Abmahnwelle (Fortsetzung 3)

[vgwort line=“32″ server=“vg05″ openid=“a03f71eca53d446abbf089e411e23a50″]

Seit einigen Tagen ist das Gutachten zur Software GLADII 1.1.3 auf abmahnung-medienrecht.de veröffentlicht. Klemens Kowalski hat sich in zwei Beiträgen vom 14. und 23. Januar ausführlich mit dem Gutachten beschäftigt, wobei der zweite Artikel ein Update zum ersten Artikel darstellt. Die Artikel sind durchaus lesenswert, aber viele Annahmen und Schlussfolgerungen sind mir zu emotional motiviert.

Deshalb möchte ich die wenigen Informationen, die das Gutachten enthält, in die bisherigen Annahmen zur Funktionsweise der Überwachung einbringen. Die Frage Wie kann man ein Portal überwachen habe ich bereits in einem Artikel ausführlich erörtert. Die dort aufgezeigten Alternativen möchte anhand des Gutachtens auf den Fall der RedTube Abmahnungen anwenden und bewerten.

Der Gutachter

Das Gutachten wurde von der Kanzlei Diehl & Partner GbR (Auftragnehmer) erstellt. Als Gutachter wird Herr Dr. Frank Schorr namentlich genannt. Herr Dr. Schorr ist promovierter Physiker und Patentanwalt. Zu seiner juristischen Qualifikation ist seiner Vita nicht viel zu entnehmen. Patentanwälte sind nicht unbedingt auch Rechtsanwälte. Insofern sind juristische Aussagen von Herrn Dr. Schorr mit Vorsicht zu betrachten. Seine IT Erfahrungen beruhen wohl eher auf Lebensalter und Beratertätigkeiten als Patentanwalt als auf einer soliden Ausbildung. Zertifikate, wie zum Beispiel ein Microsoft Certified Systems Engineer oder ein Linux Professional Institute Certification, werden nicht als Qualifikation angeführt.

Der von ihm programmierte Web-Server http://planetip.net/ hat übrigens keine IP-Adresse.

Das Gutachten

Zuerst eine allgemeine Anmerkung zur Qualität des Gutachtens. Mir ist bewusst, dass ich mich damit am Dr. Schorr bashing beteilige, aber es juckt mir in den Fingern. Das Gutachten ist fachlich auf dem Niveau 5. Klasse erste Stunde Physik. Auch wenn es formal juristisch korrekt sein mag, ist es inhaltlich extrem schwach.

Es mag meinetwegen als physikalisches Gutachten durchgehen, für die Computer-Forensik ist es absolut unbrauchbar. Es sagt nichts über die Eignung der Software als Beweismittel vor Gericht für einen Download aus – aber dies war nicht die Aufgabenstellung. Die Beschreibung des Testszenarios ist dürftig – weniger geht kaum. Dennoch enthält das Gutachten einige Informationen, die auch in Anbetracht der Inkompetenz des Gutachters, richtig sein dürften.

Obwohl in dem Gutachten nur ein Gutachter und Beteiligter (Dr. Schorr) erwähnt wird, wird durchgehend der Plural gebraucht. Dies mag gutes Kanzlei-Deutsch sein und kann sich auf die Kanzlei als Auftragnehmer beziehen, es lässt aber die Möglichkeit offen, dass weitere Personen beim Test anwesend waren und Dr. Schnorr die Bedienschritte nicht selbst ausgeführt hat. Insbesondere erscheint es mir schwierig, die Bedienschritte einerseits auszuführen und anderseits exakt zu protokollieren. Hilfsmittel der Protokollierung werden nicht erwähnt. Insbesondere ist es unmöglich, die Seite www.drtuber.com aufzurufen und in der gleichen Sekunde ein bestimmtes Video auszuwählen und zu starten. Die Hauptseite braucht beim ersten Laden mehrere Sekunden, die Folgeseite ebenfalls und das Video startet- im Gegensatz zu Redtube – nicht automatisch. Selbst bei einem wiederholten Aufruf und zwischenspeichern im lokalen Cache oder Proxy ist dies nahezu unmöglich.

Es wird nicht erwähnt, ob ein Mitarbeiter des Auftraggebers (itGuards Inc.) während der Tests anwesend war und unterstützt hat.

Zum Gutachten, das nur von Dr. Schorr mit Datum 22. März 2013 unterzeichnet ist, haben Diehl & Partner auf ihrer Homepage eine Stellungnahme veröffentlicht.
Wie immer das bisherige Schweigen von Diehl & Partner zu deuten ist, mit der Stellungnahme ist die Echtheit des Gutachtens bestätigt. Dem Landgericht Köln wurde offensichtlich keine Fälschung vorgelegt.

Das von uns erstellte Gutachten betrifft eine Tatsachenfrage zur Funktionstüchtigkeit der Software „GLADII 1.1.3“, nämlich ob es mittels der Software „GLADII 1.1.3“ möglich ist, zweifelsfrei zu ermitteln, von welcher IP-Adresse wann und wie lange auf drei vom Auftraggeber konkret benannte und über das Internet bereitgestellte Videodateien zugegriffen wird. Das Ergebnis unserer Prüfung war, dass die Software „GLADII 1.1.3“ diese Funktionalität bereitgestellt hat. Dieser Umfang des Gutachtens, der auf Seite 2/12 des Gutachtens auch explizit angegeben wird, wurde vom Auftraggeber festgelegt.
[..]
Nicht Gegenstand des Gutachtens war es weiter, den Quellcode oder die Arbeitsweise der Software „GLADII 1.1.3“ zu analysieren.

Quelle: Diehl & Partner

Was lernen wir daraus: Herr Dr. Schorr hat exakt das gemacht, was der Auftraggeber verlangt hat und dafür seinen guten Ruf hergegeben. Da wir gerade bei Pornos sind, eine Prostituierte macht dies genauso.

Auffällig ist an der Stellungnahme, dass hier die IP-Adressen zweifelsfrei ermittelt werden sollten. Das Gutachten spricht aber nur davon, dass die IP-Adressen korrekt ermittelt worden sind. Wie die Adressen ermittelt werden, ist nicht Gegenstand des Auftrages.

Obwohl die Tests nur an zwei Tagen im Dezember 2012 stattfanden und die Auswertung unmittelbar erfolgte, wurde das Gutachten erst drei Monat später und genau einen Tag nach der Unternehmensgründung des Auftragnehmers unterzeichnet. Bedenkt man, dass die Bezahlung derartiger Gutachten in der Regel erst nach Lieferung erfolgt, dann hat Diehl & Partner GbR es nicht sehr eilig gehabt, ans ihr Geld zu kommen.

GLADII 1.1.3

Da wäre zum einen, dass die Software GLADII 1.1.3 ein Web-Interface enthält, zu dem Diehl & Partner ein Zugang vom Auftraggeber (itGuards Inc.) zur Verfügung gestellt wurde. Dies bedeutet, dass Diehl & Partner – insbesondere Dr. Schnorr als Gutachter – die Software GLADII nicht selbst installiert haben. Wo sich der Rechner mit der GLADII Software zum Zeitpunkt der Prüfung befand, geht aus dem Gutachten nicht hervor. Der Server könnte irgendwo im Netz gestanden haben, aber auch im Netz der Kanzlei von Diehl & Partner. Aber dazu später. Die Software könnte sogar auf den Hosts der Anbieter der Videos gelaufen sein. Es ist auch nicht auszuschließen, dass weitere Nutzer während des Testes einen Zugang zu der „Software“ hatten.

Diehl & Partner weiß über die Software „GLADII 1.1.3“ nur, dass sie über ein Web-Interface auf einen vom Auftraggeber benannten Server zugegriffen haben, dessen Software der Auftraggeber als „GLADII 1.1.3“ ausgegeben hat. Alles was der Auftraggeber getan hat, ist der Kanzlei einen Zugang bereit zu stellen. D.h. der Server oder die Software muss nicht in der Verantwortung von itGuards Inc. betrieben werden. Die brauchen im Prinzip nur einen Zugang, den sie an Diehl & Partner weitergeben. Es könnte sich im Grunde um eine Backdoor zur Auswertesoftware der Hoster handeln. Die Art der Ermittlung war nicht Gegenstand des Auftrages.

Was weiterhin erwähnenswert wäre, wird auch hier nicht erwähnt. Werden für den Zugriff auf das Web-Interface irgendwelche aktiven Element oder Erweiterungen für den Browser benötigt? Wurde das Web-Interface vor den Downloads mit dem gleichen oder einem anderen Rechner aus dem Netz der Kanzlei angesehen? In diesem Fall könnte der Auftraggeber einen Trojaner auf den Rechner eingeschleust haben. Möglichkeiten über Möglichkeiten.

Die Videos

Der Test wurde mit drei Medien-Dateien durch den Auftraggeber als geeignete Dateien bestimmt. Kriterien, die eine geeignete Datei erfüllen muss, werden im Gutachten nicht benannt. Im Umkehrschluss bedeutet dies, dass es auch nicht geeignete Dateien gibt. Folgende Medien-Dateien wurden benannt:

  1. http://www.drtuber.com/video/289438/busty-blonde-nadia-hilton
  2. http://www.tnaflix.com/hardcore-porn/Jenteal/video19105
  3. http://www.xvideos.com/video880170/celebrities_celebrity

Da der Auftraggeber diese Dateien bestimmt hat und nicht der Gutachter zufällige Dateien ausgewählt hat, können diese drei Dateien durchaus die einzigen sein, mit denen dieser Test funktioniert. Das Gutachten bescheinigt die IP-Adressermittlung nur für diese drei Dateien – anhand zweier IP-Adressen, die in einem gewissen Bereich – dem Net des Providers M-Net – vorhersehbar sind. Wodurch könnten sich geeignete von ungeeigneten Dateien, Videos oder Web-Seiten unterscheiden? Zuerst sind es nur Videos – in diesem Fall im Flash-Format, während es sich im Falle RedTube im mp4-Dateien handelt. Die drei Videos zeigen keine Auffälligkeiten, gegenüber anderen Videos. Hat der Auftraggeber die Videos selbst eingestellt? Sie sind nicht kurzfristig im Rahmen des Test eingestellt worden. Es ist also durchaus möglich, dass sie langfristig vorher für diesen Test präpariert und eingestellt wurden.

Der (Test-)Computer

Über den oder die genutzten Computer wird nur sehr wenig ausgesagt. Es fehlen wichtige Angaben zur Hardware, Betriebssystem, Virenscanner, Datum der Installation, usw. Wurden die Testrechner extra für den Test frisch installiert? Oder wie lange vorher waren sie schon in Benutzung? Waren es Notebooks, die auch mit auf Reisen genommen werden? Hatte ein Mitarbeiter des Auftraggebers – möglicherweise unbeaufsichtigt – Zugriff auf die Rechner?

Es ist nicht einmal klar, ob der oder die Computer der Kanzlei gehörten, denn in Bezug auf die Computer wird das Besitz anzeigende Wörtchen „unser“ vermieden. Es bleibt daher die Möglichkeit offen, dass der Computer vom Auftraggeber gestellt wurde, was für das Gutachten eine Katastrophe wäre.

Am ersten Tag wurde „Firefox“, am zweiten „Google Chrome“ als Web_Browser verwendet. Der „Microsoft Internet-Explorer“ wurde offenbar nicht genutzt. Über installierte Plugins oder Erweiterungen wird nichts berichtet.

Testnetz

Am 11. Dezember 2012 hatte der Rechner die IP Adresse 88.217.64.18 (ppp-88-217-64-18.dynamic.mnet-online.de.) und am 21. Dezember 2012 die Adresse 188.174.215.10 (host-188-174-215-10.customer.m-online.net.). Beide Adressbereich dürften zu dynamischen Adresspools gehören. M-Net bietet allerdings auch feste IP-Adressen an. Die IP-Adressen wurden an den Tagen nicht zwischenzeitlich geändert. Warum nicht?

Darüber, wie der oder die Rechner an das Internet angebunden waren, schweigt der Gutachter. Alles darüber hinaus ist somit Spekulation. Für ein Kanzleinetz ist es eher ungewöhnlich, dass einzelne Rechner direkte Anbindung ans Internet haben. In der Regel dürften sich mehrere Rechner einen Zugang teilen.

Hatte ein Mitarbeiter des Auftraggebers vor oder während der Tests Zugriff auf das Netz? Wurde ihm – rein aus Freundschaft – ein Internetzugang über das Netz der Kanzlei gewährt? Waren die Testrechner über Wireless LAN angebunden?

Die Testdurchführung

Der Test fand in der Kanzlei Diehl & Partner GbR statt. Da der Auftraggeber den Auftragnehmer auswählt, waren dem Auftraggeber möglicherweise gewisse Rahmenbedingungen bekannt. Nicht auszuschließen, dass bestimmte Rahmenbedingungen ausschlaggebend für die Beauftragung der Diehl & Partner GbR waren. Der Test fand an zwei Tagen, Dienstag, 11., und Freitag, 21. Dezember 2012, statt.

Das Gutachten lässt sich so interpretieren, dass die Tests an jedem Tag in zwei Arbeitsschritten durchgeführt wurden. Im ersten wurden die Videos herunter geladen, im zweiten Arbeitsschritt wurden die protokollierten Ergebnisse mit der Auswertung in „GLADII 1.1.3“ über die Web-Oberfläche verglichen. Dass die Reports als CSV und PDF angeboten werden, ist ein nettes Detail, das aber absolut unbedeutend im Vergleich zu den vielen fehlenden Informationen ist.

Auswertungen der von GLADII 1.1.3 gewonnenen Daten

Nach Abschluss der .. Downloads wurde mit dem Web-Browser das Web-Interface der Software „GLADII 1.1.3“ angesurft.

Quelle: Gutachten

Die Formulierung legt nahe, dass dies mit dem Rechner erfolgte, mit dem die Porno-Seiten besucht wurden. Möglicherweise hat der Gutachter den Web-Browser nicht einmal geschlossen. Dies ist nun ziemlich das Dümmste, was ein Gutachter in diesem Fall machen kann. Nicht einmal von einem anderen Rechner im gleichen Netz hätte er die Auswertung vornehmen dürfen. Aber das „Woher“ der Daten ist nicht Teil des Auftrages. Dieser ist hier bewusst eng und eingeschränkt erteilt.

Wieso konnte „GLADII 1.1.3“ die IP-Adressen ermitteln?

In dem Artikel Wie kann man ein Portal überwachen habe ich folgende folgende Orten für eine Überwachung aufgeführt:

  1. Auf den Servern des Anbieters
  2. Auf einem Router zwischen Nutzer und den Anbieter Servern
  3. Auf einem Proxy-Server zwischen Nutzer und den Anbieter Servern
  4. Auf dem Rechner des Nutzers
  5. Im Video durch eingebetteten Code
  6. In der Anbieter Seite durch eingebettete Objekte (Werbung)
  7. Durch umgeleitete Zugriffe / Routen

Einen Zugriff auf die Servern der Anbieter (Punkt 1) schließe ich aus. Das Gutachten schließt weder einen Zugriff auf das Netz der Kanzlei, noch einen Zugriff auf den Rechner des Nutzers (Punkt 2 – 4) aus.

Dem Auftraggeber war bekannt, mit welchen Videos die Prüfung erfolgt. Er kann sie durchaus selbst eingestellt haben und mit entsprechendem Code versehen haben. Gesucht habe ich ihn noch nicht. Allerdings könnte er auch durch ein Ersetzen des Videos nach dem Test wieder entfernt worden sein. Das soll sich jemand anderes mit beschäftigen. Punkt 5 kann jedoch wie Punkt 6 dadurch nicht ausgeschlossen werden. Das eine spezielle Werbung auf den Seiten der Videos für die Testphase geschaltet wurde, ist auch nicht auszuschließen. Eine Untersuchung der Web_Seiten war nicht Gegenstand des Gutachtens.

Je nach Zugriff auf des Netz der Kanzlei schließt das Gutachten auch keine Manipulation des Router aus. Hatte ein Mitarbeiter der itGuards Inc. Zugriff auf die Testrechner oder diesen sogar gestellt, dann ist der Fall extrem, einfach.

Für den Test gibt es weitere bisher nicht betrachtete Möglichkeiten. War ein Mitarbeiter des Auftraggebers vor Ort, kann er die Aktionen über einen dritten Weg aufgezeichnet und übermittelt haben. Dies wäre allerdings bei den Abgemahnten nicht möglich.

Fazit

Das Gutachten ist so schlecht, bei der Frage wie „GLADII 1.1.3“ es macht ist es noch nicht einmal dahingehend hilfreich, dass es gewisse Möglichkeiten ausschließt. Allerdings wurden die IP-Adressen und Zeiten wohl nicht gewürfelt.

Der Auftraggeber itGuards Inc. brauchte auch nur ein juristisch formal korrektes Gutachten, mit dem er ausreichend viele Kammern des Kölner Landgerichtes bewegen konnte, die Telekom zur Auskunft zu verpflichten. Die Organisationsstruktur und die Schwächen des Landgerichtes Köln dürften den Hintermännern bekannt sein. Dass die Telekom sich als Beteiligte nicht äußern würde, wissen die Rechtsanwälte sicher aus früheren Verfahren.

Es ist nicht einmal sicher, dass die Software GLADII 1.1.3, die von Herrn Dr. Schorr getestet wurde, die gleiche ist, wie die, die die Adressen gesammelt hat. Herr Dr. Schorr könnte die Software nur anhand der Web-Oberfläche identifizieren. Die Software selbst hat ihm nie vorgelegen.

Für das Gutachten benötigte man nur ein unfähigen und willfährigen Gutachter und die Möglichkeit in sein Netz einzudringen, wenn man nicht schon vorher drin war.

Nach dem Test hätte ich mir als Kanzlei erhebliche Sorgen über die Sicherheit in meinem Netz gemacht.

Gute Nacht, fast schon guten Morgen, ich spare mir ein Korrekturlesen für später auf. Wer Fehler findet darf sie melden oder behalten.

2 Kommentare

  1. Geständnis von Dr. Frank Schorr

    Ich Patentanwalt Dr. Frank Schorr der Anwaltskanzlei Diehl & Partner gestehe hiermit im Auftrag meiner Mandantin ITGuards gewerbsmäßige Urheberechtsverletzungen in zumindest drei Fällen begangen zu haben.

    Tatzeitpunkt:
    11.12.2013 und 21.12.2013

    Tatwerkzeug:
    Firefox Vers. 16.0.2
    Google Chrome Vers. 23.0.1271.97

    Meine IP zur Tatzeit:
    88.217.64.18 und 188.174.215.10

    Gegenstand meiner Urheberrechtsverletzung in gewerblichem Ausmaß:
    1: hxxp://xxx.drtuber.com/video/289438/bust…de-nadia-hilton
    2: hxxp://xxx.tnaflix.com/hardcore-porn/Jenteal/video19105
    3: hxxp://xxx.xvideos.com/video880170/celebrities_celebrity

    Um Zustellung etwaiger Ansprüche mir gegenüber bitte ich um kurz vor Weihnachten da hier noch ausreichend Weihnachtsgeld zur Verfügung steht somit können Sie das Weihnachtgeschäft gleich noch mitnehmen. Ausserdem bitte ich um Zustellung in einem neutralen Umschlag damit ich meiner Frau gegenüber mein heimliches Hobby während der Arbeitszeit nicht offenbaren muss. Ich überweise pünktlich auch auf Schweizer Nummer Konten auf ein Treuhandkonto kann verzichtet werden.

    München, 25.01.2014 Dr.Frank Schorr

    Ps: Im übrigen bin ich auf Grund meiner Tätigkeit mit den Technologien der Informationsverarbeitung und Informationsübertragung über das Internet in einem Maße vertraut, welches über das vorliegende Vergehen weit hinaus geht. Gerne downloade und betrachte ich auch in ihrem Auftrag Pornos im Stop and Go Verfahren. Zur Dokumentation unserer Vergehen empfehle ich uns die Software der Firma ITGuards (GLADII 1.1.3) die sich sehr bewährt hatte und über ein Webinterface verfügt dessen Funktionsweise mir schleierhaft ist aber eine Fülle an Informationen liefert. Einfach toll diese IT Welt!

Kommentare sind geschlossen.