36C3 Vorspannmusik Herald-Engel: Gut, dann machen wir weiter mit Uli oder Rechtsanwalt Ulrich Kerner, der uns über ein sieben Jahre altes, nein, seit 2007 zwölf Jahre altes Gesetz berichten wird. Wie die Rechtslage da drin ist, habe ich bis heute nicht kapiert, bin aber selbst davon betroffen; und ich denke immer: Hilfe! Ich habe nmap Signal-Engel: Halt halt halt halt halt halt halt. Den Hashtag hätte ich gerne nochmal da oben drauf. Damit ich die Fragen aus dem Internet hab. Twitter und IRC. Und jetzt: H: Einen Applaus für Uli! Applaus Ulrich Kerner: So. Hallo zusammen. Ich freue mich, dass so viel Leute gekommen sind. Ich freue mich auch, dass ich wieder hier sein darf, nachdem ich vor drei Jahren schon mal in Hamburg auf dem Kongress war. Heute geht es um den Hacker Paragrafen 202c StGB Cybercrime Ermittlungen. Vorsicht vor der Polizei oder nicht im falschen Forum posten. Das wird sich nachher erklären. Warum dieser Titel? Was möchte ich heute hier vorstellen? Einmal eine kurze Einleitung, wo wir uns befinden. Dann den 202c in der Gesetzgebung und ein bisschen den Meinungsstand, was darunter zu verstehen ist. Dann: Wie sieht das in der Realität aus? Was hat der für eine Relevanz? Wie wird da ermittelt und zum Schluss ein bisschen Ausblick und Fragen beantworten. Grundsätzlich ist der... blättert Also wenn wir reden hier von Internet, Strafrecht und Gesetzgebung, da müssen, meine ich, zwei Dinge gesagt werden: Erstens: im juristischen Bereich ist immer noch normal, dass wir Faxe schreiben. Wir schicken also Faxe an die Gerichte, an die Behörden, die uns genauso. Wir sind da sozusagen noch ein bisschen in der Entwicklung hinterher. Und das ist nicht nur in der Justiz so und in der Strafrechtspflege, sondern aus meiner Sicht auch im Fall in der Gesetzgebung, dass im Bundestag zwar regelmäßig Aktivitäten entfaltet werden, die aber häufig ein bisschen am Ziel vorbei schießen. Kleines Beispiel dazu: Als vor etwa einem Jahr der unter dem Namen Orbit jemand Daten von Politikern und von Prominenten ins Netz gestellt hat, war also der Schrei laut: Cyber-Angriff auf Politiker, auf Bundestagsabgeordnete. Beim genaueren Hinsehen sah man dann, dass da wenig, sag ich mal, echte Cyber- Kriminalität dahinter war. Es war ein Fall von Doxing. Die meisten Daten fanden sich frei im Netz, und da, zumindest nach meinem Wissensstand, wo vielleicht tatsächlich der eine oder andere Account übernommen wurde, passierte das nicht mit sozusagen hoher technischer oder IT- technischem Geschick, sondern einfach mit dem Erraten von Passwörtern, die einfach zu einfach waren. Und die Reaktion der Bundesregierung war, dass Innenstaatssekretär Stephan Mayer erklärte, dass jetzt ein Cyber- Abwehrzentrum Plus in Aktion treten soll. Was daraus geworden ist, ist mir nicht so klar. Aber wenn wir Cyber-Abwehrzentrum hören, dann findet man schnell, wenn man sucht, aus 2014 beispielsweise, das ist jetzt hier von der Tagesschau ein Bericht über vertraulichen Bericht über einen vertraulichen Bericht des Bundesrechnungshofes, der also sagt, dass das NCAZ - das Nationale Cyber- Abwehrzentrum - eigentlich nicht gerechtfertigt sei. Zitat: "Es wäre der einzige vorgegebene Arbeitsablauf, wäre die tägliche Lagebesprechung und eine Handlungsempfehlung auf politisch- strategischer Ebene im Jahresbericht". Das ist sozusagen, was die Bundesregierung tut, um unsere Rechte zu schützen. Es ist also ein nicht ganz einfaches Verhältnis, und das, meine ich, sieht man hier auch an dem 202c. Der 202c ist durch die Cybercrime-Convention auf den gesetzgeberischen Plan gekommen. Ich will gleich ein bisschen das Gesetzgebungsverfahren darstellen und dann die Klage beim Bundesverfassungsgericht über die Verfassungsbeschwerden, die beim Bundesverfassungsgericht anhängig waren. Beginnen wir mit der Cybercrime Convention. Das sind zwei Übereinkommen: das Übereinkommen des Europarates und ein Rahmenbeschluss des Rates der EU, der den Ziel hat, die Ziele hatten, Mindeststandards über bestimmte schwere Formen der Computerkriminalität im europäischen Raum zu verwirklichen und außerdem die Zusammenarbeit und die Rechtshilfe unter den Staaten zu verbessern. Und einen Teil davon; nur ein Teil, der in Artikel 6 der CCC zu finden ist, ist also das Anliegen, dass jeglicher Umgang mit Computerprogrammen, die zur Begehung einer solchen Straftat dienen sollen, unter Strafe gestellt werden sollen. Ich habe hier mal den englischen Text. Man muss noch dazu sagen, dass Artikel 6 einen Absatz 3 hat, der es den Vorberhalt - eine Vorbehaltregelung hat, so dass die einzelnen Nationalstaaten sagen konnten: "Diesen Artikel 6, den Inhalt wollen wir gar nicht umsetzen." Die Bundesrepublik hat halt tatsächlich in Ansätzen davon Gebrauch gemacht, aber war eben der Meinung das, was wir hier finden, also "devices including computer programs", dass die entweder für illegalen Zugang, illegales Abhören oder Abfangen von Daten; für Eingriffe und Störungen von Daten; dafür geschrieben wurden, oder "adapted primarily" also dafür konfiguriert wurden, dass die unter Strafe gestellt werden sollen. Es gab dann einen Gesetzesvorschlag der Bundesregierung. Das Ganze wurde durchaus schon kontrovers diskutiert. Der Bundesrat war da, hatte Bedenken, sagte das ist alles zu weit gefasst. Dann ist sozusagen der übliche Ablauf: Es gibt eine Gegenäußerung. Es gab eine öffentliche Anhörung, und dann wurde das Ganze in den Rechtsausschuss verwiesen. Und der Rechtsausschuss hat dann mit Stimmen eigentlich aller Parteien bis auf die Linkspartei dem Bundestag empfohlen, diesen Gesetzesentwurf anzunehmen. Und jetzt Sinn des 202 ist nach der Bundesregierung und nach der Bundestagsdrucksache, nach der hier zitierten, dass mit dem neuen 202c Strafgesetzbuch sollen bestimmte, besonders gefährliche Vorbereitungshandlungen selbstständig unter Strafe gestellt werden. Damit hier alle das Konzept verstehen: wenn Strafbarkeit auf Vorbereitungshandlungen ausgedehnt wird, möchte ich das mal kurz erläutern. Grundsätzlich ist es so: Wenn wir einen Tatablauf haben, dann haben wir Vorbereitung, die ist in der Regel straflos. Wir haben dann die Situation, wo der Täter in den Versuch mit dem Versuch beginnt, in das Versuchsstadium eintritt, und wenn er da erfolgreich ist, dann haben wir irgendwann eine Vollendung, und haben wir bei bestimmten Delikten noch eine Beendigung. Vorbereitungshandlungen sind in der Regel nicht strafbar. Ich nehme ein Beispiel. Wenn also jemand sich überlegt Ich möchte jemand anders kräftig treten, sozusagen nicht strafbar. Wenn sich die Person jetzt ihre schweren Bergstiefel anzieht, damit es auch richtig wehtut, dann ist das auch noch nicht strafbar. Dann sind wir noch in der Vorbereitungshandlung. Und bei der Körperverletzung ist die Vorbereitungshandlung eben straffrei. Wenn dann die Person tritt, und aber nicht trifft beispielsweise, dann wären wir im Versuch. Versuch beginnt, wenn nach der Sicht des Täters das unmittelbare "Jetzt geht es los" überschritten ist. Also wenn ich aushole, um zu treten, und ich trete daneben oder falle hin oder was auch immer, dann bin ich also im Versuch. Und der ist bei der Körperverletzung auch strafbar, unter Strafe gestellt. Wenn jetzt jemand beispielsweise gegen ein Auto treten will, um eine Beule rein zu machen, und das Auto fährt rechtzeitig weg, und er tritt daneben. Dann wäre das auch ein Versuch, aber der Versuch ist bei der Sachbeschädigung nicht strafbar. Gesetzgeberische Wertung. Wir haben die Wertung, dass der Versuch bei allen Verbrechen strafbar ist. Das sind Taten, die Mindestmass mit einem Jahr bedroht sind; und ansonsten nur, wenn es der Gesetzgeber ausdrücklich geregelt hat. Und alles, was in den Vorbereitungshandlungen ist, ist nicht von Strafe, ist nicht strafbar. Also wer in den Großshop geht, um sich Pflanzenlampen, Bewässerungsanlagen zu kaufen, um nachher Cannabis anzubauen beispielsweise, macht sich durch den Erwerb dieser Sachen noch nicht strafbar. Da müssten erst weitere Akte hinzukommen. Hier aber explizites Interesse des Gesetzgebers, eben schon Vorbereitungshandlungen unter Strafe zu stellen. Und so sieht der heutige 202c aus. Da heißt es auch, "wer eine Straftat nach 202a oder 202b vorbereitet". Und jetzt kommen 2 mögliche Tatalternativen: erstens Passwörter oder ähnliches. Oder hier Nummer zwei. Und das ist, worum es hier mir heute geht. "Computerprogramme, deren Zweck die Begehung einer solchen Tat ist". Und jetzt kommen die einzelnen Tatmodalitäten, Tathandlungsmodalitäten "herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht". Der wird also mit Geldstrafe oder mit Freiheitsstrafe bis zu zwei Jahren bestraft. Diese Ausweitung der Strafbarkeit versteht man nur, wenn man auch den 202a und 202b, deren sozusagen, auf die die Tat abzielen muss. Wenn man da kurz reingeschaut hat: 202a ist das Ausspähen von Daten, das Zugang verschaffen zu "besonders gesicherten Daten" und zwar unberechtigten Zugang, auch digitaler Hausfriedensbruch genannt und tatsächlich schon durch das zweite Gesetz zur Bekämpfung der Wirtschaftskriminalität Mitte 86 ins Gesetz gekommen. Damals allerdings noch mit ein bisschen anderem Wortlaut, und hat seine heutige Fassung durch das 41. Strafrechtsänderungsgesetz, mit dem auch der 202c, der Hackerparagraf erlassen wurde. So, also wir haben sozusagen als Taten, auf die jemand diese Programme herstellen oder ähnliches muss einmal das Ausspähen von Daten 202a und 202b, das Abfangen von Daten. Hier ist also nicht mehr nötig, dass besondere Sicherungsmaßnahmen vorhanden sind oder umgangen werden. Hier reicht es, dass Daten, die übermittelt werden, mittels technischer Mittel abgefangen werden. Und nur als kleiner Hinweis: Wir haben ähnliche Vorbereitungshandlungen, die unter Strafe gestellt sind, auch woanders in den Computer- oder IT-Delikten. Einmal bei der Datenveränderung, wo es in Absatz heißt: "Für die Vorbereitung einer Straftat nach Absatz 1 gilt jetzt 202c entsprechend". Und wir haben das nochmal in der sogenannten Computer-Sabotage 303b. Wen das interessiert, kann sich das mal in Ruhe anschauen, da über einen Verweis auf entsprechende Anwendung von 202c. Sozusagen Vorfeldkriminalisierung von Vorbereitungshandlungen, die sonst nicht strafbar werden. Zurück zum Paragrafen 202c, zum Hackerparagraf. Das Problem ist hier, dass "Computerprogramme, deren Zweck die Begehung einer Tat das Ausspähen von Daten ist", jeglicher Umgang damit unter Strafe gestellt ist. Und es fragt sich ein bisschen, was man darunter verstehen soll oder was man darunter nicht verstehen soll. Hier kam eben sozusagen in der Anmoderation die Frage "Ich habe nmap", ein durchaus mächtiges Tool. Mache ich mich schon strafbar, wenn ich auf meiner Linux-Distribution habe oder nicht? Das Gesetz verlangt, dass der objektive Zweck des Programmes eine Straftat, das Ausspähens oder Abfangens von Daten ist. Problem: Programme oder Gegenstände haben keinen objektiven Zweck. Programme und auch Gegenstände haben Eigenschaften. Um ein Beispiel zu nennen: Eine Pistole hat die Eigenschaft, dass sie ein Projektil sehr schnell mit hoher Energie aus dem Lauf schießen kann und ob damit jemand auf eine Zielscheibe aus sportlichen Gesichtspunkten oder aber auf Menschen schießt ist nicht Zweck dieser Pistole, sondern das liegt eben, Zweck gibt eine Person diesem Gegenstand oder dem Programm, das an sich nur Eigenschaften hat, die eben für bestimmte Zwecke gebraucht werden können. Insofern etwas unklar, was hier erfasst ist und was nicht erfasst ist. Nach den Verlautbarungen der Bundesregierung sollen also klassische oder typische Hacker-Tools erfasst sein. Es sollen aber nicht erfasst werden Programme, die auch anderen Zwecken dienen können, so genannte Dual-Use-Tools oder Dual-Use-Programme. Das heißt, dass dieser objektive Tatbestand der Strafbarkeit, der Zweck dieses Programm des Programms, also doch subjektiv bestimmt werden muss. Und genau an dieser Stelle liegt das Problem. Das Ganze war, meine ich wenig überraschend, Gegenstand von Verfassungsbeschwerden, Individual- Verfassungsbeschwerden vom Bundesverfassungsgericht, die mit einem, die das Verfassungsgericht nicht angenommen hat, und ich hab hier die Aktenzeichen aufgeschrieben. Wer das nachlesen will, findet es gleich im Internet. Das Bundesverfassungsgericht hat gesagt: Die drei Beschwerdeführer sind nicht gegenwärtig, selbst gegenwärtig und unmittelbar beschwert. Möchte ich kurz erklären, was das Bundesverfassungsgericht dazu ausgeführt hat. Geklagt hatten oder Verfassungsbeschwerde erhoben hatten 3 Personen. Das eine war ein Hochschullehrer, der gesagt hat, er nutzt also viele Tools, die er ja seinen Studenten Studentinnen zur Verfügung stellt, die man zum Teil auch auf seiner Website runterladen kann. Unter anderem auch das Programm nmap. Und er hatte, er ist davon ausgegangen, er macht sich schon strafbar. Zweiter Beschwerdeführer war der Geschäftsführer einer Sicherheitsfirma, die Penetrations-Tests durchgeführt haben und dafür auch Hacker-Software oder Software aus anonymen Hacker-Foren verwendeten. Ich war der dritte Beschwerdeführer, weil ich gesagt habe, ich benutze Linux, und ich habe hier eine Menge Tools auf jeder Linux-Distribution wie beispielsweise nmap, wo ich doch eigentlich davon ausgehen kann, das kann man für kriminelle Zwecke verwenden. Ich weiß auch nicht, wieso und mit welchem Hintergedanken das geschrieben wurde. Ich fühle mich hier letztendlich auch bedroht davon. Das Bundesverfassungsgericht verlangt selbst, dass die Beschwerdeführer selbst unmittelbar und gegenwärtig betroffen sind. Und das liegt insbesondere vor, wenn bei einer möglichen, nicht fern liegenden Auslegung dieses Tatbestandes das Risiko gegeben ist, dass man sich strafbar macht. Dem hat das Bundesverfassungsgericht aber letztendlich eine Absage erteilt. Und zwar hat es ausgeführt, dass Dual-Use-Tools grundsätzlich nicht erfasst sind und weiter ausgeführt: Der Zweck ist eben nichts Objektives letzendlich, was dem Programm innewohnt, sondern beschreibt Beweggrund und Ziel einer Handlung und nicht des Programms selber. Und das ist dann jetzt wieder natürlich subjektiv festzustellen und muss aber muss sich äußerlich feststellbar manifestieren an der Gestaltung des Programms selbst. Was auch immer ich mir jetzt darunter vorstellen soll oder eben an einer eindeutig auf illegale Verwendung abzielenden Werbung oder Vertriebsweise. Gleichwohl meine ich ist auch das weiterhin recht unbestimmt. Was macht daraus so die Literatur, wenn wir in die juristische Kommentierung gucken? Ich zitiere mal aus Schönke / Schröder. Da heißt es dann eigentlich entsprechend "bei Programmen, deren funktionaler Zweck nicht eindeutig kriminell ist und die erst durch eine missbräuchliche Anwendung zu einem Tatwerkzeug werden (vor allem Dual-Use- Tools wie password scanner und Netzwerk- Sniffer), ist der Tatbestand nicht verwirklicht" und dann mit Verweis auf verschiedene Bundestagsdrucksache und verschiedene andere Gerichtsentscheidung. So in der Praxis macht das allerdings immer noch, ist das immer noch finde ich äußerst unbestimmt und macht Schwierigkeiten. Wir wollen uns jetzt, nach diesem kurzen, sag ich mal, juristischen Teil mal anschauen: Wie sieht es hier in der Praxis aus? In der Praxis hat der 202c tatsächlich eine geringe Bedeutung. Ich habe hier zur Vorbereitung mal bei Juris, das ist eine juristische Entscheidungs-Datenbank, wo also Gerichtsurteile veröffentlicht werden, geschaut, was es denn da gibt und war erstaunt, dass Juris insgesamt für dieses vor 12 Jahren erlassene Gesetz 8 Entscheidungen kennt. Davon ist natürlich eine Entscheidung die Entscheidung des Bundesverfassungsgerichts. Eine Entscheidung ist vom Verwaltungsgericht Hannover. Da ging es um Pressefreiheit und Äußerungen eines Oberbürgermeisters. Und dann haben wir 6 Zivilurteile, also von Zivilgerichten. Da geht es zum Beispiel um die fristlose Entlassung eines GmbH- Geschäftsführers wegen Falschabrechnung von Auslagen und Herunterladen von Hackersoftware auf seinen Dienstlaptop. Und es gibt tatsächlich nur eine einzige Entscheidung aus dem strafrechtlichen Bereich: ein Beschluss des OLG Kölns. Da ging es nicht um die Verurteilung, jemanden, der mit solchen Programmen gehandhabt hat, umgegangen ist, sondern das ist ein Beschluss in einem Klageerzwingungsverfahren. Klageerzwingungsverfahren ist ein Verfahren, wenn ich verletzt an einer Straftat bin und ich zeige die an, und die Staatsanwaltschaft stellt ein. Dann kann ich, da gibt es das Klageerzwingungsverfahren. Diese Vorschalt-Beschwerde, ich beschwere mich erstmal und sage "Liebe Staatsanwaltschaft, das müsst ihr doch verfolgen". Und wenn dann die Beschwerde, wenn der nicht abgeholfen wird, durch die Generalstaatsanwaltschaft, dann kann ich mich ans Gericht wenden im Klageerzwingungsverfahren und sagen "Liebes Gericht, das muss doch verfolgt werden". Weise bitte mal die Behörden an, das zu tun. Also: die einzige strafrechtliche Entscheidung ist eine solche, sozusagen bringt uns da auch nicht weiter. Was kann man noch sagen zur Relevanz? Die Polizeiliche Kriminalstatistik für 2018 gibt für den Ganzen, für die vier Delikte Ausspähen, Abfangen von Daten einschließlich Vorbereitungshandlungen 202c und die Datenhehlerei 8762 Fälle an, also für vier verschiedene Strafnormen. Mal im Vergleich: Körperverletzungstaten haben wir ein bisschen mehr als 550.000. 554.653 Fälle. Um es klar zu sagen: Die Gefahr, Opfer einer Körperverletzung zu werden, ist also ungleich größer als hier, Opfer von Ausspähen oder Abfangen von Daten zu werden. Ich habe lange gewartet tatsächlich, dass sich jemand mal an mich meldet und sagt: Ich habe hier ein Ermittlungsverfahren wegen 202c StGB. Und ich habe letztes Jahr einen Fall gehabt, der dieses Jahr erledigt hat. Und den möchte ich hier ein bisschen vorstellen. Da geht es um eine Software, die heißt WebMonitor von revcode und Ermittlungsbehörde war die Zentralstelle Cybercrime Bayern, ZCB in Bamberg bei der Generalstaatsanwaltschaft angesiedelt, das ist also eine spezielle Abteilung, die personell ziemlich gut ausgestattet ist. 4 Oberstaatsanwälte, 4 Staatsanwälte als Gruppenleiter, 2 weitere Staatsanwälte und Geschäftsstellen. Nach Selbstverständnis auf der Webseite ist diese Zentralstelle bayernweit zuständig für die Bearbeitung herausgehobener Ermittlungsverfahren im Bereich der Cyberkriminalität. Was war hier das Problem? Ein Beamter fand also in einem Forum, und zwar bei hackforums.net, einen Thread über den WebMonitor, der dort als Fernwartungssoftware, als Remote Administration Tool RAT angeboten wurde. Und hier heißt es dann zum Anlass der Ermittlungen, dass dort diese Software in einem nicht öffentlich zugänglichen Forum angeboten wurde. Das ist das Erste, was schlichtweg falsch ist. hackforums hat etwa drei Millionen Nutzer, zumindest nach der Wikipedia. Und man muss sich registrieren, sozusagen jeder kann sich registrieren, wenn man die Nutzungsbedingungen akzeptiert. Und dann kann auch sich jeder diesen Thread anschauen und lesen, was da gepostet wurde. Ich bin hier ein bisschen zu weit. Man muss noch einmal zurückgehen. Hier war ich. Also ein Remote Administration Tool. Dann hat sich da wohl jemand gedacht, da muss ich mal weiter suchen und fand einen Blog-Eintrag aus meiner Sicht aus einem nicht unbedingt seriös anzusehenden Blog, in dem ziemlich reißerisch behauptet wird, dass diese Software bei einem CEO Fraud genutzt worden wäre, ohne irgendwelche Beweise zu bringen. Und sagt also, das wäre Malware, die sich als legale Software tarnt, auch dafür keine Beweise. Es geht letztendlich in erster Linie darum, wie ist die programmiert, ist die gut programmiert, in welcher Programmiersprache ist die programmiert und Ähnliches. Darauf wurden Ermittlungen eingeleitet, und zwar vom Bayerischen Landeskriminalamt Sachgebiet 542 Zentralstelle unter der Leitung der Generalstaatsanwaltschaft Bamberg Zentralstelle Cybercrime Bayern. Die haben sich also diese Software gekauft, haben Sie in Ihrem eigenen Malwarelabor untersucht. Oder das, was man da wohl Untersuchung nennt. Und kommen dann dazu: Ich zitiere mal, "dass es sich in diesem Fall in erster Linie nicht um reines, reines Hackertool gemäß Paragraf 202c Absatz 1 Nr. 2 StGB handelt. Wird von der Sachbearbeitung anschließend rechtlich geprüft, ob es sich hierbei um ein legitimes Computerprogramm oder um eine kriminelle Schadsoftware (Englisch Malware) handelt." Hier steht schon drin: Es ist kein reines Hackingtool, dann ist es wohl automatisch ein Dual-Use-Tool und wie Bundesverfassungsgericht zumindest die Auffassung vertritt, und viele andere auch, dann ist es kein taugliches Tatobjekt. Aus meiner Sicht hätte hier eigentlich gesagt werden müssen: Wir klappen die Akte zu und wenden uns einem anderen Fall zu. Nicht aber hier. Die haben also festgestellt es gibt eine offizielle Website, die lautet auf eine .eu Domain. Und dann war sich das bayerische LKA war dann der Meinung, dass hier die Leute, die dahinter stehen, ihre wahre Identität verschleiern würden. Und zwar "Hierfür spricht folgendes: Das wäre auf dem nicht öffentlich zugänglichen hackforums.net beworben worden", wie gesagt, schlichtweg falsch, das ist öffentlich, "die wahre Identität des Anbieters wäre verschleiert worden". Keine Begründung. Kommt nachher noch, "fehlendes Impressum auf der Webseite". Gut, das ist wohl sozusagen ein Verstoß gegen 5 Telemediengesetz. Aber dient nicht der Verschleierung, denn die Website war also offiziell registriert. Die hatten auch sofort Name, Adresse der Person, die registriert hatte. Da war also der WHOIS- Eintrag, war vollständig und korrekt. Haben sie aber festgestellt, die Domain wurde bei einem russischen Registrar registriert. Das fanden die also sehr merkwürdig. Wie gesagt, sie wurde mit dem richtigen Namen, der richtigen Anschrift registriert. Der Hoster war in der Ukraine, der hatte wohl ein gutes Angebot gemacht. Nach Auffassung des Bayerischen Landeskriminalamt also dient es der Verschleierung. Und dann schreiben Sie "eingebettete Links zu Facebook, Twitter und YouTube führen auf nicht existente Webseiten." Das ist auch falsch. Die war also auf der Website schon die Buttons. Aber es gab noch keine Registrierung, sodass sie auf die Startseiten jeweils von Facebook, Twitter und YouTube führten. Und so liest sich das hier munter weiter. Die Staatsanwaltschaft hat sich einen Hausdurchsuchungsbeschluss geholt, in dem es dann schon heißt, dass hier so ziemlich sicher ist, dass die vertriebene Software eine Schadsoftware ist und erkennbar nur zum Zweck entwickelt wurde, dass der Verwender unbemerkt die Kontrolle über fremde Rechner bekommt. Und daraufhin wurde durchsucht. Ich muss ein bisschen auf die Zeit schauen, aber da möchte ich kurz was sagen. Richtervorbehalt, richterlicher Durchsuchungsbeschluss. Wir haben zurzeit mal wieder große Diskussionen. Sollen nicht Ordnungswidrigkeiten, Behörden, Zugangsdaten Passwörter bekommen? Neueste Idee der Bundesregierung und zwar auch schon Ordnungswidrigkeiten, bei Ordnungswidrigkeiten. Und dann wird gesagt: Na ja, das Ganze hat doch ein Richtervorbehalt. Wie funktioniert das? Wenn ein richterlicher Beschluss erfasst, gefasst wird. Der Ermittlungsrichter bekommt also seinen Antrag von der StA auf den Tisch gelegt und kriegt dann eine Akte dazu. Und dann hat er zwei Möglichkeiten. Entweder er oder sie zeichnet das ab oder sagt, na das finde ich alles komisch. Und jetzt fange ich mal an, in der Akte zu lesen. Und jetzt steige ich mal in die Prüfung ein, und dann komme ich vielleicht, sage ich vielleicht nee, den Erlass dieses Beschlusses lehne ich ab. Das ist mit viel Aufwand verbunden, und man kann es, meine ich, unseren Ermittlungsrichterinnen und Richtern nicht nachsehen, wenn da stapelweise Anträge hereingetragen werden, dass sie die irgendwie lesen, schauen, ist es schlüssig, klingt es vernünftig, und das dann abzeichnen. Und wenn hier gesagt wird, bei einer Software, die selbst das LKA ganz klar sagt, das ist keine reine Schadsoftware. Ich sage dann das automatische Dual Use, und damit fällt es nicht unter 202c. Und dann dem Richter mitgeteilt wird "dient erkennbar diesen Zwecken". Und zu nichts anderem als kriminellen Straftaten kann ich zumindest in gewisser Weise verstehen, wenn das abgezeichnet wird. Umkehrschluss: Wenn wir hier gerade eine aktuelle Diskussion haben, ob nicht Passwörter herausgegeben werden sollen, und dann heißt es: Ja, ja, da haben wir doch ein Richtervorbehalt. Das wird auch kontrolliert. Muss man deutlich sagen. Diese Kontrolle ist eine sehr niederschwellige Kontrolle und absolut kein ernst zu nehmender Schutz für die Rechte des einzelnen Bürgers und der Bürgerin. Applaus Kurz nur zur Hausdurchsuchung, so als als sozusagen wie so was abläuft. Die Beamten kamen in Zivil mit mehreren Fahrzeugen, kamen in Zivil mit einem Paket unter der Hand, wollten mein Mandant sprechen, der nicht selber an die Tür gegangen ist, sagt nee, das müssten Sie dem schon selber übergeben. Es waren wohl drei Leute anwesend, im Haus oder in dem Objekt, was durchsucht wurde. Nachdem sich also alle ausgewiesen hatten und alle wussten, wer ist der andere, konnten sich, haben sich die Beamten nicht nehmen lassen, dann ihre Westen anzuziehen, mit der sie als Polizisten zu erkennen sind, sodass sozusagen alle Nachbarn in dem Dorf, als sie angefangen haben, dort alles rauszutragen, was es rauszutragen gab, sofort gesehen haben und sich nicht nur gewundert haben: Wieso sind da so viele Autos? Sondern die haben dann auch noch gesehen: oh, es ist die Polizei? Völlig unnötig, hat bleibenden Eindruck hinterlassen im Dorf. Das sind dann so die kleinen Nebenerscheinungen von solchen, von solchen Veranstaltungen. Meinem Mandanten wurde alles beschlagnahmt, was man irgendwie wegtragen konnte. Alle Computer und die braucht er zum Arbeiten und alle Speichermedien, die bei ihm zu Hause gefunden wurden. USB-Platten, Speicherkarten, USB-Sticks, alles, alle Mobiltelefone, haufenweise Schriftstücke wurden rausgetragen. Es wurde beschlagnahmt, weil das im Vorfeld ermittelt wurde. Welche Server hat der Mann registriert? Es wurden zwölf Server beschlagnahmt bei Drittanbietern. Es wurden E-Mail-Postfächer beschlagnahmt, weil vorher ein bisschen geguckt wurde, was gibts da so für E-Mail-Adressen? Und dann wurde, weil es Zahlungen gab über PayPal auch da diese ganzen Sachen überall mit den korrekten vollständigen Daten angemeldet, gab es einen Vermögensarrest und im Rahmen dieses Vermögensarrests wurde dann zur Sicherung der Vermögenswerte sämtliche Bankkonten gepfändet, alles Geld mitgenommen, was bei ihm gefunden wurde, und selbst eine Armbanduhr eingesammelt. Dazu muss man sagen: Es gilt natürlich die Unschuldsvermutung. Wir sind im Ermittlungsverfahren, und das sind Maßnahmen, die jedem, der nicht irgendwie jemanden hat, der ihn da auffängt, Jeder normale Mensch, der nicht da dann Solidarität erfährt, ist schlichtweg ruiniert. Die Krankenkasse wird nicht mehr bezahlt, die Miete wird nicht mehr bezahlt, oder alternativ sage ich mal die Rate fürs fürs Haus oder die Eigentumswohnung. Wenn man ein Fahrzeug hat und die Versicherung muss abgebucht werden zum Jahreswechsel, dann geschieht das nicht. Kfz-Steuer wird nicht mehr abgebucht. Wenn man Leasing Fahrzeug hat, dürfte da sofort die Kündigung kommen. Grösstmögliche Katastrophe. Amtsgericht und Landgericht haben tatsächlich die Beschlagnahme bestätigt, haben auch noch ausgeführt: Ja, wir haben zwar nach langer Zeit wissen wir immer noch nicht sicher, ob diese Computer tatsächlich Tatmittel sind. Aber sie würden ja kommen ja immer noch als Einziehungsgegenstände, Wertersatzeinziehungsgegenstände in Betracht, nämlich wenn sie angeschafft wurden, aus rechtswidrig, aus durch die Tat erlangtem Geld. Es geht hier ja darum letztendlich ist es ja subjektiv festzustellen: Was hat sich jemand gedacht, der diese Software entwickelt hat oder der sie vertreibt oder verkauft? Und um dieses Subjektive festzustellen, braucht man Dinge wie beispielsweise Kommunikation mit möglichen Kunden oder möglichen Interessenten. Problem war sämtliche digitale Kommunikation war beschlagnahmt. Und dann bin ich da auch nicht mehr in der Lage, besonders irgendwas vorzulegen, was mich entlastet. Es gab dann aber irgendwann einen Auswertevermerk, in dem es heißt "Es ist zu erkennen, dass sowohl die Person eins als auch Person zwei," also Leute, die im Visier der Strafverfolgungsbehörden waren, "legale Verkaufsabsichten für", das waren also Unterlagen, meinem Mandanten standen die gar nicht zur Verfügung. Da hatte jemand ein Jahr vorher, Mitte 2017, angefragt: "Hey, I'm looking to hack certain accounts. Can this get accounts that people have saved as log in, because as you know if they don't have to enter their info anymore how will I key log it, understand?" Also, es fragte jemand: Ich will hier Computer hacken, wo wahrscheinlich die Passwörter nicht mehr eingegeben werden, kann ich die da irgendwie aus dem System generieren? Und mein Mandant schrieb zurück "Sorry, but you mentioned you would like to hack certain accounts. Our legal guidelines do not allow to communicate further on this basis." Er hat also ganz klar gesagt: Solche Anfragen beantworten wir nicht. Das ist hier nicht unser Geschäft. Sowas wollen wir nicht. Und hat dann einer anderen Person auch noch geschrieben, sozusagen im Nachgang "I wonder what some users think." Was denken die sich eigentlich da draußen, was wir machen? Das war dann schon mal schön, dass zumindest in einem Bericht oder in einem Auswertbericht vom LKA steht erkennbar, dass die legale Verkaufsabsichten verfolgen, gab auch ein paar andere Dinge. Gleichwohl der Abschlussbericht des LKA sagt dann aber "diese legalen Verkaufsabsichten widerlegen jedoch nicht, dass es sich nicht doch um ein nicht reines Dual-Use-Tool handelt". Also hier wieder auch wieder diese abstruse Unterscheidung reines Dual-Use-Tool und nicht reines Dual-Use-Tool, die aus meiner Sicht nach dem Bundesverfassungsgericht nicht zulässig ist. Es war dann auch so, dass es um viele andere es ging darum, bestimmte Dinge, die das Gerät kann, beispielsweise Silent Installation. Das hat sie ja sehr gestört, aber denen war auch nicht bekanntes, dass beispielsweise TeamViewer auch eine Silent Installation hat und ähnliches. Letztendlich läuft es immer so: Die Polizei schließt das Ermittlungsverfahren ab, gibts dann an die Staatsanwaltschaft. Und die Staatsanwaltschaft hat tatsächlich nach 7 Monaten eingestellt, nach 170 Absatz 2. Zum Glück meines Mandanten, der tatsächlich überaus glücklich war, den dieses Verfahren ganz erheblich belastet hat. Und er durfte dann seine Sachen abholen. Und hier sieht man mal, wie ein Mobiltelefon aussieht, wenn es also das LKA hatte, um die Daten auszuwerten, auseinander gerupft. Oben sieht man irgendwie einen Chip, der rausgelötet oder entfernt wurde, und hier eine Festplatte. Man sieht, die wurde aus dem Gehäuse geschraubt, und da gabs wohl keine Kapazitäten, dass man die wieder rein schraubt. Passend hier zum Motto des Kongresses Resource Exhaustion. Da hatten Sie scheinbar keine Kapazitäten, das musste mein Mandant machen. Der Spuk war sozusagen fast zu Ende. Es laufen noch, es läuft noch ein Entschädigungsverfahren nach dem Strafrechtentschädigungsgesetz, da sind wir noch nicht ganz am Ziel. Ich bin sehr knapp hier mit der Zeit. Ich will das Ganze abschließen, weil das sicher eine Frage ist, die Leute sich stellen, die mit Software hantieren, schreiben, entwickeln, testen, die letztendlich sagen: Ich bin hier vielleicht in einem Bereich, da mache ich mich aus meiner Sicht nicht strafbar, aber das eine oder andere Landes-LKA sieht das vielleicht ein bisschen anders, so wie hier in unserem Fall. Also was sind Schutzmaßnahmen für alle, die mit solchen Dingen umgehen? Ich meine das ernst: nicht im falschen Forum posten. Man hält sich am besten von allem fern, wo irgendein LKA-Beamter denken könnte. Wenn irgendwas hackforums heißt, dann sind das da alles nur Kriminelle. Auch wenn ich das hochgradig abwegig finde. Man sollte nach Möglichkeit ausschließlich legale Nutzungsmöglichkeiten darstellen und am besten gar nicht auf illegale Nutzungsmöglichkeiten eingehen. Und selbst bei der Formulierung von Warnhinweisen gibt es strafrechtliche Literatur, die sagt äußerste Vorsicht da, damit einem es nicht ausgelegt wird, dass jemand durch seine Warnhinweise in Wirklichkeit dieses Produkt für illegale Nutzungen bewerben will. H: Ulrich, die Zeit ist leider vorbei, wir haben auch keine Zeit für Q&A. Vielen Dank für deinen Vortrag, und ich glaube, das ist dein Applaus. Applaus U: Okay. Vielen Dank! Wenn jemand Fragen hat im Nachgang, kann mir gerne eine E-Mail schreiben. Ich kann die nicht immer in voller Länge vielleicht beantworten, aber das eine oder andere versuche ich mal einzuschieben. Also wen dieses Thema weiter interessiert, wer selber betroffen ist, wer sich nochmal vergewissern will über irgendwas, wer weitere Literaturhinweise braucht, kann sich gerne an mich wenden. Bin im Internet zu finden. Nicht mit dem gleichnamigen Rechtsanwalt aus Hannover verwechseln. Der macht nur Arbeitsrecht. Dankeschön! H: Ulrich Kerner! Berlin. Abspannmusik Untertitel erstellt von c3subtitles.de im Jahr 20??. Mach mit und hilf uns!