2005 "stahlen" zwei Männer mehrere Millionen Kreditkartendaten aus einem ungesicherten Netzwerk der Ladenkette TJ Maxx und verkauften sie online. Der Schaden für das Unternehmen: Über 150 Millionen Dollar. Einer ihrer Kunden war der Ukrainer Maksym Yastremskiy, nach Medienberichten eine "wichtige Figur im internationalen Handel mit gestohlenen Kreditkartendaten".

Yastremskiy wurde 2007 während eines Urlaubs in der Türkei festgenommen. Die USA haben einen Auslieferungsantrag gestellt und Klage wegen "schwerem Identitätsdiebstahl" und weiteren Vergehen gegen den Ukrainer erhoben.

Während Yastremskiys Haft in einem türkischen Gefängnis könnte es zu Folter gegen den Verdächtigen gekommen sein. Das zumindest legt ein Kommentar von Howard Cox nahe. Cox, ein leitender Beamter des amerikanischen Justizministeriums in der Abteilung für Computerkriminalität und Geistiges Eigentum, erklärte, die türkischen Behörden könnten physische Gewalt angewendet haben, nachdem sie an der von Yastremskyi angewendeten Verschlüsselung gescheitert seien.

Die Aussage fiel auf einer geschlossenen Konferenz für Phishing-Experten. Cox soll dabei einen Witz darüber gemacht haben, dass man sture Verdächtige nur eine Woche lang allein mit der türkischen Polizei lassen müsse, bis sie freiwillig ihre Passwörter verrieten. Nach Berichten von CNET wurde diese Aussage von vier Teilnehmern unabhängig voneinander bestätigt. Sie berichteten auch, dass die "speziellen" Verhörmethoden erfolgreich gewesen zu sein scheinen, da Cox den Anwesenden das Passwort Yastremskyis mitteilen konnte.

Bisher ist nicht klar, ob die Aussagen des Beamten der Wahrheit entsprechen. Anfragen sowohl an ihn und sein Büro als auch an die türkische Botschaft in Washington DC wurden laut CNET bisher nicht beantwortet. Genauso unklar ist auch, ob die durch Folter gewonnen Informationen im Falle einer Auslieferung Yastremskyis an die USA vor einem dortigen Gericht gegen ihn verwendet werden dürften und seit wann US-Behörden Kenntnis von der Folteranwendung haben.

Sollten die Anschuldigungen allerdings zutreffen, stellt das eine gefährliche Lage dar. Bisher wurde "Rubber-hose cryptoanalysis", also "Gummischlauch-Kryptoanalyse", wie die Erzwingung der Herausgabe von Passwörtern mittels Folter scherzhaft genannt wird, allenfalls theoretisch diskutiert. Die meisten Verschlüsselungstools setzen dementsprechend auch darauf, dass der User die Herausgabe eines Passwortes verweigern kann, wenn sein Computer beschlagnahmt wird.

Nur wenige Programme, etwa TrueCrypt, erlauben eine Verschlüsselung, die von außen nicht erkennbar ist. Ermittler können also nicht wissen, ob sich verschlüsselte Daten auf einem Speichermedium befinden. Das verhindert zwar nicht, dass Verdächtige gefoltert werden, macht es aber für die Ermittler unmöglich zu wissen, wann die Anwendung von Folter zweckmäßig ist. Im schlimmsten Fall könnte dies dazu führen, dass Verdächtige gefoltert werden, obwohl sie den Ermittlern keine Informationen vorenthalten.

Meinung: Der deutsche Journalist und studierte Jurist Heribert Prantl benennt Folter in seinem Buch "Der Terrorist als Gesetzgeber" als eine der größten Gefahren für den Rechtsstaat, und verknüpft die Zunahme von Folter in westlichen Staaten mit wachsender Überwachung und dem Abbau rechtsstaatlicher Sicherungsmechanismen.

Die Anwendung von Folter, um an Passwörter zu gelangen, dient nicht der Bestrafung. Sie wird ausschließlich angewendet, um Informationen aus Verdächtigen herauszupressen. Das bedeutet, dass die Unschuldsvermutung umgekehrt wird: Der Verdächtige muss beweisen, dass er unschuldig ist, um der Folter zu entgehen - oder gestehen.

Bisher gilt in Deutschland noch, dass niemand sich selbst belasten muss. In Großbritannien kann man allein für die Weigerung, seine Passwörter zu verraten, für fünf Jahre hinter Gitter gebracht werden. Wie lange dauert es, bis man allein auf den Verdacht hin, Dateien verschlüsselt zu haben, verurteilt werden kann?

Fefe berichtet fälschlich, die USA hätten Yastremskyi in die Türkei ausgeflogen, um ihn dort Foltern zu lassen. Sollten die USA die Folter von Verdächtigen in Staaten mit geringeren rechtlichen Barrieren "outsourcen" und die gewonnen Informationen später im eigenen Land vor Gericht verwenden, könnte diese Praxis schon bald auch zur Normalität in der EU werden. Großbritannien bietet sich als Vorreiter an. (Simon Columbus)

(via CNET, thx!)