur aktiven Mitwirkung kann man nicht gezwungen werden. Aber ich ging davon aus, dass klar ist, was die Polizei mit dem abgenommenen Fingerabdruck macht.
"Ein Bayer" (Nr. 6) hat es ja schon erklärt.
mal eine kurze nachfrage: derartige fingerabdruckscanner stellen doch keine datenverschlüsselung dar, sondern lediglich eine andere art des passwortes.
oder täusch ich mich da?!
und wenn dem so ist: warum sollten sich die behörden so viel arbeit machen, wie von nr. 6 geschildert wurde. da gibt es doch auch andere mittel und wege die festplatte auszulesen.
@N.N.
Man kann selbstverständlich aus dem Fingerbdruck einen Code generieren, mit dem man dann auch Daten verschlüsseln kann oder mit dem man einen Masterschlüssel sichert, der dann zur eigentlichen Verschlüsselung dient.
@10: Zur Ver-/Entschlüsselung wird immer auch ein Schlüssel benötigt und den stellt das Passwort dar.
Sehr geehrter Herr Kollege,
ich danke sehr für den unterhaltsamen Vortrag! Pointe an Pointe, und kein Euro Eintritt!
Rhetorisch am Besten hat mir die Stelle mit "Morgengrauen – nomen es omen" und "krümelartige Substanzen" gefallen.
Ich werde ihn am Sonntag noch einmal mit der Familie schauen.
Bei uns in Essen spricht man übrigens auch mediterrane Weiße ohne Rasta-Locken an. Könnte ja einer ein Passdelikt begangen haben.
Mit bestem Gruße,
HEB
Wenn man seine Festplatten per Keyfile verschlüsselt und bei einer Hausdurchsuchung die Keyfile zerstört (oder den USB Stick auf dem sie gespeichert ist ausversehen ins Klo fallen lässt ), ist das strafbar (wegen Beweisvernichtung oder ähnlichem) ?
@14: Gemäß Vortrag nicht, weil die Daten ja immer noch vorhanden sind. Nur eben verschlüsselt.
Ich würd auch noch gern eine Frage zum Vortrag nachschieben: Mehrmals wird gesagt, man müsse als Beschuldigter nichts sagen. Nichtmal "piep".
Neulich im Unterschichtenfernsehen, Doku über Polizeiausbildung. Praxisphase.
Ein Polizist sitzt im Büro des Hausdetektivs einem Ladendieb gegenüber: "Sie sind jetzt Beschuldigter. Sie müssen mir jetzt Ihre Personalien sagen."
Aber das muß er doch gar nicht, oder?
Sich gegenüber zuständigen Stellen nicht zu den Personalien (Namen, Geburtsort, Geburtsdatum, Familienstand, Beruf, Wohnort, Adresse und Staatsangehörigkeit) zu äußern, ist eine Ordnungswidrigkeit. Theoretisch kann es ein Bußgeld geben, aber keine Kriminalstrafe.
Jedoch wird die Weigerung in der Praxis kaum verfolgt. Ich kann mich jedenfalls nicht daran erinnern, dass gegen einen Mandanten wegen so was ein Bußgeld verhängt worden wäre. Und ich habe viele, die außer vielleicht ihrem Namen und ihrer Adresse (meist ja sowieso bekannt) nichts sagen.
@14: In DE m.E. nicht. Nur aus Ami-Filmen kennt man die "Behinderung der Strafverfolgung".
Allerdings könnte auf die der Verdacht der Verdunkelungsgefahr aufkommen, da du Beweise vernichtest. Aber huch. Der Stick ist ja kein Beweis, nur ein Schlüssel zum Beweis. hehe. Aber so weit denken die notfalls nicht und du bist ersteinmal verhaftet.
Aber grundsätzlich schon eine gute Idee, den Schlüssel auf einem externen Medium zu haben.
@16 U.V.
Nun, ich wurde mal nach "Ehrenämtern" gefragt und auf Nachfrage, ob ich diese nennen müsste, wurde mir eindeutig ein "Ja" gesagt. Aber sicher hat die Protokollbeamtin dies "überhört".
'n bisschen blöd haben die geguckt, als ich wahrheitsgemäß "keine" antwortete.
Nun ja, Lügen ist vielleicht der Hauptjob von Polizisten. Bestätigt sich für mich immer mehr.
Den Beruf muss man auch angeben? Oha. Auch den kompletten Namen? Das wäre bei meinem Großvater (Gott hab ihn selig) interessant gewesen. 16 Vornamen, 3 Ausbildungsberufe + 1 ausgeübten Beruf. Danach st die Schicht der Beamten bestimmt vorbei…
Ich sichere meinen PC normal. Nach dem die Überwachung nun langsam dem Ende nah kommt werde ich mir auch mal was anderes überlegen – Verschlüsseln, Verschlüsseln, Verschlüsseln und was man sonst noch machen kann.
Aber ich hatte gestern erst die Polizei bei mir, die wollten dann doch nur den Ausweis. Hintergrund war ein Vertreter – tätliche Angriffe und Co. Mein Vater hat auch körperliche Verletzungen davon getragen und war wenig später beim Arzt. Eben dieser Arzt hatte am Vormittag auch schon Patienten um Verletzungen nach einer Körperverletzung zu behandeln – als Täter wurde eben dieser Vertreter angegeben. Für einen einzelnen Vertreter von Morgens bis frühen Mittag eine erstaunliche Leistung…
§ 111 Ordnungswidrigkeitengesetz Falsche Namensangabe
(1) Ordnungswidrig handelt, wer einer zuständigen Behörde, einem zuständigen Amtsträger oder einem zuständigen Soldaten der Bundeswehr über seinen Vor-, Familien- oder Geburtsnamen, den Ort oder Tag seiner Geburt, seinen Familienstand, seinen Beruf, seinen Wohnort, seine Wohnung oder seine Staatsangehörigkeit eine unrichtige Angabe macht oder die Angabe verweigert.
(2) Ordnungswidrig handelt auch der Täter, der fahrlässig nicht erkennt, daß die Behörde, der Amtsträger oder der Soldat zuständig ist.
(3) Die Ordnungswidrigkeit kann, wenn die Handlung nicht nach anderen Vorschriften geahndet werden kann, in den Fällen des Absatzes 1 mit einer Geldbuße bis zu eintausend Euro, in den Fällen des Absatzes 2 mit einer Geldbuße bis zu fünfhundert Euro geahndet werden.
http://bundesrecht.juris.de/owig_1968/__111.html
Ist z.B. eine Fahrkartenkontrolle der Straßenbahn auch eine "zuständige Behörde"?
Oha. Der Rufname ist also nicht ausreichend?
Na hoffentlich liest das Finanzamt nicht mit…
@21 (Glammy)
Straßenbahnen werden heutzutage von Unternehmen betrieben. Unternehmen sind natürlich keine Behörde.
Herr Vetter, vielen Dank für die Beantwortung meiner Frage.
Nochmal zurück zum Thema:
Für ein bisschen mehr Geld gibt es aus diesem Grund auch Fingerabdruckscanner mit Lebenderkennung, die sich nicht so einfach überlisten lassen. Da wird nämlich noch der Puls des Fingerabdrucks abgetastet.
Sonst würde ein abgeschnittener Finger ja schon reichen. Um das zu verhindern eben von vorneherein die Pulserkennung…
Nochmal zum Thema, ob Fingerabdruckscanner eine Kopie schlucken:
Man muss davon ausgehen, dass dem so ist.
Neuere Notebooks (Thinkpad 60er-Reihe zum Beispiel) haben zwar alle möglichen Abwehrmechanismen drin (Kapazitätssensor, Temperatur IIRC), wurden aber schon geknackt:
blog.koehntopp.de/archive...ie-ist-sicher….html
Nachtrag:
Konkret werden da Temperatur, RR und elektrodermale Aktivität genannt. Die ersten beiden lassen sich einfach austricksen, indem auf _seinen_ Finger ein Silikonpositiv vom Finger des Opfers aufbringt.
Der Widerstand sollte sich dann zwar massiv ändern, scheint aber trotzdem zu gehen.
Noch ne Anekdote:
In Malaysia wurde einem S-Klasse-Fahrer nicht nur das Auto geklaut, sondern auch der Arm abgehackt, weil die Karre per Fingerabdruck geschützt war…
Interessantes Thema!
Nun stellt sich mir die Frage:
Bin ich verpflichtet, das Passwort für verschlüsselte .dmg/.zip usw Dateien gegenüber Ermittlungsbehörden preiszugeben?
Und wenn ich es vergessen habe? Droht mir Beugehaft?
nemo tenetur se ipsum accusare
siehe lawblog.de/index.php/arch...07/25/rechner-bleiben-da/ (Kommentat #31)
im UK sieht das ja angeblich anders aus.
@28 (stefan),
m.W. ist man verpflichtet dies zu nennen. Aber leider bin ich unter Druck sehr vergesslich, so das ich das gegenüber den Ermittlungsbeamten wohl vergessen würde. :-)
PS: Mit Absicht würde ich das natürlich nie machen.
PPS: Bin aber kein Jurist.
PS: Und wenn man es vergessen hat – Pech!
@25: Zur Sicherheit würde ich Dir aber empfehlen verloren gegangene Finger unverzüglich im System zu sperren.
@32 (Martin),
Problem: Wenn man auch den letzten Finger verloren hat kann man nicht mehr tippen und den Fingerabdruck sperren.
@4. Max
Sorry, aber das, was die heutigen Programme mit Fingerabdrücken machen, ist alles andere, als verschlüsseln. Der Fingerabdruck wird hier nicht als Schlüssel benutzt, sondern als Identifikationsmerkmal!!! Und das ist ein großer Unterschied!
Die Systeme funktionieren alle nach dem Pattern Matching Prinzip. Du hast eine Datenbank mit Mustern und der Input wird gegen die Datenbank verglichen. Da der Fingerabdruck optisch eingelesen wird, kann es immer wieder zu kleineren Abweichungen kommen. Deshalb eignet sich der Fingerabdruck auch nicht als Schlüssel.
Und nochmal zum Thema Sicherheit und Technik:
Ja, viele Notebooks haben heute einen Fingerprint Leser schon eingebaut. Ja, man kann mit dem Fingerprint die Festplatte schützen. Aber die Betonung liegt dabei auf >> schützen
@29:
> nemo tenetur se ipsum accusare
> im UK sieht das ja angeblich anders aus.
Weiß da eigentlich jemand genaueres? Ich hatte mal was[1] dazu geblogt, aber leider keine weiteren Infos erhalten.
[1] blog.stephan.manske-net.d...n-…-oder-auch-nicht!.html
Wie wär's mit einem Zehenabdruck? Da kommt so schnell keiner drauf…
Grundsätzlich ist es so das man als Beschuldigter nur Angaben zu meinen Personalien machen muß. Ein Passwort muß man nicht verraten. Folglich muß ich auch nicht verraten das der USB Stick mit der Schlüsseldatei grad per Rohrpost ans Klärwerk geht. Wie soll die Polizei, außer durch meine Aussage, auch rausfinden das es so ist… wobei, wenn unser Innenminister so weitermacht, gibts wohl auch bald Vorratsspeicherung der bundesdeutschen Exkremente…
@ 20 (U.V.)
Wenn man das so liest, kann man sich eigentlich beim Gesetzgeber noch bedanken, dass er bei der Gefangenenbefreiung, § 120 StGB, auf eine eigenständige Strafbarkeit auch des Befreiten verzichtet hat – eine solche wäre ja denkbar.
Unternehmen sind keine Behörden?
Im Prinzip ja, es sei denn, das Unternehmen ist Teil der Musikindustrie. Dann dürfen die bald auch, was bisher nur der Staatsanwalt darf.
@27
die Rechtslage in Malaysia kenn*' ich nicht, aber in USA würde ich denn Autohersteller verklagen, – Produkthaftung?.
@39 (evilboy @ 23)
Aber sie dürfen nicht ALLES was der Staatsanwalt darf.
Aber frei nach Wolfgang-Ich-bin-anständig: Man weiß nie wie lange solche Versprechungen gelten. Immerhin werden ja auch Kreditkartenunternehmen mit Rasterfahndungen beauftragt…
Wann ist denn eigentlich ein Bundeswehrheini zuständig, mich nach meinen Personalien zu fragen? Doch wohl hoffentlich nur, wenn ich auf militärisches Sicherheitsgelände vorgedrungen bin? Ehe ich einem feldgrauen Kasper Rede und Antwort stehen muss, würde ich nämlich wirklich lieber ein Bußgeld bezahlen.
1. Ob Ihr die Bereicht oder den kompletten PC verschlüsselt, ist doch total egal. Rein kommt die Polizei immer. Also würde das Herausgeben des Passwortes lediglich das Verfahren leicht beschleunigen… Und wegen einiger mp3's wird doch noch kein Rechner weggenommen. Nur, wenn man den Kram veröffentlicht und es anderen in großem Umfang weitergibt. Sonst interessiert das die Klofrau…
2. Bundeswehrheinis dürfen nur auf Bundeswehrgelände kontrollieren. Oder bei bürgerkriegsähnlichen Zuständen…
"Und wegen einiger mp3’s wird doch noch kein Rechner weggenommen."
Es finden wegen der (mitunter nur behaupteten) Verbreitung von mp3 Hausdurchsuchungen statt und da wird auch der ein oder andere Rechner (und sei es nur vorläufig) mitgenommen.