OneDrive: Hausdurchsuchung bei deutschem Nutzer aufgrund eines fragwürdigen Bildes

Wieder einmal eine Geschichte, die ich in ähnlicher Form schon zwei- oder dreimal hörte. Stellt euch vor, es klopft am Morgen an die Tür, davor die Polizei, die erst einmal komplett eure Hardware konfisziert. Passiert ist dies einem deutschen Nutzer von Microsofts Cloudspeicher OneDrive, ehemals SkyDrive.

onedrive

Warum das Ganze, das erklärt Udo Vetter in seinem Law Blog. Sein Mandant ist einer, der offenbar zur Gattung Jäger und Sammler gehört. Hier und da wird Material gesammelt, darunter wohl auch Pornographie. Diese wurde – wahrscheinlich zum Eigenkonsum – bei Microsoft OneDrive gespeichert.

Microsoft und Google nutzen bekanntlich Technologien, um diverse Bilder zu erkennen. So werden Bilder gescannt, etwaige Kinderpornographie für gewöhnlich gesperrt und gemeldet. Udo Vetter teilt nicht genau mit, um welche Inhalte es sich bei seinem Mandanten handelt, ob das Sicherstellen der Computer gerechtfertigt ist – oder nicht:

„Ein einziges, fragwürdiges Bild unter etlichen tausend unbedenklicher Aufnahmen führte zur Meldung an das US-amerikanische Center for Missing & Exploited Children. Über die amerikanische Polizei wurde das Bundeskriminalamt in Wiesbaden informiert.“

Es ruft Bekanntes mal wieder ab: Microsoft – und wahrscheinlich andere auch – scannen nicht nur öffentlich zugängliche Dateien, sondern auch die in eurer privaten Wolke. Automatisiert, nach Hash-Werten, die ein Bild so  bietet. Eine Foto-DNA quasi.

Bleibt für jeden die Suche nach den Antworten: wie verfährt Microsoft da? Werden nur Ergebnisse des automatisierten Scans mitgeteilt? Schaut da noch eine Instanz manuell vor der Meldung an die Behörden drüber? Gibt es False Positives, also beispielsweise beanstandete Dateien, die aber nur eure Kiddies am Strand beim Toben zeigen etc.? Was bleibt, ist die Erkenntnis: man muss wohl Dateien jeglicher Art verschlüsseln, wenn diese in der Cloud lagern – oder diese Inhalte auf deutschen Mailservern lagern (Achtung, letzter Teil ist ausdrücklich nicht ernst gemeint!). (danke für den Hinweis an Raeblein!)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

39 Kommentare

  1. Wie immer: Man lässt seine Daten/Bilder/Dateien/Information am besten bei sich!

    Cloud = Klaut (die Geheimdienste)

  2. Am Besten wieder die gute alte Kamera oder ein Handy ohne Internetzugriff nehmen, Sache erledigt. Ansonsten ist es mir relative egal ob sich einer die Bilder von meinem Hund anguckt, die werden eh veröffentlicht.
    Aber ansonsten sollte es nicht mit unseren Gesetzen vereinbar sein, eine Durchsuchung ohne Verdacht, sorry bei den Amis ist wohl jeder verdächtigt 🙂

  3. Das Problem ist hierbei die Verhältnismäßigkeit: Die Polizei (und mittlerweile auch die Gerichte) gehen davon aus, dass ein einzelnes, fragwürdiges Bild – es muss sich nicht einmal explizit um Kinderpornografie handeln – bereits ausreicht, den Verdacht zu begründen, dass der vermeintliche Inhaber dieses Bildes auch über quantitativ wie qualitativ „schärferes“ Material verfügt, was eine Hausdurchsuchung rechtfertigt.

    Dabei ist natürlich generell nicht einmal klar, ob der Inhaber des OneDrive-Accounts überhaupt auch der ist, bei dem später durchsucht wird. Es könnte sich jemand mit falschen Adressdaten angemeldet haben, eine Handy-Nr. angegeben haben, die er später verkauft und der neue Eigentümer auf seine Anschrift umgemeldet hat. Und wer weiß, wie so eine Durchsuchung abläuft, der will das auf keinen Fall erleben – jedes Blatt Papier wird in der Wohnung umgedreht – irgendwo könnte sich ja noch ein USB-Stick versteckt haben. Jedes Speichermedium wird dann meist mitgenommen, egal ob Festplattenrecorder, Smartphone oder iPod.

    Ich halte dies für ziemlich unverhältnismäßig, wenn man ein einzelnes Bild auf Servern irgendwo in der Welt ausreichen lässt, um eine so grundrechtsintensive Maßnahme durchzuführen.

  4. sehe ich genau wie strafakte. man sucht nach dem einen sandkorn, für das man ein digitales leben eines nutzers beschlagnahmen kann. wir alle sind gegen solche schlimmen dinge, die ja unsere regierung versucht zu bekämpfen, aber so etwas ist wirklich unverhältnismäßig!

    man muss echt den kopf schütteln, wenn man sich überlegt, dass microsoft die waren, die eine ganze werbekampagne gestartet haben, wo sie sich darüber lustig machen, dass man bei google ja in die privaten dokumente reingucken würde. so etwas ginge ja garnicht. gut ich glaub dabei gings um email, aber trotzdem pfui microsoft!

  5. Dann hoffe ich mal, dass keines der entführten Kinder meinem Sohn ähnelt. Denn zum Teilen von Urlaubsfotos nutze ich gelegentlich auch gerne die Cloud (DropBox). Wobei man aber doch eigentlich davon ausgehen müsste, dass bei heuristischen Verdachtsfällen noch ein Mensch in letzter Instanz drüber schaut, bevor ein teurer Polizeieinsatz veranlasst wird.

  6. dass bei heuristischen Verdachtsfällen noch ein Mensch in letzter Instanz drüber schaut, bevor ein teurer Polizeieinsatz veranlasst wird.

    Ja, die Durchsuchung muss grundsätzlich von einem Richter angeordnet werden, was in der Praxis allerdings meist nicht die erhoffte „letzte Instanz“ ist, sondern eher ein Massenverfahren, wo der Antrag oft leichtfertig durchgewunken wird.

    Wegen eventuell entführter Kinder braucht man sich (zunächst) keine Sorgen machen, da wie Carsten oben schrieb, kein Verfahren zur Gesichtserkennung benutzt wird, sondern lediglich der „Fingerprint“ von bereits bekannten kinderpornografischen Dateien oder was man im Einzelfall dafür hält (siehe Fall Edathy).

  7. Edward Snowden hat Recht!
    Verschlüsseln!
    oder Spideroak nehmen

  8. DanielJackson85 says:

    Nun ja, man mag davon halten was man will, aber in den AGBs steht bei OneDrive ausdrücklich man darf „keinen pornografischen Inhalt“ hochladen. Demnach ist er selbst Schuld! Klar ist es fragwürdig und gibt einen zu denken wo pornografisch anfängt(urlaubsbilder) oder ähnliches, fakt ist aber auch, wer sich daran hält dem „passiert nix“ und wer verbotenes macht bekommt die Retourkutsche seiner Taten.
    Ja ich nutze auch OneDrive und hab den automatischen upload deaktiviert und filtere zuerst bevor ich hochlade, das was da liegt kann jeder sehen, hat den Vorteil das man alles immer dabei hat,sichere Sachen speichere ich nur daheim auf ner externen die bei Bedarf angeschlossen wird und danach wieder entfernt wird.
    Man mag meine Sichtweise verstehen oder verurteilen, das kann jeder halten wie der Dachdecker 😉

  9. „Verhältnismäßigkeit“ ist ein gutes Wort…

    In diesem Fall war Anstaß der ganzen Aktion ein einzelnes Bild – sicherlich mal wieder „Kanonen auf Spatzen geschossen“, wenn man dafür das komplette Polizeiaufgebot, die richterliche Anordnung, die Konfiszierung aller Geräte etc. betrachtet – jeder ist empört und schreit nach „privacy“ und Verschlüsselung (ja, zu Recht).

    Hätte man nun bei diesem Mann in seinem Keller auf Grund dieses Hinweises eine komplette Kinderpronographie-Sammlung, die auch nur Teil eines komplettes Kinderporno-Ringes inkl. Vertriebskanälen etc. ist, aufgedeckt, dann würde alle jubeln und die ganze Aktion als beispiellos gelungen bezeichnen… „privacy“ und Verschlüsselung, ja klar, aber nicht bei Straftätern und Terroristen…

    Ich tue mich langsam aber sicher schwer mit diesem Dualismus der Auslegung, was gut oder schlecht ist, wo Privatsphäre anfängt oder aufhört, wo Verschlüsselung Sinn macht oder nicht…

  10. Und wie ging die Story aus? War er schuldig?
    War es denn ein false positive oder Kinderpornografie?

  11. Verhältnismäßigkeit ist hier nicht gegeben und der Richter hat wohl sogar Hühneraugen zu gehabt.

  12. was nutzt ihr denn zur Verschlüsselung in der Cloud? Möchte ungern auf Truecrypt container setzen, da ich mir über die Sicherheit der Software unsicher bin.

  13. Wolfgang D. says:

    Als nächstes bekommt man Besuch vom SEK, weil Fotos von vermummten Bärtigen in der Klaut liegen. Geil, es wird wirklich so, wie schon vor Jahren gedacht. Alles, was man von die weiss, kann und wird gegen dich verwendet.

  14. @Frank: Ich verschlüssel meine Daten für OneDrive mit Boxcryptor (https://www.boxcryptor.com/de). Gefällt mir auch gut. In der kostenlos Version allerdings nur für einen Cloud-Speicher nutzbar.

  15. Ach nur ein fragwürdiges Bild, dann gehts ja. Ich gehe davon aus, dass der Richter erst nach Sichtung des Bildes die HD veranlasst hat.

  16. Was auch immer das für ein Bild gewesen sein soll. Klar ist, dass M$ seine Tore weit geöffnet hat, so wie alle anderen auch. Nach alle dem was man die letzten Monate so zum Thema lesen durfte ist meine Toleranz (nach dem Motto: Man hat ja eh nichts zu verbergen) erschöpft. Habe nun nach diesem Beitrag alle meine Daten von sämtlichen Online Clouds gelöscht. Selbst da bin ich mir sicher, dass diese gelöschten Dateien immer noch irgendwo als Backup bei denen herumfliegen. Das Vertrauen ist nun von 20% auf 0% geschmolzen. Stampft den ganzen Cloud-Sch**** am Besten doch einfach ein. Früher ging es ja auch ohne.

  17. michael_cgn says:

    die können noch nicht Mal einen Terroranschlag verhindern, aber hier wird agiert.
    Klingt wie Bußgelder für Falschparken vergeben, während nebenan der Supermarkt überfallen wird.
    Willkommen 1984

  18. Eike Justus says:

    @Holgi
    Willkommen im Klub! Ich habe damit aber erst gar nicht angefangen, weil ja meine Daten nicht „in den Wolken“ gespeichert würden, sondern auf einem Server, der niemals unter meiner Kontrolle sein konnte. Wenn was mit blumigen Begriffen und kostenlos angeboten wird, dann gehen bei mir die Alarmlampen an.
    Aus dem selben Grund nehme ich nicht Teil an den „sozialen“ Netzwerken und benutze überwiegend nur Festnetztelefon. Und komisch – ich habe trotzdem gute Freunde und bin in der Lage, meinen Alltag zu bewältigen.

  19. @holgi und Eike

    Ist doch auch nur ein Trugschluss, dass Festnetztelefon oder lokale HDDs sicherer wären. Ich verzichtet, aus meiner Sicht, auf Komfort und seid genauso „unsicher“.

  20. Wolfgang D. says:

    @j0hn
    Wenn der entsprechende Nutzer seine Daten zuhause lagert, passiert genau nichts. Weil da auch nichts gescannt wird. Außer wenn ein konkreter Verdacht besteht, dann bekommste Besuch. Unterschied verstanden?

  21. Also mir geben da mehrere Sachen zu denken. Würde es sich um eine Urlaubsaufnahme handeln, dann wären da hunderte Fälle bekannt, bei denen der Filter versagt. Auch würde kein deutscher Richter eine Hausdruchsuchung auf Grund eines Dateinamens genehmigen (Mehr kann es ja nicht sein, wenn das Bild nicht manuell gesichtet worden wäre). Und der Anwalt wäre sicher direkt auf die Fehlfunktion eingegangen und hätte sich darüber echauffiert. Von daher deutet das doch alles auf einen berechtigten Fall hin. Und wenn sich das dann wirklich bewahrheitet, dann war alles gut so, wie es gelaufen ist. Auch wenn es nur „1 Bild“ ist. Gegen diesen Abschaum muss mit aller Härte vorgegangen werden.

  22. Nur 1 Bild?
    Verhältnismäßigkeit?

    1. Stell dir mal vor auf diesem einen Bild wäre deine entführte Tochter…
    Und wenn es nicht deine ist, frag doch mal ihre Mutter, was sie darüber denkt.

    2. Meint ihr wirklich, jemand der sich (offenbar absichtlich) e i n kinderpornografisches
    Bild in seinen „privaten“ Speicher ablegt, hat auch nur das e i n e…?

  23. @Wolfgang D.

    Genau diese trügerische Sicherheit meine ich. Danke für dieses Beispiel.

  24. Name (erforderlich) says:

    Pauschal und kurz gedacht könnte man sagen „selber schuld“. Aber, stell dir vor, du mietest ein Schließfach (beider Bank etc.)und lagerst dort div. Dinge. Der Vermieter würde ohne jeglichen Anfangsverdacht oder gar einen richterlichen Beschluss dieses Schließfach durchsuchen und im verdächtiges Material der Polizei melden. Jeder würde sagen, das geht doch nicht.
    So und jetzt möchte mir mal jemand den Unterschied zwischen einem Schließfach und einer Cloud erklären.

  25. Wolfgang D. says:

    Das Schließfach ist eben nicht weltweit leicht erreichbar. Das ist zu aufwändig für die Büttel – und Kriminelle.

    Für das Internet selber wird dagegen mit diversen Totschlagargumenten wie Mißbrauch oder Terrorismus die Totalüberwachung eingeführt, weil der brave Bürger doch nichts zu verbergen hat. Glaubt er. Aber jeder hat Leichen im Keller.

  26. In Fielen fällen bedeutet komplette Rechner und it-infrastruktur Konfiszierung (die haben mit sicherheit auch alle router und alles was cpu/speicher hat Konfisziert) zuhause einen Finanziellen bankrott für den Betroffenen.

    Ich denke mal alle Eltern haben ihre kinder Fotografiert. Von mir und meine Schwester haben unsere Eltern und Großeltern mehr als 10.000 Fotos gemacht, als wir noch klein waren und in den windeln steckten. Die haben sogar Videos !!! gemacht von unseren ersten geh versuchen oder als wir zum ersten mal „Mama“, „Papa“ gesagt haben. Wow, das reicht es schon für eine Todesstrafe oder?

    BTW,
    ich prophezeie mal, das in den nächsten ~20Jahre local daten speicher per gesetzt verboten wird. Wegen Terror Gefahr, Kinderpornografie und möglichen Rechtsschutz Verletzungen.

  27. Ich sehe durchaus auch die Gefahr, und es muss definitiv sichergestellt werden, dass solche Maßnahmen nicht leichtfertig angeordnet werden, was leider in der Vergangenheit schon mehrmals der Fall war. Dann stellt sich zwar relativ schnell die Unschuld des Beschuldigten heraus, aber dass der soziale Ruf auf Lebenszeit unwiederbringlich von einer Person zerstört ist sobald auch nur der leiseste Verdacht in Richtung „da war was mit Kinderpornografie bei dem“ ist nun einmal ein Fakt. Leider auch in Fällen in der Vergangenheit, die erwiesenermaßen unschuldig waren. Bei dem Thema scheint bei manchen jegliche Logik und der gesunde Menschenverstand auszusetzen.

    In diesem konkreten hier beschriebenen Fall liest sich das Ganze aber auch sehr merkwürdig für mich. Würde es sich bei diesem einen Foto nämlich tatsächlich um ein harmloses/legales Foto handeln, hätte der Anwalt diese Karte sicherlich gespielt und würde nicht so darum herum reden.

  28. @Strafakte.de „Es könnte sich jemand mit falschen Adressdaten angemeldet haben, eine Handy-Nr. angegeben haben, die er später verkauft und der neue Eigentümer auf seine Anschrift umgemeldet hat.“ Meinst du nicht, dass die IP Adresse ermittelt wurde? 😉 Ich habe meine Adressdaten auch nicht bei Microsoft angeben müssen.

  29. Warum verschlüsselt Microsoft keine Uploads?
    – Bei Kinderpornos oder ähnlichem, klar, da sollte reagiert werden. Meine Freundin hat gerade Hautprobleme auf dem Rücken, sieht aus als ob sie ausgepeitscht wurde….
    Interessant was Hashes verraten…

  30. Sorry Leute, aber hier gehen die meisten Kommentare meines Erachtens voll in die falsche Richtung. Die Kritik des Artikels bezieht sich doch darauf, dass Microsoft offensichtlich etwas tut, was sich nicht gehört, verboten und sowieso böse ist und nicht um die vom BKA durchgeführte Hausdurchsuchung. Oder gar die Verhältnismäßigkeit der Aktion…
    Die von Cashy formulierte Kritik – wenn ich sie denn richtig verstanden habe – ist doch mit verlaub gesagt – sorry Cashy – völliger Quark. Obwohl ich deine Artikel sonst gut finde, liegt dieser meines Erachtens voll daneben und ist Kritk am Falschen. Microsoft tut das, was jeder, der OneDrive nutzt, erlaubt. Microsoft sichtet die Inhalte und darf diese auch weltweit nutzen. Denn ihr erlaubt das durch die Bestätigung der ABGs. Also warum regt ihr euch auf, wenn Microsoft das auch macht. (Macht jeder andere Anbieter übrigens auch). Zudem steht in den AGBs unter 3.5 iv das unter anderem folgendes nicht !!!!! erlaubt ist, wenn man OneDrive nutzt: „Veröffentlichen Sie keine unangebrachten Bilder (z. B. Nacktheit, Brutalität, Pornografie).“ Zudem sind solche Fälle ja keine Einzelfälle, die gab es schon öfters.
    Das Verschlüsseln der Daten, Dateien, Bilder in der Cloud würde natürlich helfen, macht es aber auch wieder umständlich, wenn man die Sachen teilen will.

  31. OneDrive ist von Microsoft. Und Microsoft ist so so ziemlich die oberkeuschste Bude im super-keuschen Amerika (frage mich wie die Kinder machen).
    Auf alle Fälle wollte ich für meine Gattin einen Hotmail-Acct anlegen. Aber schon beim Vornamen war schluss … man solle sich bitte an allg. Regeln halten und keinerlei unanständige Wörter verwenden. Vorname? Unanständig?
    Es machte Klick: Der offizielle Vorname meiner Gattin ist Jiraporn – absolut gängiger Vorname in ihrem Heimatland.
    Es war genau dieses PORN im Vornamen, das die Sittenpolizei von Microsoft auf den Plan rief. Lächerlich – und das im Land mit der grössten Pornoindustrie.
    Daher wundert es mich nicht, dass hier OneDrive im Spiel ist, denn MS ist wohl Weltmeister im Scannen und Verpetzen von Kunden. Ich finde es sehr bemühend.

  32. Wie kann man nur SpiderOak empfehlen? Microsoft sagt auch immer: Privatsphäre ftw… am Arsch.
    Wenn man etwas will, muss man sich selbst drum kümmern, sprich TrueCrypt (o.ä.) nutzen. Ich selbst nutze BoxCryptor, es ist ein sehr guter Kompromiss aus Sicherheit (Truecrypt) und Bequemlichkeit (optimiert für Clouds + verschlüsseltes Sharing). Der aber vertragbar ist, da Secomba GmbH (Entwickler von BoxCryptor) ein deutsches Unternehmen ist und somit wesentlich vertrauenswürdiger als amerikanische Unternehmen ist – zumindest für mich.
    Außerdem besteht weiterhin die Möglichkeit, hoch brisante Daten in ein TrueCrypt-Volumen zu stecken und dieses via BoxCryptor zu syncen – zusätzlich!

  33. ok, jetzt noch mal die Frage für die Langsamen wie mich……
    Microsoft ist keusch….. ok, hab es gelesen… wie weiß man wirklich was man heraus bläst… auch beim iPhone.. z. B.. ??

  34. Friede sei mit uns – je suis Charlie

  35. @Baileys: Kritik von mir? WO?

  36. @Sascha: Ich weiß es nicht, aber es gibt bestimmt genug Leute, die sich mit vollständiger Adresse und Handy-Nr. bei MS anmelden.

  37. DanielJackson85 says:

    @strafakte.de
    klar, ich zum beispiel, warum weil ich neben meiner One, win8 Tablet wie Notebook auch noch 2 Windows Phones (930 und 920), eine Office 13 Lizenz und ein Xbox Live Pass auf meinem Account habe und nebenbei meine Musik per Xbox Music Pass streame. Da ich ALLES im 100% legalen Rahmen nutze und sie meine adresse wie nummer eh auswerten könnten, hab ich es gleich alles angegeben. warum auch nicht?

    zum Thema, autoupload deaktivieren und manuell uploaden (da sieht und weiß man was man hochlädt) und „schützt“ sich in gewisser weise vor oben genannten problemen. Und wer nur macht was man darf der lebt „nahezu“ ungefährlich und kommt mit dem Gesetz nur seltenst in Kontakt.

  38. @DanielJackson85 – wie naiv kann man denn sein??? … Und alle Politiker wollen nur das beste für dich, weil du so brav deine Steuer zahlst… Echt hart! Bin sprachlos…

  39. 2 Anmerkungen:

    1. hier wird mitunter davon gesprochen, dass es lediglich eine Datei wäre. Wie viele Kinderpornos (oder solche Bilder) müsste jemand denn haben, damit es euch etwas ausmacht? 1 missbrauchtes Kind ist ok? 2 sind doof und bei 3 wird es gemein? Spielt doch im Endeffekt keine Rolle, ob es „nur 1 Bild“ war. Viel wichtiger ist doch, ob besagtes Bild tatsächlich ein Treffer war und strafrechtlich relevant.

    2. Mitnichten ist bzw war es so, dass MS in diesem Fall den Speicher gescannt und ein solches Bild anhand des Inhalts erkannt hat (wird vermutlich auch gemacht – war hier aber nicht ausschlaggebend). Vielmehr ist es so, dass für Bilder eine Art Fingerabdruck oder DNA erstellt wird, der sich auch dann nicht ändert, wenn das Bild etwas verändert wird. Von bekannten Bildern zu bspw Kinderpornografie wird dann eine Liste von den Behörden erstellt. Google, Microsoft, Facebook, etc vergleichen dann die „DNA“ der gespeicherten Bilder mit eben jener Liste. In oben genannten Fall gab es einen Treffer und der Rest war Routine.

    Auf deutschen Autobahnen wird doch seit Jahren jedes Nummernschild gescannt und mit einer Datenbank verglichen (Straftat, gestohlenes Fahrzeug, etc). Da sagt ja auch niemand was, wenn er die A3 entlang fährt und dabei komplett überwacht wird. Oder war es da auch nur „ein geklautes Auto unter tausenden legaler Fahrzeuge“?

    😉

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.