Würmer und Viren im Netz

Jahrelang war die Sicherheit ihrer Computersysteme das Stiefkind der Manager. Eindringlich appellierten daher Experten an die Unternehmen, die Sicherheit von Informationstechnologie (IT) zur Chefsache zu erklären. Erstmals in diesem Jahr will die Industrie vor allem in die Sicherung ihrer IT-Infrastruktur investieren: Laut einer Umfrage der Investmentbank Merrill Lynch steigen die Budgets insgesamt nur um wenige Prozent, doch für die IT-Sicherheit wollen die Firmen 40 bis 50 Prozent mehr ausgeben.2 Es war wohl die Entwicklung im Jahr 2003, die den Skeptikern in den Führungsetagen die Gefahren deutlich vor Augen führte: Im Januar 2003 verdoppelte sich beim Angriff des Slammer-Wurms alle 8,5 Sekunden die Anzahl der betroffenen Computersysteme – innerhalb von zehn Minuten waren mehr als 90 Prozent aller angreifbaren Systeme infiziert. Der Wurm CodeRed hatte 20 Monate zuvor noch 37 Minuten für die Verdoppelung der infizierten Systeme benötigt. In den USA verursachte der Slammer-Wurm den Ausfall von über 15 000 Bankautomaten. Dabei nutzte er eine Schwachstelle aus, für die bereits seit sechs Monaten eine Abhilfe verfügbar war.3

Die Warnungen für 2004 sind drastisch: Wong Loke Yeow, Analytiker des amerikanischen Sicherheitsunternehmens TrueSecure, erwartet, dass aggressive Computerviren weiter zunehmen, und rechnet in diesem Jahr mit mindestens einem großen Ereignis mit Milliardenschäden. Da vor allem so genannte Trojaner, also bösartige Programme, die ohne Wissen des Rechnerbesitzers agieren, und Massen-Mailing-Würmer immer häufiger auftreten, prognostiziert ClearSwift, Hersteller von Sicherheitsprodukten, einen Superwurm, der sich über bereits etablierte, geheime Netzwerke gleichberechtigter Rechner („Peer-to-Peer“) verbreiten und in Minutenfrist alle ungeschützten Rechner im Internet infizieren soll. So genannte „Malware-Gangs“ würden dazu den seit Oktober letzten Jahres bekannten Trojaner Sinit einsetzen. Sinit kann ähnlich wie der 2003 weit verbreitete Wurm Sobig.F aus dem Netz neuen, schädlichen Programmkode nachladen. Um dies zu verhindern, wurden die befallenen Server vom Netz getrennt. Dies ist jedoch in Peer-to-Peer-Netzen ohne zentralen Server kaum möglich.4 Zuletzt befiel der Wurm MyDoom im Januar 2004 700000 Rechner und drohte u.a. Microsoft-Server in die Knie zu zwingen. Doch Microsoft war gut vorbereitet – der Wurm zeigte dort keine Wirkung.

Verwundbarkeit der Infrastruktur

Schon die Terroranschläge vom 11. September 2001 hätten Unternehmen und Behörden für das Thema IT-Sicherheit sensibilisieren können. Obwohl diese Anschläge keineswegs gegen das Internet gerichtet waren, zeigten sie deutlich die Verwundbarkeit der dazu gehörenden und der industriellen Infrastruktur allgemein: Als die Zwillingstürme in New York einstürzten, wurden auch Teile der Telekommunikations- und Energieinfrastruktur zerstört. Als ein weiteres Gebäude des World Trade Centers zusammenstürzte, wurde die Schaltzentrale des Telekommunikationsunternehmens Verizon so stark beschädigt, dass in Lower Manhattan Telefonleitungen unterbrochen wurden und das Mobilfunksystem nur noch eingeschränkt funktionierte. Als mehrere Internet-Schaltzentralen (POPs) im Welthandelszentrum zusammenbrachen, führte dies nicht nur zu Ausfällen in New York City, Connecticut und Massachusetts, sondern auch weltweit: Etliche transatlantische Netzverbindungen, die aus Kostengründen über New York City geführt wurden, waren unterbrochen. In Rumänien gingen Netzwerke vom Netz, das CERN in Genf war in Mitleidenschaft gezogen, und Südafrika verschwand mit seinen „.za“-Websites auf Grund einer Störung des Domainnamendienstes für einige Tage ganz von der Internet-Landkarte. Insgesamt reagierte das Internet auf Grund seiner heterogenen Struktur zwar sensibel auf die Anschläge, im Großen und Ganzen jedoch blieb es stabil. Allerdings erwiesen sich die Folgen für die mit dem Internet verbundenen Systeme als gravierend. In New York konnten Ärzte in Krankenhäusern teilweise nicht mehr auf Patientendaten zugreifen. Denn die Krankenhäuser griffen über eine Internetverbindung auf den Anbieter für den drahtlosen Zugang zurück. Als diese ausfiel, konnten die Ärzte mit ihren Personal Digital Assistants (PDA) nicht mehr auf die benötigten Datenbanken zugreifen.

Ende 2001 übten in Deutschland Mitglieder des „Arbeitskreises Schutz von Infrastrukturen“ (AKSIS), eine Interessensvertretung von 80 Unternehmen, erstmals in einem Planspiel den Ernstfall. Zu AKSIS gehören Unternehmen und Verbände, darunter Siemens, Lufthansa, Deutsche Telekom, Deutsche Bank, Deutsche Bahn und die Deutsche Flugsicherung. Unter der Leitung der Firma IABG in Ottobrunn simulierten sie gezielte IT-Angriffe auf den Großraum Berlin. Planspielleiter Reinhard Hutter ging von einem hohen terroristischen Organisationsgrad aus: „Eine IT-Bedrohung besteht eben nicht nur aus singulären Ereignissen.“ Ziel der Angriffe war es, die Infrastrukturen der Beteiligten massiv zu beeinträchtigen. Die Angriffsmethoden waren breit gestreut: Hackerangriffe über das Internet, eingeschleuste Viren und Innentäter, die den Strom abschalteten und Geräte zerstörten. Zuvor eingebaute „Softwarebomben“ platzten und legten Computer lahm. Man wollte damit herausfinden, wie gut die Zusammenarbeit zwischen den betroffenen Branchen funktioniert. Das Ergebnis war für die Beteiligten recht ernüchternd: Im Ernstfall klappt fast nichts mehr. Hutter resümierte diplomatisch, dass danach „ein wesentlich höheres Bedürfnis bestand, miteinander zu kooperieren“. Wenn der Ernstfall eintritt, müssen die Informationen fließen, die Maßnahmen gemeinsam abgestimmt werden. Hutter weiß, dass das Gros der deutschen Wirtschaft unter erheblichen Defiziten leidet und keine Notfallpläne kennt.

Generell gilt: Je komplexer die Informations- und Kommunikationssysteme werden, desto größer sind die Risiken. Wenn es brennt, brauchen nicht nur Unternehmen, sondern auch Behörden und Universitäten dringend Hilfe. Deshalb baut die Bundesregierung Anlaufstellen, so genannte CERTs (Computer Emergency Response Teams), flächendeckend aus. CERTs kommen nicht nur zur Hilfe, wenn es schon brennt. Sie arbeiten auch vorbeugend, indem sie vor Schwachstellen in Produkten warnen und über aktuelle Viren informieren. Wie bei der Feuerwehr proben sie mit Eindringversuchen auch den Ernstfall. Im Bundesamt für Sicherheit in der Informationstechnik (BSI) betreibt die Bundesregierung mit dem CERT-Bund rund um die Uhr ein Lagezentrum sowie einen Warn- und Informationsdienst. Außerdem gibt es eine CERT-Kooperation mit der Deutschen Telekom. Die Universitäten profitieren schon seit Jahren vom DFN-CERT. Um den Informationsaustausch untereinander zu verbessern, gründeten im August 2002 sechs CERTs den nationalen CERT-Verbund. Auch der Mittelstand gilt schon lange als IT-Sicherheitssorgenkind. Laut Bundesinnenministerium nutzen zwar rund 80 Prozent der kleinen und mittelständischen Unternehmen Computer und IT-Netzwerke, sorgen aber meist nicht für ausreichenden Schutz. Seit einigen Monaten kümmert sich das CERT des IT-Verbands Bitkom, das so genannte MCERT, um den Mittelstand. Auch das europäische Projekt EISPP versorgt kleine und mittelständische Unternehmen mit Sicherheitsratgebern, so genannten Security Advisories.5

Informationsverbund

Die notwendigen Informationen müssen rechtzeitig an Ort und Stelle sein. Das gilt für CERTs genauso wie für Polizeibehörden und Geheimdienste. Vor allem in den USA überzeugte die Vorstellung, man hätte die Terroranschläge verhindern können, wäre man nur in der Lage gewesen, „die einzelnen Punkte miteinander zu verknüpfen“. Eine Untersuchung des amerikanischen Think Tanks der Markle Foundation vom Oktober 2002 stellte fest, dass alle an den Flugzeugentführungen beteiligten Attentäter durch Nutzung gängiger Informationsquellen im Vorfeld der Anschläge hätten herausgefiltert und als gemeinsam operierendes Terroristennetzwerk identifiziert werden können.6

Hätten also die Anschläge vom 11.September verhindert werden können, wenn die Fahnder die Informationen rechtzeitig ausgewertet hätten? Auf welche Weise hätten die betroffenen Behörden wie FBI, CIA und Einwanderungsbehörde miteinander kooperieren müssen? Hätte eine gemeinsame Superdatenbank rechtzeitig Warnmeldungen ausgeben können? Schnell konzentrierten sich vor allem in den USA die Hoffnungen der Politik auf den Einsatz von Informationstechnologien. Denn immer schneller rechnende Prozessoren verarbeiten Datenmengen, die auf immer leistungsfähigeren Speichermedien gespeichert werden können. Millionen von Rechnern sind wiederum miteinander verbunden, um Daten auszutauschen. Aus den Datenmassen könnten Strafverfolger Persönlichkeits- und Bewegungsprofile entwickeln, die detailliert Auskunft über Freundschafts- oder eben auch Terrornetzwerke geben können. Hätte also eine zentrale Anlaufstelle, die alle relevanten Daten sammelt, analysiert und die Analysen bei Bedarf den betroffenen Stellen zur Verfügung stellt, die Anschläge vorhersehen und verhindern können? Oder hätte es genügt, wenn die einzelnen Einrichtungen richtig miteinander vernetzt gewesen wären, wenn der Informationsaustausch funktioniert hätte?

In den USA beschloss die Regierung, eine zentrale Behörde, das Ministerium für Heimatschutz, einzurichten. Das Ministerium soll alle Daten aus in- und ausländischen Quellen zentral sammeln, auswerten und entsprechende Maßnahmen ausarbeiten. Auch in Deutschland ließ kurz nach den Terroranschlägen ein Vorschlag aus dem konservativen Lager aufhorchen: So forderte der ehemalige Präsident des Bundesverfassungsschutzes, Eckart Werthebach, eine zentrale Datenbank für „islamistischen Terrorismus“.7 Darin sollten der Militärische Abschirmdienst (MAD), der Bundesgrenzschutz und das Zollkriminalamt ihre Daten einspielen. Werthebachs Idee fand vorerst kein Gehör. Doch das neue Schengen-Informationssystem (SIS II), das seit 2002 entwickelt wird, könnte ein ähnlich umfassendes Datenreservoir bilden. Es soll biometrische Daten verarbeiten und neue Datenbanken enthalten. Auch soll es Personen- und Objektdaten miteinander verknüpfen und so die europäische Rasterfahndung in Ansätzen bereits ermöglichen.

Eine einfache Auswertung der Flugpassagierdaten des 11.Septembers 2001 hätte genügt, um einige der Terroristen von ihrem Vorhaben fern zu halten. So kauften etwa Nawaq Al-Hamzi und Khalid Al-Midhar im August 2001 unter ihren echten Namen Flugscheine für den Flug 77 der American Airline. Beide Namen befanden sich auf der „Tipoff“-Überwachungsliste der Einwanderungsbehörde. Sowohl das FBI als auch die CIA fahndeten nach beiden Männern als mutmaßlichen Terroristen, da sie bei einem einschlägigen Treffen in Malaysia beobachtet worden waren. Hätte das FBI oder die CIA die beiden Namen mit der „Tipoff“-Liste verglichen, hätten sich sofort Treffer ergeben.

Transatlantischer Informationsaustausch

Zu den ersten Maßnahmen der Heimatschutzbehörde zählte daher die genaue Auswertung aller Inlandsflüge sowie aller Flüge in die USA. Seit März 2003 müssen europäische Luftfahrtgesellschaften amerikanischen Zollbehörden Zugriff auf ihre Flugpassagier-Datenbanken gewähren, wenn sie nicht ihre Landegenehmigung riskieren wollen. Zu den Datensätzen gehören neben Namen, Geburtsdatum, Anschrift und Telefonnummer des Reisenden auch die Namen seiner Mitreisenden und seines Reisebüros sowie des Reisebüro-Sachbearbeiters. Ebenfalls gewünscht ist die Rechnungsanschrift, die E-Mail-Adresse und der Reisestatus. Eingespeist werden die europäischen Daten in das amerikanische Flugpassagier-Kontrollsystem.

Es stuft Passagiere in verschiedene Risikokategorien ein: „Grün“ für „minimales Risiko“, „Gelb“ für „erhöhte Sicherheitsmaßnahmen“ und „Rot“ für „Strafverfolgung alarmieren für etwaige Festnahme“. Das CAPPS II genannte System soll „innerhalb von fünf Sekunden eine Analyse und Risikoabschätzung erstellen und Terroristen identifizieren“ können, so Steve McHale von der amerikanischen Transportsicherheitsbehörde. Dafür würden die Passagierdaten mit dem „besten geheimdienstlichen US-Aufklärungsmaterial über Terroristen“ abgeglichen.8

Die Datenquellen sind vielfältig, da die amerikanischen Behörden überwachen dürfen, welche Website ein Bürger im Internet besucht. Sie dürfen Listen darüber führen, wer wem eine E-Mail geschickt oder wen er angerufen hat. Die Bundesbehörde FBI darf jederzeit Aufzeichnungen von Büchereien, Banken, Colleges, Hotels, Krankenhäusern und Firmen über ihre Kunden einsehen. FBI-Agenten dürfen die Kreditwürdigkeit eines jeden überprüfen, der in einem Untersuchungsfall von Interesse ist. Ein Anfangsverdacht ist nicht nötig, eine richterliche Überprüfung findet nicht statt. Das Flugüberwachungssystem verwendet auch Daten kommerzieller Firmen. Der Datenkonzern Choicepoint etwa liefert regelmäßig Daten an das amerikanische Justizministerium. In Mexiko ist die Firma höchst umstritten, da sie über Mittelsmänner das komplette mexikanische Wählerregister für 250000 Dollar erworben hatte, um sie amerikanischen Behörden gegen Entgelt zur Verfügung zu stellen.

Auf Grund dieses neuen Kontrollsystems wurden bereits unschuldige Reisende festgehalten und stundenlang verhört. Im Oktober 2003 verweigerte der Grenzschutz einer Deutschen die Einreise in die USA, wo sie ihren Verlobten besuchen wollte. Die Entscheidung beruhte unter anderem auf Daten des Internet-Buchhändlers Amazon. Die in Pakistan geborene Frau wurde bei der ersten Kontrolle festgenommen und sechs Stunden lang vernommen. Dem Verlobten gegenüber begründeten die Grenzschützer dies damit, dass die Frau offensichtlich Bücher über Zweitsprachen mag. So hatte sie sich auf einer so genannten Wunschliste von Amazon. com registriert und insgesamt 247 Titel eingetragen. Offenkundig durchforstet das Verdachtsgewinnungssystem zur Terrorismusbekämpfung auch öffentliche Daten nach Personeninformationen, um diese nach standardisierten Parametern aufzubereiten. Relevant mag der Hinweis der Frau auf der Amazon-Wunschliste über sich selbst gewesen sein: „lebte in Pakistan, Frankreich, London und den USA, heirate am 5. Juni 2004“.9

Wirtschaftsinteressen

Eine gezielte Abfrage der Flugpassagierdaten bezüglich bestimmter Hypothesen und Fragestellungen kann aber nicht nur für die Terrorbekämpfung, sondern auch für Wirtschaftsspionage relevante Daten herausfiltern. Bucht etwa eine Firma über ein eigenes Reisebüro, können Personen dieser Firma zugeordnet werden. Konkurrieren mehrere Unternehmen um eine lukrative Regierungsausschreibung in einem bestimmten Land, können Flüge in dieses Land als Indikator für Vorverhandlungen gewertet werden. Ebenfalls denkbar ist es, Flüge von Firmenvertretern in ein Embargoland als Indikator für Verhandlungen zu werten. Kritisch wird es auch, wenn die Flugpassagierdaten mittels der angegebenen Kreditkartennummer mit den Daten von Kreditkartenunternehmen verknüpft werden. Carsten Bange, Geschäftsführer des Würzburger „Business Application Research Center“, hält „die wenigen relevanten Datensätze in diesen Massendaten“ für „problematisch“. Die Fahnder benötigten „eine ausreichende Menge von bekannten Flügen von Terroristen“. Sind diese verfügbar, könne man anhand der Profile der bekannten Terroristen-Flüge ähnlich wie bei der Bonitätsprüfung in einer Bank die relevanten Felder und ihre Kombination untereinander herausfinden und eine Wahrscheinlichkeit dafür ausrechnen, dass jemand ein Terrorist sein könnte.

Verwechslungen machen den Ermittlern ebenfalls zu schaffen: Im Dezember 2003 wurde ein Fünfjähriger mit einem mutmaßlichen tunesischen Extremisten an Bord einer Air-France-Maschine verwechselt. Ein möglicher Grund für Verwechslungen könnte sein, dass es bis dato keine zentrale Terroristenliste gab, mit der die Passagierdaten zuverlässig abgeglichen werden konnten. Stattdessen pflegt jede Behörde eigene Datenbanken. Das General Accounting Office (GAO), die Prüfbehörde des amerikanischen Kongresses, zählte 2003 zwölf Datenbanken der Regierung, in der Terrorverdächtige erfasst werden. Neun Regierungsstellen pflegen die Datenbanken, die unter drei verschiedenen Betriebssystemen laufen und Daten in inkompatiblen Formaten speichern. Acht Datenbanken verwenden firmenspezifische Standards, sieben sind nicht vernetzt. Der Geheimdienst CIA unterhält eine Datenbank, ebenso der U.S. Marshals Service und das Pentagon. Das Außenministerium, zuständig für Einreisevisa, hat zwei Datenbanken. Die Bundespolizei FBI hat drei, das Ministerium für Heimatschutz vier, darunter die „No-fly“-Liste mit den Personen, die nicht an Bord von Flugzeugen gelassen werden sollen.10 Im September 2003 beschloss die Bush-Regierung die Einrichtung einer zentralen Informationssammelstelle, das so genannte Terrorist Screening Center (TSC). Das Zentrum erweitert nun seit Dezember 2003 die „Tipoff“-Liste des Außenministeriums um Informationen aus den elf anderen Datenbanken.

Die Stecknadel im Heuhaufen

Der ehemalige amerikanische Vizepräsident Al Gore, selbst ein durchaus technikbegeisterter Mensch, meint, die Suche nach Terroristen gleiche der nach einer Stecknadel im Heuhaufen. Würden alle erdenklichen Daten gesammelt und verarbeitet, werde der Heuhaufen nur größer und das Auffinden schwieriger.11 Bruce Schneier, ein angesehener Experte für Computersicherheit in Kalifornien, zeigt sich noch skeptischer: Er ist der Ansicht, dass erst nach einer Bewertung der Fakten eine gezielte Suche nach einzelnen Stecknadeln überhaupt möglich sei. Erst nach dem 11. September konnten die Daten in einen sinnvollen Zusammenhang gebracht werden, vorher seien die Ermittler in den Datenmassen schier ertrunken.12

In Deutschland versuchten die Strafverfolger mit Hilfe der Rasterfahndung islamistische „Schläfer“ aufzuspüren. Doch wie erfolgreich die Rasterfahndung wirklich ist, ist unter Experten umstritten. Etwa 20000 Datensätze hat das Bundeskriminalamt mit der bundesweiten Rasterfahndung gespeichert. Ziel der Rasterfahndung war es, weitere „Schläfer“ zu identifizieren, um Anschläge verhindern zu können. Doch das für die Rasterung verwendete Profil war so unscharf, dass es aus den Datenbanken von Universitäten, Versorgungsunternehmen und Transportgesellschaften eigentlich nur alle männlichen Studenten islamischen Glaubens ermittelte. Fahndungserfolge waren eher indirekt auf die Rasterfahndung zurückzuführen.

Denn wesentliche Fragen blieben nach dem Datenabgleich offen und erforderten intensive Ermittlungen: Welche Querverbindungen gibt es zwischen einzelnen Personen? Über welche Kommunikationsmittel werden sie gepflegt? Die benutzten Datenverarbeitungsprogramme müssten Verbindungen darstellen können, etwa als Grafik auf dem Bildschirm. Aber nur wenige Landeskriminalämter wie Brandenburg oder Bayern verfügen über eine solch moderne Fahndungssoftware. Die Rasterfahndung selbst wurde übrigens verfassungsrechtlich nie auf Herz und Nieren geprüft – obgleich der einzige Erfolg, den die Terroristenjäger mittels Rasterfahndung bis dato erzielen konnten, 1979 die Festnahme des RAF-Terroristen Rolf Heißler war.13

Es kann nicht darum gehen, immer mehr Daten über meist unschuldige Bürger zu sammeln, sondern darum, die vorliegenden Daten richtig und zeitig miteinander in Verbindung zu bringen. Nur dann können terroristische Gefahren wirksam abgewandt werden. Doch allein umfassende Computersysteme werden dies nicht leisten, eine einzige zentrale Einrichtung wird dem Problem nicht gerecht werden können. Experten unterschiedlicher Organisationen können nur dann die richtigen Puzzlestückchen zueinander legen, wenn sie sich auf Arbeitsebene schnell und flexibel nach Vorbild der CERTs austauschen können. Denn CERTs müssen wie Terrorfahnder mit flexibel und dynamisch agierenden, dezentral organisierten Bedrohungen fertig werden. Dasselbe Prinzip gilt auch für die Prävention von Gewalt und Terror auf gesamtgesellschaftlicher Ebene.

Anmerkungen

1  Vgl. John S. Quarterman, The Internet under Crisis Conditions: Learning from September 11, Computer Science and Telecommunications Board, National Research Council, The National Academies Press, Washington, DC, 2003, <http://books.nap.edu/books/0309087023/html/R1.html&gt;.

2  Vgl. Harald Weiss, Rüstungsindustrie und PC-Ersatz dienen als „Jobmaschine“, in: VDI-Nachrichten, 16.1.2004.

3  Vgl. Günther Ennen, Vermeiden Sie das Chaos im Chaos, in: Bundesamt für Sicherheit in der Informationstechnik (Hrsg.), IT-Sicherheit im verteilten Chaos, Tagungsband 8. Deutscher IT-Sicherheitskongress des BSI, Bonn 2003.

4  Vgl. Heise online, Warnungen vor Spam-Verbot und großen Viren-Schäden, 5.1.2004, <http://www.heise.de/security/ news/meldung/43336> und Clearswift sagt Superwurm für 2004 voraus, 15.1.2004, <http://www.heise.de/security/news/meld ung/43672>.

5  Vgl. European Information Security Promotion Programme (EISPP), <http://www.eispp.org&gt;.

6  Vgl. Markle Foundation, Protecting America’s Freedom in the Information Age, Oktober 2002, S. 28, <http://www.markle.org/news/NSTF_Part_1.pdf&gt;.

7  Vgl. Eckart Werthebach, Task Force Zukunft der Sicherheit, Idealtypische Organisation innerer und äußerer Sicherheit, Gütersloh 2002, <http://www.bertelsmann-stiftung.de/documents/GutachtenWerthebach.pdf&gt;, sowie seinen Beitrag, S. 33ff.

8  Vgl. U.S. Officials Discuss Homeland Security, Passenger Name Record with EU, 6.5.2003, <http://www.useu.be/Terrorism/ USResponse/May0603BrowningPNREP.html#McHale>.

9  Vgl. Datenschutz-Nachrichten (DANA), Nr.4/2003, S. 29.

10Vgl. Dietmar Ostermann, US-Terrorfahnder verheddern sich im Daten-Dickicht, in: Frankfurter Rundschau, 5.1.2004, <http://www.fr-aktuell.de/ressorts/wissen/netzwerk/?cnt=365722&gt;.

11Vgl. Remarks by Al Gore on Freedom and Security, 9.11.2003, <http://www.acslaw.org/goretext.pdf&gt;.

12Vgl. Bruce Schneier, Fixing Intelligence Failures, in: Crypto-Gram Newsletter, 15.6.2002, <http://www.schneier.com/cryp to-gram-0206.html>.

13Vgl. Walther Graf, Rasterfahndung und organisierte Kriminalität, Texte „Umwelt Kriminalität Recht“, Band 3, Bonn 1997.