Gedankenlese

Vorbemerkung: Mit „wahrer IP“ bezeichnen wir folgend die vom Provider vergebene IP-Adresse eines Internetanschlusses, an dem eine Datenübertragung durch eine persönliche Initiative physikalisch ihren Ursprung nahm, und nicht nur automatisch durchgeleitet wurde, wie das z.B. auch bei sog. TOR-Relais der Fall ist.

Was also könnte das Motiv gewesen sein, ausgerechnet meine IP-Adresse fälschlich als einzige wahre IP zu bezeichnen? Ich vermute da Folgendes:

Für unsere Zwecke genügt es zwei Arten von IP-Adressen zu unterscheiden, und zwar STATISCHE (feste) und DYNAMISCHE (veränderliche) IP-Adressen. Das entspricht nicht genau der IT-Terminologie, die auch noch sog. dedicated– resp. shared IP-Adressen kennt.

Die Internetprovider wie z.B. 1&1, Telekom, Vodafone, GMX und andere mehr vergeben an ihre private Kunden DSL- Internetzugänge mit dynamischen IP-Adressen. Diese Adressen ändern sich alle 24 Stunden, ggf. auch wenn der PC neu gestartet wird.

WEB-HOSTER (Webhosting oder Nethosting) bieten ihre Serverleistungen hingegen meist mit festen IP-Adressen (resp. dedicated– oder shared IP-Adressen) an, die oft über die gesamte Vertragslaufzeit gleich bleiben. Der Name des jeweiligen Kunden (Mieters) eines Serverdienstes bei einem Web-Hoster (Vermieter) bleibt hinter der IP-Adresse nach außen unsichtbar. Seine Verkehrsdaten müßten erst beim Web-Hoster ermittelt werden, genau so wie die Kundendaten eines Internet-Service (Zugangs) Providers legal nur bei diesem Provider in Erfahrung gebracht werden können.

Aber weiter:

Es stand bei den Ermittlern der Operation „MEnde“ von Anfang an fest, dass aus jeder Reihe Nicknamen (siehe die o.g. Liste <Unbekannt> des überwachten Servers) wenigstens eine Ermittlungsakte/Wohnungsdurchsuchung zu erfolgen hätte. Die Methode dazu habe ich im Hauptteil dieses blogs REGULA FALSI genannt.

Das Anonymisierungsverfahren TOR ist geradezu eine Einladung die FALSCHEN zu verfolgen. Weil TOR ja alle 3 bis 10 Minuten die fremde EXIT-IP ändert, unter der ihr Anwender surft, liefert es natürlich eine ganze Reihe von IP-Adressen pro Nicknamen, also letztlich auch Adressen für Wohnungsdurchsuchungen und damit Tätigkeitsnachweise – und wer weiß, vielleicht ist ja mal ganz zufällig auch ein RICHTIGER darunter, was dann als Bestätigung dieses Verfahrens REGULA FALSI einer sehr geneigten Presse als „Erfolg“ angeboten werden könnte.

Also musste zunächst mal ignoriert werden, dass nach allem menschlichen Ermessen, auch nach den Kenntnissen eines Jemand, der immerhin qualifiziert sein sollte einer Fachstaatsanwaltschaft „Internetkriminalität“ anzugehören, nach Maßgabe seiner zumindest durchschnittlichen Intelligenz im Vollbesitz seiner geistigen Kräfte, mit sehr hoher Wahrscheinlichkeit sämtliche IPs auf der Liste <Unbekannt> TOR-EXIT-Adressen sein dürften, insonders also auch MEINE dynamische IP. Dieser sehr wahrscheinlichen Tatsache ins Auge zu sehen hätte aber bedeutet, in Ermangelung eines Anfangsverdachts in Sachen <Unbekannt> überhaupt KEINE Wohnungsdurchsuchung vornehmen zu dürfen.

Es blieb nur die Möglichkeit eine IP-Adresse auszuwählen, die noch am wenigsten ungeeignet war, wenigstens einen Anfangsverdacht zu begründen. Also, irgendwer muss der Dumme sein! Wie entscheiden?

Zunächst einmal werden also alle IP-Adressen ausgesondert die zu Servern im europäischen/außereuropäischen Ausland gehören. Denn dort kann das BKA keine Wohnungsdurchsuchungen vornehmen lassen. Schwerlich  hätte eine andere europäische Polizeibehörde den absurden Mummenschanz um die verbliebenen „unbekannten Verdächtigen“ des deutschen Verfahrens „Zauberwald“ mitgemacht. Das BKA wollte sich schließlich bei den anderen europäischen Kollegen nicht lächerlich machen. Außerdem wäre der bürokratische Aufwand einer solchen Zusammenarbeit erheblich, wenn man bedenkt, dass ein Erfolg der Wohnungsdurchsuchung bei <Unbekannt> nicht zu erwarten stand!

Dann der nächste wichtige Gesichtspunkt:

Für die polizeiliche Ermittlungsarbeit ist der Unterschied zwischen fester und ständig wechselnder IP sehr bedeutsam. Denn der Kunde eines Web-Hosters (wie jeder andere Inhaber einer festen IP) behält seine IP-Adresse ggf. über die gesamte Vertragslaufzeit bei. Mithin läßt sich nicht so leicht mit „Gefahr im Verzuge“ argumentieren wie bei dynamischen IP-Adressen. Das könnte im Jahre 2009 aber bedeutet haben, dass für die Auflösung einer solchen festen IP in ihre Bestandsdaten zwingend ein richterlicher Beschluss herbeigeführt werden musste. Also zusätzliche Arbeit!

Eine weitere bedeutende Erschwernis kommt für die Polizei/Staatsanwaltschaft hinzu: wohnt der Mieter eines Servers z.B. in München, der zugehörige Hoster aber sitzt in Berlin, dann sind zwei koordinierte Durchsuchungen erforderlich: eine in München am Wohnort des Mieters, eine in Berlin beim Sitz des Hosters, wo der Server sich tatsächlich befindet. Also wenigstens doppelte Arbeit!

Mehr noch: Weil solche Ermittlungen in ganz Deutschland gerne über die Genietruppe (die TOPEXPERTEN im LEUCHTTURM) ZIT der GStA Hessen (Ffm) gezogen werden, die dann ggf. wiederum an die einzelnen LKAs/Länderstaatsanwaltschaften verteilt, hätte sich bei vollständiger Abarbeitung der Liste der IP-Adressen folgendes Verfahren ergeben:

Für unser Beispiel des Hosters in München, des Mieters in Berlin, hätte erst das BKA an die ZIT weitergeleitet, diese dann ggf. an die LKAs/StAs Berlin/München. Dies hätten sich dann koordienieren müssen um eine gleichzeitige Durchsuchung des Hosters und des Mieters vorzunehmen, und zwar für mehrere IP-Adressen! Gigantischer Aufwand FÜR NICHTS UND WIEDER NICHTS!! Denn es war natürlich klar, dass ALLE IP-Adressen als TOR-EXIT-Router von dem „Anonymisierungsdienst“ TOR zugeteilt waren.

Also waren schließlich nur noch die beiden privaten/dynamischen IP-Adressen im Spiel, von denen es auf der Liste <Unbekannt> allerdings (meines Wissens) nur zwei deutsche Adressen gibt: 84.146.242.214 Deutsche Telekom AG, sowie 95.116.37.91, MEINE damalige IP der Telefonica Deutschland GmbH.

Unter diesen Voraussetzungen konkurrierte meine dynamische IP-Adresse nur mit der IP der Deutsche Telekom AG, die am 24.05.2009 zweimal hintereinander für jeweils ca. eine Minuten als TOR-EXIT-IP in Gebrauch war. Dann wieder ein Highlight in diesem an Höhepunkten des UNSINNS reichen Verfahren:

Außerdem will „Man“ (WER eigentlich?) erkannt haben, nur meine IP wäre eine „Session-IP“ gewesen! So jedenfalls ließ der KHK durch seinen OStA ZIT meinen RA  beauskunften, nachdem Der beim OStA telefonisch nachgefragt hatte, wieso das denn so klar wäre, dass ausgerechnet meine IP von keinem „Anonymisierungsdienst“ stamme.

Ich unterstelle hier einmal, meine IP wäre wirklich eine „Sessio-IP“ gewesen, was ich aber nie nachprüfen konnte; denn das originäre Protokoll der Überwachung des Servers „Sonneninsel“ befand sich natürlich NICHT mal auszugsweise bei meiner Akte. Dieser Teil der Ermittlungen wurde mir komplett vorenthalten! Aus der Originalakte wurde anscheinend nur abgeschrieben (und dabei verändert?), was „man“ meinte mir unbedingt mitteilen zu müssen, um wenigstens den Anschein eines rechtstaatlichen Verfahrens zu wahren. Außerdem sollte ich mit Informationen auch möglichst knapp gehalten werden, weil die Verfahrenseinstellung natürlich leicht vorhersehbar war.

Was könnte der KHK mit „Session IP“ gemeint haben? Das ist sehr einfach zu erklären: Unter der „Session-IP“, die beim TOR-Verfahren natürlich ebenfalls eine ganz zufällige fremde EXIT-IP ist, hat sich der User eingeloggt, also seine Sitzung auf dem inkriminierten Board durch Eingabe seines Nicknamens UND seines Passworts begonnen. Die folgenden IPs werden dann vom TOR-Verfahren ebenfalls automatisch und für den User transparent im Hintergrund in Bezug genommen.

Die ganze „Session-IP“ Erklärung ist nur ein weiterer grober UNFUG, wie so vieles in diesem „Verfahren“ bloß Unfug ist. Das bei der Durchsuchung meiner Festplatte womöglich ein sog. Session-Cookie als HTTP-Cookie gefunden und dadurch <Unbekannt> hätte identifiziert werden können, erklärt natürlich nicht, warum ausgerechnet auf meinem Rechner gesucht wurde, obwohl meine IP doch ganz offensichtlich ebenfalls zu dem Anonymisierungsdienst TORNET gehörte. Die ohnehin bloß sehr theoretische Möglichkeit, später eine solche „Session-IP“ auf den Datenträgern eines beschlagnahmten Rechners zu finden, kann also keineswegs die Durchsuchung begründen. Deswegen wurde mit der „Identifiziereung“ begründet, und NICHT mit der „Session-IP“, die eine Identifizierung ja im besten Falle (wenn überhaupt!) nur NACH der Beschlagnahme ermöglicht hätte.

Um nach der Verfahrenseinstellung die Einbeahltung meiner Hardware zu begründen und die „Identifizierung“ zu retten, führte die Polizei später aus:

Am Beginn der „Session“ könnte dem User <Unbekannt> ja ein Fehler unterlaufen sein; er könnte versehentlich am Tor-Verfahren „vorbeigesurft“ sein, etwa wenn er den falschen Browser geöffnet hätte, oder dieser falsch konfiguriert gewesen wäre. Dann wäre die wahre IP aufgrund dieses Fehlers „durchgerutscht“, was <Unbekannt> durchaus nicht sogleich bemerkt haben müßte − trotzdem aber könnte in diesem Fall die IP-Adresse seines EXIT-Knotens in der Datenbank „ExoneraTor“ für diesen Zeitraum (3 Minuten!) verzeichnet sein! Denn der Betrieb eines TOR-Relais (EXITS) ist natürlich kein BEWEIS dafür, dass sich der Betreiber auch selber wirksam anonymisiert hatte. Deswegen: „Session IP“. Das bringt die Möglichkeit eines menschlichen/technischen Fehlers ins Spiel – fein ausgedacht!

Allerdimgs steckt auch hier wieder der Teufel im Detail. Sollte nämlich seinerzeit ein Fehler der beschriebenen Art stattgefunden haben, so hätte meiner IP-Adresse folgend die nächste IP 192.251.226.206 natürlich ebenfalls eine „Session-IP“ sein müssen, und zwar technisch nahezu ZWINGEND!

Denn wurde diese (meiner IP nachfolgende) IP-Adresse im Hintergrund automatisch vom TOR-Verfahren eingewechselt, dann mußte der Anwender dazu natürlich bereits im TOR-Net etabliert gewesen sein, weil diese folgende IP ja wohl unstreitig KEINE „Session-IP“ war. Dann aber wäre bereits MEINE (also die vorausgehende) IP-Adresse, obwohl die ja (angeblich!) eine „Session-IP“ war, natürlich ebenfalls vom TOR-Verfahren vergeben worden, und zwar als die IP, unter der die Sizung durch Eingabe von Nickname/Passwort begonnen wurde. Das aber wiederum würde bedeuten, dass <Unbekannt> am Beginn der Sitzung bereits im TOR-Netzwerk etabliert gewesen sein mußte, also auch MEINE IP als TORexit-IP automatisch wäre bezogen worden. Das ist sehr simpel.

Aber auch davon mal abgesehen ist es reine Spekulation, dass <Unbekannt> der o.g. Fehler unterlief. Es gibt keinen einzigen Anhaltspunkt dafür, dass auch nur eine einzige IP der Liste <Unbekannt> eine wahre IP ist! − was im Kommentar ja auch richtig erkannt wurde, meine IP fälschlich ausgenommen!

Außerdem ist es evident, dass es mehr als nur eine „Session-IP“ auf der Liste <Unbekannt> geben muss. Diese anderen „Session-IPs“ wurden dann allerdings, wie oben aufgezeigt, durch andere, völlig sachfremde und höchst opportunistische Erwägungen ausgeschlossen, um sich die Arbeit zu erleichtern und um Kosten zu sparen. Sonst hätte meine (Session) EXIT-IP nämlich auch mit anderen IPs im europäischen Ausland konkurriert, sowie mit weiteren deutschen IP-Adressen, und den  Ermittlungsaufwand vervielfacht; bloß um am Ende doch NICHTS zu finden, weil natürlich klar war: ALLE IP-Adressen waren vom  Anonymisierungssystem TOR zur Verfügung gestellt, und waren folglich TOR-EXIT-Adressen!

Der Hauptgrund aber, warum ausgerechnet bei mir durchsucht wurde, war anscheinend die Überzeugung der Ermittler, <Unbekannt> müsse in der Nähe Darmstadts wohnen, und sich von einem dort befindlichen DSL- Anschluss auf das „Sonneninsel-Board“ eingeloggt haben! ICH wohne in Frankfurt! − BINGO!

Somit, also wegen des Wohnorts und der angeblichen „session-IP“, war meine TOR-EXIT-IP als Einzige übrig geblieben. Man vergleiche die Liste der IPs des <Unbekannt>!

Wieso aber sollte <Unbekannt> tatsächlich im Rhein/Main-Gebiet wohnen, und wieso sollte das ein deutlicher Hinweis auf meine Täterschaft sein?

Um diesen ebenso komplizierten wie vollkommen falschen Gedankengang zu verstehen, lenken wir unsere Aufmerksamkeit auf einen weiteren „Vermerk“ des KHK in seinem o.g. Schreiben an den OStA ZIT. Der Leser mag gut aufpassen. ZITAT:

(…) In der Anlage befindet sich ein Textdokument („[Unbekannt].txt“), was im gelöschten Bereich auf einer Festplatte des zwischenzeitlich abgeurteilten [Admin1] gesichert werden konnte (Az.3 Kls – 300 Js 58765/11, GStA Frankfurt/M., 60 Js 61/11 ZIT). [Admin1] wurde wegen des Betreibens von Boards/Chats (u.a. „Sonneninsel“) und Anstiftung zum sexuellen Missbrauch vom LG Darmstadt zu einer Gesamtfreiheitsstrafe von 8 Jahren verurteilt. ZITAT ENDE

Der KHK winkte mit den acht Jahren, die mit den hier Frage stehenden Sachverhalten ABSOLUT NICHTS zu tun haben! Das diente wieder dazu, <Unbekannt> einmal mehr in den Dunstkreis der Haupttäter aus dem Verfahren „Zauberwald“ zu rücken, einer sog. „CYBERBANDE“ zuzurechnen, der bis auf den letzten Mann das Handwerk legen zu können natürlich allemal eine Wohnungsdurchsuchung rechtfertigt, wenn es denn sein muss auch bei mutmaßlich Unschuldigen!

weiter heißt es:

[Admin1] speicherte mehrmals Kommunikation mit bzw. von anderen Usern aus dem „[the.member.chat]-chat oder Boards ab. Aus der Dateieigenschaft (Last Written 07.10.2010) und dem Inhalt erschließt sich, dass [<Unbekannt>] als eine Art „Prozessbeobachter“ an der Verhandlung vor dem LG Darmstadt im Oktober 2010 teilnahm. Bei dieser Verhandlung standen die neun Haupttäter (Administratoren/Moderatoren) des „Zauberwalds“ und der „Sonneninsel“ vor Gericht. [Admin1] äußerte sich in Art und Inhalt nicht wie in dem Dokument angegeben, so dass die Äußerungen „[Unbekannt]“ zuzuschreiben sind. — ZITAT ENDE — das komplette „Dokument“ werden wir später noch anfügen.

Bloß weil der Admin1 im Verfahren dieses läppische „Dokument“ nicht erwähnt hat, muss es natürlich authentisch sein, klar!

Gemeint ist mit „die Äußerungen“ der folgende Abschnitt aus der PN (also der o.g. Datei „<Unbekannt>.txt“), ZITAT:

Die Frage ist, wie sehr ich ihnen [WEM?] auf die füße trete, indem ich dort [als „Prozessbeobachter“ in Darmstadt] anwesend bin. ob es zu einer Verhaftung reichen würde? ich weiß nicht, aber soviel ärger, dass irgendwann in der bild steht „szene spitzel bei prozess“ könnten sie mit sicherheit machen. Daher überlege ich das ganz sein zu lassen, was im grunde schade ist. kriege zwar nur sehr wenig mit, weil es kurz ist, aber das reicht ja schon um einen eindruck zu bekommen. aber muss auch an meine sicherheit denken, die ich somit riskiere (…) — ZITAT ENDE −

Dieser Mensch muss der Staatsfeind Nr. 1 sein, wenn seine bloße Anwesenheit bereits zu einem Auftritt in der BILD und womöglich zu seiner Verhaftung hätte reichen können!

Diese sichergestellte Datei „Unbekannt.txt“ sollte nun wohl die Vermutung begründen, <Unbekannt> wohne im Rhein/Main-Gebiet! Denn: Wie hätte er sonst wohl „Prozessbeobachter“ in Darmstadt sein können? Wir leben schließlich noch im Zeitalter der Postkutschen (und der Wegelagerer)! Oder was sollte dieses „Dokument“ beweisen?

Bei dieser Herleitung des Wohnorts des <Unbekannt> bleibt außer acht, dass es sich beim Rhein/Main Gebiet um einen zentralen Verkehrsknotenpunkt in Deutschland handelt, was den Luftverkehr, den Autoverkehr (Frankfurter Kreuz!) und sogar den Bahnverkehr angeht. Wieviele Menschen kommen jeden Wochenbeginn aus mehr als 300 Km Entfernung nach Frankfurt/Main, um dort mehr oder minder regelmäßig einer Erwerbstätigkeit nachzugehen? 10.000 oder 20.000 pro Woche, oder mehr? Ich habe darüber keine Satistik im Internet gefunden. Vielleicht hat der Leser mehr Glück! Könnte da kein <Unbekannt> dabei gewesen sein, der kurz mal einen Abstecher nach Darmstadt hätte unternehmen können, wenn er schon mal regelmäßig im Rhein/Main-Gebiet zu tun hatte?

Eigentlich könnte <Unbekannt> sogar zum fliegenden Personal einer großen deutschen Luftlinie gehören, die ihren Hauptsitz in Frankfurt am Main hat, und sich auch aus ABERDEEN (UK) eigeloggt haben. Oder war 89.240.246.29 (siehe die Liste der IPs) KEINE „Session-IP“? Jedenfalls ist diese IP ALS EINZIGE auf der Liste <Unbekannt> NICHT in der ExoneraTor-Datenbank verzeichnet! Aber solche vernünftigen Überlegungen waren gefälligst zu unterlassen! Hätten sie doch zu KEINER Wohnungsdurchsuchung bei mir geführt!

Um all das zu begreifen, muss man nicht Nick Knatterton oder Sherlock Holmes heißen, oder irgendein anderer Held der Kriminakistik sein. Es genügt gesunder Menschenverstand, den aber leider nicht alle haben.

Damit meine ich die wesentlichen „rationalen“ Gründe für die Bevorzugung gerade meiner IP-Adresse dargelegt zu haben.

Mit diesen o.g. „Gründen“ aber allen Ernstes einen Anfangsverdacht begründen und eine Wohnungsdurchsuchung beantragen zu wollen, das würde selbst dem OStA ZIT und seinem höchst geneigten Ermittlungsrichter Gießen die Schamröte ins Gesicht getrieben haben. Deswegen, so vermute ich, wurde (sicher ist sicher!) mit dem schon mehrfach erwähnten Kommentar nachgeholfen, der eine falsche Tatsache vorspiegelt!

Denn die Liste der IP-Adressen <Unbekannt> „beweist“ ohne den Kommentar ABSOLUT GAR NICHTS gegen mich, und wäre völlig untauglich gewesen auch nur einen Anfangsverdacht zu begründen. Mit dem Kommentar hingegen…. − ist möglicherweise der Tatbestand der Aktenmanipulation erfüllt, sofern der Kommentar nicht aus dem originären Überwachungsprotokoll der Ermittlungsakte zum Verfahren „Sonneninsel“ einfach nur abgeschrieben, sondern beim BKA (oder wo?) nachträglich hinzugefügt wurde, um jemanden mit der Liste der IP-Adressen zu belasten! Wäre der Kommentar aber aus diesem originären Überwachungsprotokoll abgeschrieben, müsste er deswegen keinesfalls wahr sein! Dem „Wahrheitswert“ NULL dieses Unfugs wäre dadurch nicht ein Jota hinzugefügt!

Es sei denn, es ließe sich überprüfbar nachweisen, ausgerechnet meine IP-Adresse wäre eine „wahre IP-Adresse“ gewesen, und seinerzeit eben NICHT durch das TOR-Verfahren und folglich Durchleitung eines fremden Datentransfers als Schnittstelle zum Internet in Bezug genommen. Auf diesen Nachweis wäre nicht nur ich sehr gespannt, weil er nämlich nicht nur praktisch, sondern ABSOLUT UNMÖGLICH ist: Denn ich war nicht der Initiator dieser Datenübertragung!! Was nicht der Fall war, das kann auch nicht bewiesen werden.

WIRD FORTGESETZT – Bis bald!

Advertisements