Im August durchsuchte die baden-württembergische Polizei die Wohnungen von fünf Personen. Sie sollen angeblich ein Archiv auf linksunten.indymedia.org betreiben und eine verbotene Vereinigung weiterführen. Ein Betroffener berichtet nun von den Versuchen der Ermittelnden, beschlagnahmte Geräte auszuwerten.

Am 2. August 2023 weckte mich das Geräusch meiner zersplitternden Wohnungstür. Sechs Jahre nach dem Verbot von linksunten.indymedia.org war die Polizei dieses Mal auf der Suche nach den Betreiber:innen des Archivs der linksradikalen Nachrichtenplattform. Wir Verdächtigen hätten uns „wegen der Aufrechterhaltung des organisatorischen Zusammenhalts dieser verbotenen Vereinigung strafbar gemacht“.

Beschlagnahmt wurden bei mir und vier weiteren Freiburger Linken rund 180 Asservate – etwa Computer, Handys, Tablets und Speichermedien. Darunter befand sich auch ein MacBook Pro mit Apple Silicon-Chip, das im ausgeschalteten Zustand mitgenommen wurde. Die nachfolgenden Versuche, auf dieses Gerät zuzugreifen, demonstrieren, welche Probleme die Polizei offenbar im Umgang mit aktueller Verschlüsselungstechnik hat.

Selbst im angeschalteten Zustand wäre das MacBook durch den Blockierungsmodus geschützt gewesen. Dieser spezielle Modus verhindert unter anderem, dass sich der Computer mit anderen Geräten verbindet, solange er nicht entsperrt ist. Obendrein aber waren die Daten sogar durch Apples Festplattenverschlüsselung gesichert.

Da der Mac nicht per Apple-ID entsperrt werden konnte und ich mir aus gutem Grund auch den Wiederherstellungsschlüssel nicht gemerkt hatte, gab es außer mit dem Passwort keine Möglichkeit, die Daten zu entsperren. Die Polizei bekam aber keine Antwort auf ihre Frage nach den Passwörtern und es klebte kein sprichwörtliches gelbes Post-It unter der Tastatur, was jedoch geflissentlich überprüft wurde.

Ausbau der Festplatte zerstört das Gerät

Einige Tage nach der Durchsuchung fragte das Stuttgarter Landeskriminalamt erneut nach Passwörtern, da sie die Daten von rund 40 der beschlagnahmten Asservate nicht einmal kopieren konnten, darunter auch die des MacBooks. Sollten wir uns weigern, die Passwörter herauszugeben, drohte das LKA mit Kontaktaufnahme zu unseren Arbeitgeber:innen. Am nächsten Tag wurde einem ebenfalls beschuldigten Kollegen und mir gekündigt, wir waren beide in der Probezeit. Ob die Polizei sich dieses Mal tatsächlich bei unseren Arbeitsstellen gemeldet hat, wissen wir nicht. Vor sechs Jahren hat sie es jedenfalls getan.

Das LKA drohte damit, die Geräte, deren Daten sie nicht kopieren konnten, zu zerstören. Nicht als Rachemaßnahme, sondern weil die Zerstörung eine unvermeidliche Folge des Ausbaus der internen SSD-Festplatte ist. Denn die Polizei wollte unbedingt eine Kopie der Daten, um diese anschließend per Brute Force zu entschlüsseln. Doch damit wären die Ermittelnden keinen Schritt weiter gekommen, sie hätten lediglich das sündhaft teure Gerät für immer unbrauchbar gemacht.

Um die Zerstörung zu verhindern, schickte mein Anwalt der Karlsruher Staatsanwaltschaft einen Link zu einer Apple-Support-Seite, die Informationen zu FileVault enthält, wie Apple seine Festplattenverschlüsselung nennt. Dort konnte der ermittelnde Staatsanwalt sich über Folgendes informieren:

„Ohne gültige Anmeldeinformationen oder einen kryptografischen Wiederherstellungsschlüssel bleibt das interne APFS-Volume verschlüsselt und vor unbefugtem Zugriff geschützt, selbst wenn das physische Speichergerät entfernt und an einen anderen Computer angeschlossen wird.“

Auf einer weiteren Hilfeseite wurde ihm die Funktionsweise von Secure Enclave erklärt, einem vom restlichen System isolierten Koprozessor für Verschlüsselungsaufgaben:

Dies bewirkt, dass nicht auf die Dateien zugegriffen werden kann, wenn die Speicherchips physisch von einem Gerät in ein anderes verschoben werden.

Mit der Realität konfrontiert, musste das baden-württembergische LKA eingestehen, dass die Zerstörungspläne im Fall des MacBooks mit Sicherheit erfolglos bleiben würden. Somit stellte der Ausbau der SSD keine Ermittlungsmaßnahme dar, denn eine solche muss wenigstens eine minimale Aussicht auf Erfolg haben. Daraufhin wurde der Mac verschlüsselt und unkopiert Ende September herausgegeben.

Alle anderen Computer und Datenträger lagern weiterhin beim LKA. Bereits im Zuge des Vereinsverbots 2017 hatten die Behörden zahlreiche Computer und Speichermedien beschlagnahmt. Entschlüsselt wurde davon kein einziges. Die damaligen Ermittlungen wegen angeblicher „Bildung einer kriminellen Vereinigung“ waren eingestellt worden.

* Name geändert

Der SWR berichtet hier über das Thema. [kopie unten]

[SWR] Probleme bei Ermittlungen: Verbotene linksradikale Website weiter online

Das Kollektiv „Indymedia linksunten“ wurde 2017 verboten, genau wie deren Website. Eine Archiv-Version von dieser ist aber weiter online – und bleibt das wohl vorerst auch.

Die Staatsanwaltschaft Karlsruhe hat offenbar technische Probleme bei den Ermittlungen gegen mutmaßliche Betreiber einer antifaschistischen Website. Sie wirft fünf Personen aus Freiburg vor, ein Archiv der Internetseite online gestellt zu haben. Einen beschlagnahmten Laptop konnte sie aber nicht entschlüsseln.

Ursprüngliche Website schon seit 2017 vom Netz genommen

2017 hatte der damalige Bundesinnenminister Thomas de Maizière (CDU) die angebliche Vereinigung „Indymedia linksunten“ verboten und deren Website vom Netz nehmen lassen. Sie sei die „einflussreichste Internetplattform gewaltbereiter Linksextremisten in Deutschland“, lautete die Begründung. Dennoch tauchte im Internet Anfang 2020 ein Archiv der Website im Zustand von 2017 auf, woraufhin die Karlsruher Staatsanwaltschaft neue Ermittlungen einleitete.

Verschlüsselungssystem von Apple nicht zu knacken

Anfang August beschlagnahmte die Polizei bei Hausdurchsuchungen in Freiburg unter anderem ein Notebook der Marke Apple. Dabei handelt es sich nach Angaben des Eigentümers um einen Laptop mit einem Apple Silicon-Prozessor, die von Apple seit 2020 verkauft werden. Neben von Apple selbst hergestellten Prozessoren, die denen von iPhones und iPads ähneln, haben diese Computer auch eine neue Art der Sicherheitsarchitektur.

Dabei wird die Festplatte, wie schon in älteren Apple-Computern, mit dem AES-Algorithmus verschlüsselt, dem Advanced Encryption Standard. Diese Art der Verschlüsselung gilt als sehr sicher und wird weltweit auch von staatlichen Behörden und Unternehmen eingesetzt. Bisher haben Ermittlungsbehörden verschlüsselte Daten mitsamt Schlüssel zuerst kopiert und dann eine große Anzahl Passwörter ausprobiert, bis sie unter Umständen das richtige „erraten“ hatten, das den Schlüssel entsperrt.

Diese Methode funktioniert aber mit aktuellen Macs nicht mehr, denn der Schlüssel wird von einer sogenannten Secure Enclave verwaltet. Damit der Schlüssel freigegeben wird, muss das zugehörige Passwort direkt an dem Computer eingegeben werden. Apple erlaubt aber nur eine sehr begrenzte Anzahl falscher Passwort-Eingaben, bevor der Computer vollständig gesperrt wird.

Archivseite kann nicht offline geschaltet werden

Im Ergebnis bedeutet dies, dass verschlüsselte Daten eines modernen Apple-Computers weder entschlüsselt noch kopiert werden können. Die Experten des Landeskriminalamtes Stuttgart gaben nun das vermeintliche Beweismittel unverrichteter Dinge an den Eigentümer zurück. Die Archivseite ist weiterhin online. Die Staatsanwaltschaft Karlsruhe wollte sich gegenüber dem SWR dazu nicht äußern.

Im gleichen Ermittlungskomplex hatte bereits Ende August das Landgericht Karlsruhe die Durchsuchung von Redaktionsräumen des Freiburger Radios „Dreyeckland“ sowie Mitarbeiterwohnungen als rechtswidrig erkannt und kritisiert. Der Radiosender hatte in einem Artikel die Archivseite der 2017 verbotenen Internetplattform linksunten.indymedia verlinkt.

Das Landgericht Karlsruhe sah durch die Durchsuchungen und die Beschlagnahme von Laptops mehrere Grundrechte wie die Rundfunkfreiheit verletzt. Es warnt in seiner Begründung davor, dass die unverhältnismäßigen Durchsuchungen unter Verletzung des Redaktionsgeheimnisses eine erhebliche einschüchternde Wirkung haben können.

Verbot beschäftigt auch Bundesverfassungsgericht

Das Verbot von linksunten.indymedia wurde auch von „Reporter ohne Grenzen“ als unverhältnismäßig kritisiert, weil die Website auch ein großes Archiv über rechtsextreme Personen und Netzwerke enthielt und als journalistische Quelle diente. Es hätte demnach gereicht, juristisch gegen einzelne Inhalte vorzugehen, wie dies bei einem regulären Presseorgan üblicherweise geschehen würde.

Der juristische Streit darüber hatte zuletzt das Bundesverfassungsgericht beschäftigt. Im März diesen Jahres allerdings scheiterte die Verfassungsbeschwerde gegen das Verbot endgültig, weil das Gericht sie nicht zur Entscheidung annahm. Sämtliche Strafverfahren gegen die beschuldigten Freiburger waren schon zuvor eingestellt worden, doch Vereinigung und Internetseite blieben verboten.

passiert am 05.10.2023