WEBVTT
00:00:00.000 --> 00:00:21.500
36C3 Vorspannmusik
00:00:21.500 --> 00:00:25.650
Herald-Engel: Gut, dann machen wir weiter
mit Uli oder Rechtsanwalt Ulrich Kerner,
00:00:25.650 --> 00:00:32.590
der uns über ein sieben Jahre altes, nein,
seit 2007 zwölf Jahre altes Gesetz
00:00:32.590 --> 00:00:37.730
berichten wird. Wie die Rechtslage da drin
ist, habe ich bis heute nicht kapiert, bin
00:00:37.730 --> 00:00:42.720
aber selbst davon betroffen; und ich denke
immer: Hilfe! Ich habe nmap
00:00:42.720 --> 00:00:48.070
Signal-Engel: Halt halt halt halt halt
halt halt. Den Hashtag hätte ich gerne
00:00:48.070 --> 00:00:50.480
nochmal da oben drauf.
Damit ich die Fragen aus dem Internet
00:00:50.480 --> 00:00:56.710
hab. Twitter und IRC. Und jetzt:
H: Einen Applaus für Uli!
00:00:56.710 --> 00:01:04.550
Applaus
00:01:04.550 --> 00:01:07.220
Ulrich Kerner: So. Hallo zusammen. Ich
freue mich, dass so viel Leute gekommen
00:01:07.220 --> 00:01:10.170
sind. Ich freue mich auch, dass ich wieder
hier sein darf, nachdem ich vor drei
00:01:10.170 --> 00:01:18.340
Jahren schon mal in Hamburg auf dem
Kongress war. Heute geht es um den Hacker
00:01:18.340 --> 00:01:24.570
Paragrafen 202c StGB Cybercrime
Ermittlungen. Vorsicht vor der Polizei
00:01:24.570 --> 00:01:30.070
oder nicht im falschen Forum posten. Das
wird sich nachher erklären. Warum dieser
00:01:30.070 --> 00:01:35.950
Titel? Was möchte ich heute hier
vorstellen? Einmal eine kurze Einleitung,
00:01:35.950 --> 00:01:43.540
wo wir uns befinden. Dann den 202c in der
Gesetzgebung und ein bisschen den
00:01:43.540 --> 00:01:50.020
Meinungsstand, was darunter zu verstehen
ist. Dann: Wie sieht das in der Realität
00:01:50.020 --> 00:01:56.759
aus? Was hat der für eine Relevanz? Wie
wird da ermittelt und zum Schluss ein
00:01:56.759 --> 00:02:14.070
bisschen Ausblick und Fragen beantworten.
Grundsätzlich ist der... blättert Also
00:02:14.070 --> 00:02:25.019
wenn wir reden hier von Internet,
Strafrecht und Gesetzgebung, da müssen,
00:02:25.019 --> 00:02:30.450
meine ich, zwei Dinge gesagt werden:
Erstens: im juristischen Bereich ist immer
00:02:30.450 --> 00:02:34.310
noch normal, dass wir Faxe schreiben. Wir
schicken also Faxe an die Gerichte, an die
00:02:34.310 --> 00:02:38.120
Behörden, die uns genauso. Wir sind da
sozusagen noch ein bisschen in der
00:02:38.120 --> 00:02:41.440
Entwicklung hinterher. Und das ist nicht
nur in der Justiz so und in der
00:02:41.440 --> 00:02:47.060
Strafrechtspflege, sondern aus meiner
Sicht auch im Fall in der Gesetzgebung,
00:02:47.060 --> 00:02:53.470
dass im Bundestag zwar regelmäßig
Aktivitäten entfaltet werden, die aber
00:02:53.470 --> 00:02:58.570
häufig ein bisschen am Ziel vorbei
schießen. Kleines Beispiel dazu: Als vor
00:02:58.570 --> 00:03:08.280
etwa einem Jahr der unter dem Namen Orbit
jemand Daten von Politikern und von
00:03:08.280 --> 00:03:13.461
Prominenten ins Netz gestellt hat, war
also der Schrei laut: Cyber-Angriff auf
00:03:13.461 --> 00:03:17.990
Politiker, auf Bundestagsabgeordnete. Beim
genaueren Hinsehen sah man dann, dass da
00:03:17.990 --> 00:03:22.769
wenig, sag ich mal, echte Cyber-
Kriminalität dahinter war. Es war ein Fall
00:03:22.769 --> 00:03:27.400
von Doxing. Die meisten Daten fanden sich
frei im Netz, und da, zumindest nach
00:03:27.400 --> 00:03:31.190
meinem Wissensstand, wo vielleicht
tatsächlich der eine oder andere Account
00:03:31.190 --> 00:03:37.319
übernommen wurde, passierte das nicht mit
sozusagen hoher technischer oder IT-
00:03:37.319 --> 00:03:41.740
technischem Geschick, sondern einfach mit
dem Erraten von Passwörtern, die einfach
00:03:41.740 --> 00:03:49.069
zu einfach waren. Und die Reaktion der
Bundesregierung war, dass
00:03:49.069 --> 00:03:53.330
Innenstaatssekretär Stephan Mayer
erklärte, dass jetzt ein Cyber-
00:03:53.330 --> 00:03:58.909
Abwehrzentrum Plus in Aktion treten soll.
Was daraus geworden ist, ist mir nicht so
00:03:58.909 --> 00:04:04.380
klar. Aber wenn wir Cyber-Abwehrzentrum
hören, dann findet man schnell, wenn man
00:04:04.380 --> 00:04:10.330
sucht, aus 2014 beispielsweise, das
ist jetzt hier von der Tagesschau ein
00:04:10.330 --> 00:04:14.510
Bericht über vertraulichen Bericht über
einen vertraulichen Bericht des
00:04:14.510 --> 00:04:22.280
Bundesrechnungshofes, der also sagt, dass
das NCAZ - das Nationale Cyber-
00:04:22.280 --> 00:04:29.970
Abwehrzentrum - eigentlich nicht
gerechtfertigt sei. Zitat: "Es wäre der
00:04:29.970 --> 00:04:34.690
einzige vorgegebene Arbeitsablauf, wäre
die tägliche Lagebesprechung und eine
00:04:34.690 --> 00:04:39.740
Handlungsempfehlung auf politisch-
strategischer Ebene im Jahresbericht". Das
00:04:39.740 --> 00:04:49.900
ist sozusagen, was die Bundesregierung
tut, um unsere Rechte zu schützen. Es ist
00:04:49.900 --> 00:04:53.710
also ein nicht ganz einfaches Verhältnis,
und das, meine ich, sieht man hier auch an
00:04:53.710 --> 00:05:02.190
dem 202c. Der 202c ist durch die
Cybercrime-Convention auf den
00:05:02.190 --> 00:05:05.220
gesetzgeberischen Plan gekommen. Ich will
gleich ein bisschen das
00:05:05.220 --> 00:05:10.650
Gesetzgebungsverfahren darstellen und dann
die Klage beim Bundesverfassungsgericht
00:05:10.650 --> 00:05:15.699
über die Verfassungsbeschwerden, die beim
Bundesverfassungsgericht anhängig waren.
00:05:15.699 --> 00:05:23.810
Beginnen wir mit der Cybercrime
Convention. Das sind zwei Übereinkommen:
00:05:23.810 --> 00:05:30.370
das Übereinkommen des Europarates und ein
Rahmenbeschluss des Rates der EU, der den
00:05:30.370 --> 00:05:35.880
Ziel hat, die Ziele hatten,
Mindeststandards über bestimmte schwere
00:05:35.880 --> 00:05:40.210
Formen der Computerkriminalität im
europäischen Raum zu verwirklichen und
00:05:40.210 --> 00:05:47.360
außerdem die Zusammenarbeit und die
Rechtshilfe unter den Staaten zu
00:05:47.360 --> 00:05:53.740
verbessern. Und einen Teil davon; nur ein
Teil, der in Artikel 6 der CCC zu finden
00:05:53.740 --> 00:06:01.830
ist, ist also das Anliegen, dass jeglicher
Umgang mit Computerprogrammen, die zur
00:06:01.830 --> 00:06:07.101
Begehung einer solchen Straftat dienen
sollen, unter Strafe gestellt werden
00:06:07.101 --> 00:06:13.520
sollen. Ich habe hier mal den englischen
Text. Man muss noch dazu sagen, dass
00:06:13.520 --> 00:06:24.430
Artikel 6 einen Absatz 3 hat, der es den
Vorberhalt - eine Vorbehaltregelung hat,
00:06:24.430 --> 00:06:29.699
so dass die einzelnen Nationalstaaten
sagen konnten: "Diesen Artikel 6, den
00:06:29.699 --> 00:06:34.550
Inhalt wollen wir gar nicht umsetzen." Die
Bundesrepublik hat halt tatsächlich in
00:06:34.550 --> 00:06:39.630
Ansätzen davon Gebrauch gemacht, aber war
eben der Meinung das, was wir hier finden,
00:06:39.630 --> 00:06:47.350
also "devices including computer
programs", dass die entweder für illegalen
00:06:47.350 --> 00:06:55.530
Zugang, illegales Abhören oder Abfangen
von Daten; für Eingriffe und Störungen von
00:06:55.530 --> 00:07:07.150
Daten; dafür geschrieben wurden, oder
"adapted primarily" also dafür
00:07:07.150 --> 00:07:15.660
konfiguriert wurden, dass die unter Strafe
gestellt werden sollen. Es gab dann einen
00:07:15.660 --> 00:07:24.240
Gesetzesvorschlag der Bundesregierung. Das
Ganze wurde durchaus schon kontrovers
00:07:24.240 --> 00:07:32.610
diskutiert. Der Bundesrat war da, hatte
Bedenken, sagte das ist alles zu weit
00:07:32.610 --> 00:07:39.660
gefasst. Dann ist sozusagen der übliche
Ablauf: Es gibt eine Gegenäußerung. Es gab
00:07:39.660 --> 00:07:44.110
eine öffentliche Anhörung, und dann wurde
das Ganze in den Rechtsausschuss
00:07:44.110 --> 00:07:48.410
verwiesen. Und der Rechtsausschuss hat
dann mit Stimmen eigentlich aller Parteien
00:07:48.410 --> 00:07:59.580
bis auf die Linkspartei dem Bundestag
empfohlen, diesen Gesetzesentwurf
00:07:59.580 --> 00:08:05.760
anzunehmen. Und jetzt Sinn des 202 ist
nach der Bundesregierung und nach der
00:08:05.760 --> 00:08:12.300
Bundestagsdrucksache, nach der hier
zitierten, dass mit dem neuen 202c
00:08:12.300 --> 00:08:16.150
Strafgesetzbuch sollen bestimmte,
besonders gefährliche
00:08:16.150 --> 00:08:25.221
Vorbereitungshandlungen selbstständig
unter Strafe gestellt werden. Damit hier
00:08:25.221 --> 00:08:30.520
alle das Konzept verstehen: wenn
Strafbarkeit auf Vorbereitungshandlungen
00:08:30.520 --> 00:08:38.550
ausgedehnt wird, möchte ich das mal kurz
erläutern. Grundsätzlich ist es so: Wenn
00:08:38.550 --> 00:08:42.680
wir einen Tatablauf haben, dann haben wir
Vorbereitung, die ist in der Regel
00:08:42.680 --> 00:08:48.990
straflos. Wir haben dann die Situation, wo
der Täter in den Versuch mit dem Versuch
00:08:48.990 --> 00:08:54.690
beginnt, in das Versuchsstadium eintritt,
und wenn er da erfolgreich ist, dann haben
00:08:54.690 --> 00:08:58.350
wir irgendwann eine Vollendung, und haben
wir bei bestimmten Delikten noch eine
00:08:58.350 --> 00:09:04.060
Beendigung. Vorbereitungshandlungen sind
in der Regel nicht strafbar. Ich nehme ein
00:09:04.060 --> 00:09:10.700
Beispiel. Wenn also jemand sich überlegt
Ich möchte jemand anders kräftig treten,
00:09:10.700 --> 00:09:13.600
sozusagen nicht strafbar. Wenn sich die
Person jetzt ihre schweren Bergstiefel
00:09:13.600 --> 00:09:17.610
anzieht, damit es auch richtig wehtut,
dann ist das auch noch nicht strafbar.
00:09:17.610 --> 00:09:20.130
Dann sind wir noch in der
Vorbereitungshandlung. Und bei der
00:09:20.130 --> 00:09:24.130
Körperverletzung ist die
Vorbereitungshandlung eben straffrei. Wenn
00:09:24.130 --> 00:09:30.019
dann die Person tritt, und aber nicht
trifft beispielsweise, dann wären wir im
00:09:30.019 --> 00:09:34.410
Versuch. Versuch beginnt, wenn nach der
Sicht des Täters das unmittelbare "Jetzt
00:09:34.410 --> 00:09:39.700
geht es los" überschritten ist. Also wenn
ich aushole, um zu treten, und ich trete
00:09:39.700 --> 00:09:44.850
daneben oder falle hin oder was auch
immer, dann bin ich also im Versuch. Und
00:09:44.850 --> 00:09:49.529
der ist bei der Körperverletzung auch
strafbar, unter Strafe gestellt. Wenn
00:09:49.529 --> 00:09:53.280
jetzt jemand beispielsweise gegen ein Auto
treten will, um eine Beule rein zu machen,
00:09:53.280 --> 00:09:58.580
und das Auto fährt rechtzeitig weg, und er
tritt daneben. Dann wäre das auch ein
00:09:58.580 --> 00:10:02.450
Versuch, aber der Versuch ist bei der
Sachbeschädigung nicht strafbar.
00:10:02.450 --> 00:10:08.980
Gesetzgeberische Wertung. Wir haben die
Wertung, dass der Versuch bei allen
00:10:08.980 --> 00:10:12.860
Verbrechen strafbar ist. Das sind Taten,
die Mindestmass mit einem Jahr bedroht
00:10:12.860 --> 00:10:18.560
sind; und ansonsten nur, wenn es der
Gesetzgeber ausdrücklich geregelt hat. Und
00:10:18.560 --> 00:10:25.670
alles, was in den Vorbereitungshandlungen
ist, ist nicht von Strafe, ist nicht
00:10:25.670 --> 00:10:29.820
strafbar. Also wer in den Großshop geht,
um sich Pflanzenlampen,
00:10:29.820 --> 00:10:35.681
Bewässerungsanlagen zu kaufen, um nachher
Cannabis anzubauen beispielsweise, macht
00:10:35.681 --> 00:10:39.920
sich durch den Erwerb dieser Sachen noch
nicht strafbar. Da müssten erst weitere
00:10:39.920 --> 00:10:48.170
Akte hinzukommen. Hier aber explizites
Interesse des Gesetzgebers, eben schon
00:10:48.170 --> 00:10:57.480
Vorbereitungshandlungen unter Strafe zu
stellen. Und so sieht der heutige 202c
00:10:57.480 --> 00:11:08.710
aus. Da heißt es auch, "wer eine Straftat
nach 202a oder 202b vorbereitet". Und
00:11:08.710 --> 00:11:18.230
jetzt kommen 2 mögliche Tatalternativen:
erstens Passwörter oder ähnliches. Oder
00:11:18.230 --> 00:11:24.130
hier Nummer zwei. Und das ist, worum es
hier mir heute geht. "Computerprogramme,
00:11:24.130 --> 00:11:28.300
deren Zweck die Begehung einer solchen Tat
ist". Und jetzt kommen die einzelnen
00:11:28.300 --> 00:11:32.550
Tatmodalitäten, Tathandlungsmodalitäten
"herstellt, sich oder einem anderen
00:11:32.550 --> 00:11:36.870
verschafft, verkauft, einem anderen
überlässt, verbreitet oder sonst
00:11:36.870 --> 00:11:42.430
zugänglich macht". Der wird also mit
Geldstrafe oder mit Freiheitsstrafe bis zu
00:11:42.430 --> 00:11:50.490
zwei Jahren bestraft. Diese Ausweitung der
Strafbarkeit versteht man nur, wenn man
00:11:50.490 --> 00:11:59.140
auch den 202a und 202b, deren sozusagen,
auf die die Tat abzielen muss. Wenn man da
00:11:59.140 --> 00:12:06.550
kurz reingeschaut hat: 202a ist das
Ausspähen von Daten, das Zugang
00:12:06.550 --> 00:12:12.090
verschaffen zu "besonders gesicherten
Daten" und zwar unberechtigten Zugang,
00:12:12.090 --> 00:12:17.050
auch digitaler Hausfriedensbruch genannt
und tatsächlich schon durch das zweite
00:12:17.050 --> 00:12:21.920
Gesetz zur Bekämpfung der
Wirtschaftskriminalität Mitte 86 ins
00:12:21.920 --> 00:12:27.320
Gesetz gekommen. Damals allerdings noch
mit ein bisschen anderem Wortlaut, und hat
00:12:27.320 --> 00:12:32.750
seine heutige Fassung durch das 41.
Strafrechtsänderungsgesetz, mit dem auch
00:12:32.750 --> 00:12:38.790
der 202c, der Hackerparagraf erlassen
wurde. So, also wir haben sozusagen als
00:12:38.790 --> 00:12:43.690
Taten, auf die jemand diese Programme
herstellen oder ähnliches muss einmal das
00:12:43.690 --> 00:12:53.820
Ausspähen von Daten 202a und 202b, das
Abfangen von Daten. Hier ist also nicht
00:12:53.820 --> 00:12:59.300
mehr nötig, dass besondere
Sicherungsmaßnahmen vorhanden sind oder
00:12:59.300 --> 00:13:06.400
umgangen werden. Hier reicht es, dass
Daten, die übermittelt werden, mittels
00:13:06.400 --> 00:13:14.890
technischer Mittel abgefangen werden. Und
nur als kleiner Hinweis: Wir haben
00:13:14.890 --> 00:13:17.700
ähnliche Vorbereitungshandlungen, die
unter Strafe gestellt sind, auch woanders
00:13:17.700 --> 00:13:25.170
in den Computer- oder IT-Delikten. Einmal
bei der Datenveränderung, wo es in Absatz
00:13:25.170 --> 00:13:30.380
heißt: "Für die Vorbereitung einer
Straftat nach Absatz 1 gilt jetzt 202c
00:13:30.380 --> 00:13:37.220
entsprechend". Und wir haben das nochmal
in der sogenannten Computer-Sabotage 303b.
00:13:37.220 --> 00:13:46.630
Wen das interessiert, kann sich das mal in
Ruhe anschauen, da über einen Verweis auf
00:13:46.630 --> 00:13:52.590
entsprechende Anwendung von 202c.
Sozusagen Vorfeldkriminalisierung von
00:13:52.590 --> 00:14:00.260
Vorbereitungshandlungen, die sonst nicht
strafbar werden. Zurück zum Paragrafen
00:14:00.260 --> 00:14:12.089
202c, zum Hackerparagraf. Das Problem ist
hier, dass "Computerprogramme, deren Zweck
00:14:12.089 --> 00:14:19.250
die Begehung einer Tat das Ausspähen von
Daten ist", jeglicher Umgang damit unter
00:14:19.250 --> 00:14:27.399
Strafe gestellt ist. Und es fragt sich ein
bisschen, was man darunter verstehen soll
00:14:27.399 --> 00:14:32.269
oder was man darunter nicht verstehen
soll. Hier kam eben sozusagen in der
00:14:32.269 --> 00:14:36.890
Anmoderation die Frage "Ich habe nmap",
ein durchaus mächtiges Tool. Mache ich
00:14:36.890 --> 00:14:41.790
mich schon strafbar, wenn ich auf meiner
Linux-Distribution habe oder nicht? Das
00:14:41.790 --> 00:14:52.570
Gesetz verlangt, dass der objektive Zweck
des Programmes eine Straftat, das
00:14:52.570 --> 00:15:00.570
Ausspähens oder Abfangens von Daten ist.
Problem: Programme oder Gegenstände haben
00:15:00.570 --> 00:15:08.089
keinen objektiven Zweck. Programme und
auch Gegenstände haben Eigenschaften. Um
00:15:08.089 --> 00:15:11.930
ein Beispiel zu nennen: Eine Pistole hat
die Eigenschaft, dass sie ein Projektil
00:15:11.930 --> 00:15:19.139
sehr schnell mit hoher Energie aus dem
Lauf schießen kann und ob damit jemand auf
00:15:19.139 --> 00:15:23.220
eine Zielscheibe aus sportlichen
Gesichtspunkten oder aber auf Menschen
00:15:23.220 --> 00:15:33.640
schießt ist nicht Zweck dieser Pistole,
sondern das liegt eben, Zweck gibt eine
00:15:33.640 --> 00:15:39.959
Person diesem Gegenstand oder dem
Programm, das an sich nur Eigenschaften
00:15:39.959 --> 00:15:45.139
hat, die eben für bestimmte Zwecke
gebraucht werden können. Insofern etwas
00:15:45.139 --> 00:15:52.639
unklar, was hier erfasst ist und was nicht
erfasst ist. Nach den Verlautbarungen der
00:15:52.639 --> 00:15:59.320
Bundesregierung sollen also klassische
oder typische Hacker-Tools erfasst sein.
00:15:59.320 --> 00:16:03.850
Es sollen aber nicht erfasst werden
Programme, die auch anderen Zwecken dienen
00:16:03.850 --> 00:16:12.820
können, so genannte Dual-Use-Tools oder
Dual-Use-Programme. Das heißt, dass dieser
00:16:12.820 --> 00:16:19.949
objektive Tatbestand der Strafbarkeit, der
Zweck dieses Programm des Programms, also
00:16:19.949 --> 00:16:26.800
doch subjektiv bestimmt werden muss. Und
genau an dieser Stelle liegt das Problem.
00:16:26.800 --> 00:16:34.360
Das Ganze war, meine ich wenig
überraschend, Gegenstand von
00:16:34.360 --> 00:16:37.070
Verfassungsbeschwerden, Individual-
Verfassungsbeschwerden vom
00:16:37.070 --> 00:16:44.089
Bundesverfassungsgericht, die mit einem,
die das Verfassungsgericht nicht
00:16:44.089 --> 00:16:50.390
angenommen hat, und ich hab hier die
Aktenzeichen aufgeschrieben. Wer das
00:16:50.390 --> 00:16:55.160
nachlesen will, findet es gleich im
Internet. Das Bundesverfassungsgericht hat
00:16:55.160 --> 00:17:00.579
gesagt: Die drei Beschwerdeführer sind
nicht gegenwärtig, selbst gegenwärtig und
00:17:00.579 --> 00:17:05.540
unmittelbar beschwert. Möchte ich kurz
erklären, was das Bundesverfassungsgericht
00:17:05.540 --> 00:17:11.900
dazu ausgeführt hat. Geklagt hatten oder
Verfassungsbeschwerde erhoben hatten 3
00:17:11.900 --> 00:17:14.980
Personen. Das eine war ein
Hochschullehrer, der gesagt hat, er nutzt
00:17:14.980 --> 00:17:20.090
also viele Tools, die er ja seinen
Studenten Studentinnen zur Verfügung
00:17:20.090 --> 00:17:25.140
stellt, die man zum Teil auch auf seiner
Website runterladen kann. Unter anderem
00:17:25.140 --> 00:17:31.380
auch das Programm nmap. Und er hatte, er
ist davon ausgegangen, er macht sich schon
00:17:31.380 --> 00:17:35.370
strafbar. Zweiter Beschwerdeführer war der
Geschäftsführer einer Sicherheitsfirma,
00:17:35.370 --> 00:17:43.190
die Penetrations-Tests durchgeführt haben
und dafür auch Hacker-Software oder
00:17:43.190 --> 00:17:49.350
Software aus anonymen Hacker-Foren
verwendeten. Ich war der dritte
00:17:49.350 --> 00:17:54.090
Beschwerdeführer, weil ich gesagt habe,
ich benutze Linux, und ich habe hier eine
00:17:54.090 --> 00:17:59.360
Menge Tools auf jeder Linux-Distribution
wie beispielsweise nmap, wo ich doch
00:17:59.360 --> 00:18:04.950
eigentlich davon ausgehen kann, das kann
man für kriminelle Zwecke verwenden. Ich
00:18:04.950 --> 00:18:09.410
weiß auch nicht, wieso und mit welchem
Hintergedanken das geschrieben wurde. Ich
00:18:09.410 --> 00:18:18.410
fühle mich hier letztendlich auch bedroht
davon. Das Bundesverfassungsgericht
00:18:18.410 --> 00:18:22.150
verlangt selbst, dass die Beschwerdeführer
selbst unmittelbar und gegenwärtig
00:18:22.150 --> 00:18:29.450
betroffen sind. Und das liegt insbesondere
vor, wenn bei einer möglichen, nicht fern
00:18:29.450 --> 00:18:35.520
liegenden Auslegung dieses Tatbestandes
das Risiko gegeben ist, dass man sich
00:18:35.520 --> 00:18:40.910
strafbar macht. Dem hat das
Bundesverfassungsgericht aber letztendlich
00:18:40.910 --> 00:18:48.030
eine Absage erteilt. Und zwar hat es
ausgeführt, dass Dual-Use-Tools
00:18:48.030 --> 00:18:54.690
grundsätzlich nicht erfasst sind und
weiter ausgeführt: Der Zweck ist eben
00:18:54.690 --> 00:19:01.880
nichts Objektives letzendlich, was dem
Programm innewohnt, sondern beschreibt
00:19:01.880 --> 00:19:08.520
Beweggrund und Ziel einer Handlung und
nicht des Programms selber. Und das ist
00:19:08.520 --> 00:19:15.940
dann jetzt wieder natürlich subjektiv
festzustellen und muss aber muss sich
00:19:15.940 --> 00:19:22.350
äußerlich feststellbar manifestieren an
der Gestaltung des Programms selbst. Was
00:19:22.350 --> 00:19:28.289
auch immer ich mir jetzt darunter
vorstellen soll oder eben an einer
00:19:28.289 --> 00:19:34.390
eindeutig auf illegale Verwendung
abzielenden Werbung oder Vertriebsweise.
00:19:34.390 --> 00:19:40.780
Gleichwohl meine ich ist auch das
weiterhin recht unbestimmt. Was macht
00:19:40.780 --> 00:19:49.140
daraus so die Literatur, wenn wir in die
juristische Kommentierung gucken? Ich
00:19:49.140 --> 00:19:54.450
zitiere mal aus Schönke / Schröder. Da
heißt es dann eigentlich entsprechend "bei
00:19:54.450 --> 00:20:01.770
Programmen, deren funktionaler Zweck nicht
eindeutig kriminell ist und die erst durch
00:20:01.770 --> 00:20:06.420
eine missbräuchliche Anwendung zu einem
Tatwerkzeug werden (vor allem Dual-Use-
00:20:06.420 --> 00:20:11.799
Tools wie password scanner und Netzwerk-
Sniffer), ist der Tatbestand nicht
00:20:11.799 --> 00:20:19.700
verwirklicht" und dann mit Verweis auf
verschiedene Bundestagsdrucksache und
00:20:19.700 --> 00:20:32.080
verschiedene andere Gerichtsentscheidung.
So in der Praxis macht das allerdings
00:20:32.080 --> 00:20:34.980
immer noch, ist das immer noch finde ich
äußerst unbestimmt und macht
00:20:34.980 --> 00:20:39.820
Schwierigkeiten. Wir wollen uns jetzt,
nach diesem kurzen, sag ich mal,
00:20:39.820 --> 00:20:44.830
juristischen Teil mal anschauen: Wie sieht
es hier in der Praxis aus? In der Praxis
00:20:44.830 --> 00:20:50.659
hat der 202c tatsächlich eine geringe
Bedeutung. Ich habe hier zur Vorbereitung
00:20:50.659 --> 00:20:54.539
mal bei Juris, das ist eine juristische
Entscheidungs-Datenbank, wo also
00:20:54.539 --> 00:20:58.020
Gerichtsurteile veröffentlicht werden,
geschaut, was es denn da gibt und war
00:20:58.020 --> 00:21:04.620
erstaunt, dass Juris insgesamt für dieses
vor 12 Jahren erlassene Gesetz 8
00:21:04.620 --> 00:21:09.820
Entscheidungen kennt. Davon ist natürlich
eine Entscheidung die Entscheidung des
00:21:09.820 --> 00:21:13.560
Bundesverfassungsgerichts. Eine
Entscheidung ist vom Verwaltungsgericht
00:21:13.560 --> 00:21:19.030
Hannover. Da ging es um Pressefreiheit und
Äußerungen eines Oberbürgermeisters. Und
00:21:19.030 --> 00:21:24.830
dann haben wir 6 Zivilurteile, also von
Zivilgerichten. Da geht es zum Beispiel um
00:21:24.830 --> 00:21:29.710
die fristlose Entlassung eines GmbH-
Geschäftsführers wegen Falschabrechnung
00:21:29.710 --> 00:21:33.559
von Auslagen und Herunterladen von
Hackersoftware auf seinen Dienstlaptop.
00:21:33.559 --> 00:21:39.750
Und es gibt tatsächlich nur eine einzige
Entscheidung aus dem strafrechtlichen
00:21:39.750 --> 00:21:46.290
Bereich: ein Beschluss des OLG Kölns. Da
ging es nicht um die Verurteilung,
00:21:46.290 --> 00:21:52.510
jemanden, der mit solchen Programmen
gehandhabt hat, umgegangen ist, sondern
00:21:52.510 --> 00:21:56.530
das ist ein Beschluss in einem
Klageerzwingungsverfahren.
00:21:56.530 --> 00:21:59.809
Klageerzwingungsverfahren ist ein
Verfahren, wenn ich verletzt an einer
00:21:59.809 --> 00:22:04.260
Straftat bin und ich zeige die an, und die
Staatsanwaltschaft stellt ein. Dann kann
00:22:04.260 --> 00:22:07.309
ich, da gibt es das
Klageerzwingungsverfahren. Diese
00:22:07.309 --> 00:22:09.960
Vorschalt-Beschwerde, ich beschwere mich
erstmal und sage "Liebe Staatsanwaltschaft,
00:22:09.960 --> 00:22:14.350
das müsst ihr doch verfolgen". Und wenn
dann die Beschwerde, wenn der nicht
00:22:14.350 --> 00:22:17.970
abgeholfen wird, durch die
Generalstaatsanwaltschaft, dann kann ich
00:22:17.970 --> 00:22:21.490
mich ans Gericht wenden im
Klageerzwingungsverfahren und sagen "Liebes
00:22:21.490 --> 00:22:26.470
Gericht, das muss doch verfolgt werden".
Weise bitte mal die Behörden an, das zu
00:22:26.470 --> 00:22:32.441
tun. Also: die einzige strafrechtliche
Entscheidung ist eine solche, sozusagen
00:22:32.441 --> 00:22:43.340
bringt uns da auch nicht weiter. Was kann
man noch sagen zur Relevanz? Die
00:22:43.340 --> 00:22:47.520
Polizeiliche Kriminalstatistik für 2018
gibt für den Ganzen, für die vier Delikte
00:22:47.520 --> 00:22:51.450
Ausspähen, Abfangen von Daten
einschließlich Vorbereitungshandlungen
00:22:51.450 --> 00:23:00.940
202c und die Datenhehlerei 8762 Fälle an,
also für vier verschiedene Strafnormen.
00:23:00.940 --> 00:23:07.570
Mal im Vergleich: Körperverletzungstaten
haben wir ein bisschen mehr als 550.000.
00:23:07.570 --> 00:23:17.140
554.653 Fälle. Um es klar zu sagen: Die
Gefahr, Opfer einer Körperverletzung zu
00:23:17.140 --> 00:23:24.740
werden, ist also ungleich größer als hier,
Opfer von Ausspähen oder Abfangen von
00:23:24.740 --> 00:23:40.240
Daten zu werden. Ich habe lange gewartet
tatsächlich, dass sich jemand mal an mich
00:23:40.240 --> 00:23:45.440
meldet und sagt: Ich habe hier ein
Ermittlungsverfahren wegen 202c StGB. Und
00:23:45.440 --> 00:23:54.960
ich habe letztes Jahr einen Fall gehabt,
der dieses Jahr erledigt hat. Und den
00:23:54.960 --> 00:23:59.169
möchte ich hier ein bisschen vorstellen.
Da geht es um eine Software, die heißt
00:23:59.169 --> 00:24:03.770
WebMonitor von revcode und
Ermittlungsbehörde war die Zentralstelle
00:24:03.770 --> 00:24:11.650
Cybercrime Bayern, ZCB in Bamberg bei der
Generalstaatsanwaltschaft angesiedelt, das
00:24:11.650 --> 00:24:19.860
ist also eine spezielle Abteilung, die
personell ziemlich gut ausgestattet ist. 4
00:24:19.860 --> 00:24:23.740
Oberstaatsanwälte, 4 Staatsanwälte als
Gruppenleiter, 2 weitere Staatsanwälte und
00:24:23.740 --> 00:24:29.960
Geschäftsstellen. Nach Selbstverständnis
auf der Webseite ist diese Zentralstelle
00:24:29.960 --> 00:24:34.400
bayernweit zuständig für die Bearbeitung
herausgehobener Ermittlungsverfahren im
00:24:34.400 --> 00:24:48.789
Bereich der Cyberkriminalität. Was war
hier das Problem? Ein Beamter fand also in
00:24:48.789 --> 00:24:59.610
einem Forum, und zwar bei hackforums.net,
einen Thread über den WebMonitor, der dort
00:24:59.610 --> 00:25:04.090
als Fernwartungssoftware, als Remote
Administration Tool RAT angeboten wurde.
00:25:04.090 --> 00:25:14.620
Und hier heißt es dann zum Anlass der
Ermittlungen, dass dort diese Software in
00:25:14.620 --> 00:25:20.740
einem nicht öffentlich zugänglichen Forum
angeboten wurde. Das ist das Erste, was
00:25:20.740 --> 00:25:26.270
schlichtweg falsch ist. hackforums hat
etwa drei Millionen Nutzer, zumindest nach
00:25:26.270 --> 00:25:31.030
der Wikipedia. Und man muss sich
registrieren, sozusagen jeder kann sich
00:25:31.030 --> 00:25:36.270
registrieren, wenn man die
Nutzungsbedingungen akzeptiert. Und dann
00:25:36.270 --> 00:25:40.169
kann auch sich jeder diesen Thread
anschauen und lesen, was da gepostet
00:25:40.169 --> 00:25:49.559
wurde. Ich bin hier ein bisschen zu weit.
Man muss noch einmal zurückgehen. Hier war
00:25:49.559 --> 00:25:54.700
ich. Also ein Remote Administration Tool.
Dann hat sich da wohl jemand gedacht, da
00:25:54.700 --> 00:26:01.330
muss ich mal weiter suchen und fand einen
Blog-Eintrag aus meiner Sicht aus einem
00:26:01.330 --> 00:26:09.279
nicht unbedingt seriös anzusehenden Blog,
in dem ziemlich reißerisch behauptet wird,
00:26:09.279 --> 00:26:17.600
dass diese Software bei einem CEO Fraud
genutzt worden wäre, ohne irgendwelche
00:26:17.600 --> 00:26:23.770
Beweise zu bringen. Und sagt also, das
wäre Malware, die sich als legale Software
00:26:23.770 --> 00:26:29.350
tarnt, auch dafür keine Beweise. Es geht
letztendlich in erster Linie darum, wie
00:26:29.350 --> 00:26:32.049
ist die programmiert, ist die gut
programmiert, in welcher
00:26:32.049 --> 00:26:38.210
Programmiersprache ist die programmiert
und Ähnliches. Darauf wurden Ermittlungen
00:26:38.210 --> 00:26:45.990
eingeleitet, und zwar vom Bayerischen
Landeskriminalamt Sachgebiet 542
00:26:45.990 --> 00:26:50.250
Zentralstelle unter der Leitung der
Generalstaatsanwaltschaft Bamberg
00:26:50.250 --> 00:26:56.400
Zentralstelle Cybercrime Bayern. Die haben
sich also diese Software gekauft, haben
00:26:56.400 --> 00:27:00.820
Sie in Ihrem eigenen Malwarelabor
untersucht. Oder das, was man da wohl
00:27:00.820 --> 00:27:08.059
Untersuchung nennt. Und kommen dann dazu:
Ich zitiere mal, "dass es sich in diesem
00:27:08.059 --> 00:27:14.190
Fall in erster Linie nicht um reines,
reines Hackertool gemäß Paragraf 202c
00:27:14.190 --> 00:27:19.900
Absatz 1 Nr. 2 StGB handelt. Wird von der
Sachbearbeitung anschließend rechtlich
00:27:19.900 --> 00:27:24.370
geprüft, ob es sich hierbei um ein
legitimes Computerprogramm oder um eine
00:27:24.370 --> 00:27:33.799
kriminelle Schadsoftware (Englisch
Malware) handelt." Hier steht schon drin:
00:27:33.799 --> 00:27:39.911
Es ist kein reines Hackingtool, dann ist
es wohl automatisch ein Dual-Use-Tool und
00:27:39.911 --> 00:27:44.179
wie Bundesverfassungsgericht zumindest die
Auffassung vertritt, und viele andere
00:27:44.179 --> 00:27:48.020
auch, dann ist es kein taugliches
Tatobjekt. Aus meiner Sicht hätte hier
00:27:48.020 --> 00:27:53.240
eigentlich gesagt werden müssen: Wir
klappen die Akte zu und wenden uns einem
00:27:53.240 --> 00:27:58.461
anderen Fall zu. Nicht aber hier. Die
haben also festgestellt es gibt eine
00:27:58.461 --> 00:28:06.980
offizielle Website, die lautet auf eine
.eu Domain. Und dann war sich das
00:28:06.980 --> 00:28:14.180
bayerische LKA war dann der Meinung, dass
hier die Leute, die dahinter stehen, ihre
00:28:14.180 --> 00:28:23.460
wahre Identität verschleiern würden. Und
zwar "Hierfür spricht folgendes: Das wäre
00:28:23.460 --> 00:28:28.600
auf dem nicht öffentlich zugänglichen
hackforums.net beworben worden", wie
00:28:28.600 --> 00:28:32.410
gesagt, schlichtweg falsch, das ist
öffentlich, "die wahre Identität des
00:28:32.410 --> 00:28:37.929
Anbieters wäre verschleiert worden". Keine
Begründung. Kommt nachher noch, "fehlendes
00:28:37.929 --> 00:28:44.419
Impressum auf der Webseite". Gut, das ist
wohl sozusagen ein Verstoß gegen 5
00:28:44.419 --> 00:28:48.831
Telemediengesetz. Aber dient nicht der
Verschleierung, denn die Website war also
00:28:48.831 --> 00:28:55.240
offiziell registriert. Die hatten auch
sofort Name, Adresse der Person, die
00:28:55.240 --> 00:29:00.559
registriert hatte. Da war also der WHOIS-
Eintrag, war vollständig und korrekt.
00:29:00.559 --> 00:29:05.340
Haben sie aber festgestellt, die Domain
wurde bei einem russischen Registrar
00:29:05.340 --> 00:29:09.010
registriert. Das fanden die also sehr
merkwürdig. Wie gesagt, sie wurde mit dem
00:29:09.010 --> 00:29:14.039
richtigen Namen, der richtigen Anschrift
registriert. Der Hoster war in der
00:29:14.039 --> 00:29:20.050
Ukraine, der hatte wohl ein gutes Angebot
gemacht. Nach Auffassung des Bayerischen
00:29:20.050 --> 00:29:25.600
Landeskriminalamt also dient es der
Verschleierung. Und dann schreiben Sie
00:29:25.600 --> 00:29:29.399
"eingebettete Links zu Facebook, Twitter
und YouTube führen auf nicht existente
00:29:29.399 --> 00:29:33.000
Webseiten." Das ist auch falsch. Die war
also auf der Website schon die Buttons.
00:29:33.000 --> 00:29:37.279
Aber es gab noch keine Registrierung,
sodass sie auf die Startseiten jeweils von
00:29:37.279 --> 00:29:49.420
Facebook, Twitter und YouTube führten. Und
so liest sich das hier munter weiter. Die
00:29:49.420 --> 00:29:54.530
Staatsanwaltschaft hat sich einen
Hausdurchsuchungsbeschluss geholt, in dem
00:29:54.530 --> 00:30:00.360
es dann schon heißt, dass hier so ziemlich
sicher ist, dass die vertriebene Software
00:30:00.360 --> 00:30:04.630
eine Schadsoftware ist und erkennbar nur
zum Zweck entwickelt wurde, dass der
00:30:04.630 --> 00:30:10.529
Verwender unbemerkt die Kontrolle über
fremde Rechner bekommt. Und daraufhin
00:30:10.529 --> 00:30:18.260
wurde durchsucht. Ich muss ein bisschen
auf die Zeit schauen, aber da möchte ich
00:30:18.260 --> 00:30:23.409
kurz was sagen. Richtervorbehalt,
richterlicher Durchsuchungsbeschluss. Wir
00:30:23.409 --> 00:30:27.210
haben zurzeit mal wieder große
Diskussionen. Sollen nicht
00:30:27.210 --> 00:30:31.200
Ordnungswidrigkeiten, Behörden,
Zugangsdaten Passwörter bekommen? Neueste
00:30:31.200 --> 00:30:36.549
Idee der Bundesregierung und zwar auch
schon Ordnungswidrigkeiten, bei
00:30:36.549 --> 00:30:40.429
Ordnungswidrigkeiten. Und dann wird
gesagt: Na ja, das Ganze hat doch ein
00:30:40.429 --> 00:30:45.299
Richtervorbehalt. Wie funktioniert das?
Wenn ein richterlicher Beschluss erfasst,
00:30:45.299 --> 00:30:49.450
gefasst wird. Der Ermittlungsrichter
bekommt also seinen Antrag von der StA auf
00:30:49.450 --> 00:30:54.649
den Tisch gelegt und kriegt dann eine Akte
dazu. Und dann hat er zwei Möglichkeiten.
00:30:54.649 --> 00:30:59.899
Entweder er oder sie zeichnet das ab oder
sagt, na das finde ich alles komisch.
00:30:59.899 --> 00:31:03.080
Und jetzt fange ich mal an, in der Akte zu
lesen. Und jetzt steige ich mal in die
00:31:03.080 --> 00:31:06.970
Prüfung ein, und dann komme ich
vielleicht, sage ich vielleicht nee, den
00:31:06.970 --> 00:31:12.260
Erlass dieses Beschlusses lehne ich ab.
Das ist mit viel Aufwand verbunden, und
00:31:12.260 --> 00:31:15.130
man kann es, meine ich, unseren
Ermittlungsrichterinnen und Richtern nicht
00:31:15.130 --> 00:31:19.750
nachsehen, wenn da stapelweise Anträge
hereingetragen werden, dass sie die
00:31:19.750 --> 00:31:22.572
irgendwie lesen, schauen, ist es
schlüssig, klingt es vernünftig, und das
00:31:22.572 --> 00:31:28.090
dann abzeichnen. Und wenn hier gesagt
wird, bei einer Software, die selbst das
00:31:28.090 --> 00:31:32.500
LKA ganz klar sagt, das ist keine reine
Schadsoftware. Ich sage dann das
00:31:32.500 --> 00:31:37.461
automatische Dual Use, und damit fällt es
nicht unter 202c. Und dann dem Richter
00:31:37.461 --> 00:31:41.380
mitgeteilt wird "dient erkennbar diesen
Zwecken". Und zu nichts anderem als
00:31:41.380 --> 00:31:44.690
kriminellen Straftaten kann ich zumindest
in gewisser Weise verstehen, wenn das
00:31:44.690 --> 00:31:50.750
abgezeichnet wird. Umkehrschluss: Wenn wir
hier gerade eine aktuelle Diskussion
00:31:50.750 --> 00:31:55.750
haben, ob nicht Passwörter herausgegeben
werden sollen, und dann heißt es: Ja, ja,
00:31:55.750 --> 00:32:00.019
da haben wir doch ein Richtervorbehalt.
Das wird auch kontrolliert. Muss man
00:32:00.019 --> 00:32:04.490
deutlich sagen. Diese Kontrolle ist eine
sehr niederschwellige Kontrolle und
00:32:04.490 --> 00:32:09.940
absolut kein ernst zu nehmender Schutz für
die Rechte des einzelnen Bürgers und der
00:32:09.940 --> 00:32:23.320
Bürgerin. Applaus Kurz nur zur Hausdurchsuchung,
so als als sozusagen wie so was abläuft.
00:32:23.320 --> 00:32:28.790
Die Beamten kamen in Zivil mit mehreren
Fahrzeugen, kamen in Zivil mit einem Paket
00:32:28.790 --> 00:32:31.144
unter der Hand, wollten mein Mandant
sprechen, der nicht selber an die Tür
00:32:31.144 --> 00:32:37.299
gegangen ist, sagt nee, das müssten Sie
dem schon selber übergeben. Es waren wohl
00:32:37.299 --> 00:32:43.320
drei Leute anwesend, im Haus oder in dem
Objekt, was durchsucht wurde. Nachdem sich
00:32:43.320 --> 00:32:46.809
also alle ausgewiesen hatten und alle
wussten, wer ist der andere, konnten sich,
00:32:46.809 --> 00:32:50.470
haben sich die Beamten nicht nehmen
lassen, dann ihre Westen anzuziehen, mit
00:32:50.470 --> 00:32:56.049
der sie als Polizisten zu erkennen sind,
sodass sozusagen alle Nachbarn in dem
00:32:56.049 --> 00:33:01.080
Dorf, als sie angefangen haben, dort alles
rauszutragen, was es rauszutragen gab,
00:33:01.080 --> 00:33:04.179
sofort gesehen haben und sich nicht nur
gewundert haben: Wieso sind da so viele
00:33:04.179 --> 00:33:08.250
Autos? Sondern die haben dann auch noch
gesehen: oh, es ist die Polizei? Völlig
00:33:08.250 --> 00:33:13.269
unnötig, hat bleibenden Eindruck
hinterlassen im Dorf. Das sind dann so die
00:33:13.269 --> 00:33:20.330
kleinen Nebenerscheinungen von solchen,
von solchen Veranstaltungen. Meinem
00:33:20.330 --> 00:33:26.380
Mandanten wurde alles beschlagnahmt, was
man irgendwie wegtragen konnte. Alle
00:33:26.380 --> 00:33:31.080
Computer und die braucht er zum Arbeiten
und alle Speichermedien, die bei ihm zu
00:33:31.080 --> 00:33:39.020
Hause gefunden wurden. USB-Platten,
Speicherkarten, USB-Sticks, alles, alle
00:33:39.020 --> 00:33:44.450
Mobiltelefone, haufenweise Schriftstücke
wurden rausgetragen. Es wurde
00:33:44.450 --> 00:33:48.840
beschlagnahmt, weil das im Vorfeld
ermittelt wurde. Welche Server hat der
00:33:48.840 --> 00:33:56.380
Mann registriert? Es wurden zwölf Server
beschlagnahmt bei Drittanbietern. Es
00:33:56.380 --> 00:33:59.260
wurden E-Mail-Postfächer beschlagnahmt,
weil vorher ein bisschen geguckt wurde,
00:33:59.260 --> 00:34:05.460
was gibts da so für E-Mail-Adressen? Und
dann wurde, weil es Zahlungen gab über
00:34:05.460 --> 00:34:10.679
PayPal auch da diese ganzen Sachen überall
mit den korrekten vollständigen Daten
00:34:10.679 --> 00:34:17.500
angemeldet, gab es einen Vermögensarrest
und im Rahmen dieses Vermögensarrests
00:34:17.500 --> 00:34:21.399
wurde dann zur Sicherung der
Vermögenswerte sämtliche Bankkonten
00:34:21.399 --> 00:34:25.629
gepfändet, alles Geld mitgenommen, was bei
ihm gefunden wurde, und selbst eine
00:34:25.629 --> 00:34:33.240
Armbanduhr eingesammelt. Dazu muss man
sagen: Es gilt natürlich die
00:34:33.240 --> 00:34:38.830
Unschuldsvermutung. Wir sind im
Ermittlungsverfahren, und das sind
00:34:38.830 --> 00:34:43.530
Maßnahmen, die jedem, der nicht irgendwie
jemanden hat, der ihn da auffängt, Jeder
00:34:43.530 --> 00:34:47.850
normale Mensch, der nicht da dann
Solidarität erfährt, ist schlichtweg
00:34:47.850 --> 00:34:51.230
ruiniert. Die Krankenkasse wird nicht mehr
bezahlt, die Miete wird nicht mehr
00:34:51.230 --> 00:34:56.669
bezahlt, oder alternativ sage ich mal die
Rate fürs fürs Haus oder die
00:34:56.669 --> 00:35:00.610
Eigentumswohnung. Wenn man ein Fahrzeug
hat und die Versicherung muss abgebucht
00:35:00.610 --> 00:35:06.609
werden zum Jahreswechsel, dann geschieht
das nicht. Kfz-Steuer wird nicht mehr
00:35:06.609 --> 00:35:13.140
abgebucht. Wenn man Leasing Fahrzeug hat,
dürfte da sofort die Kündigung kommen.
00:35:13.140 --> 00:35:21.470
Grösstmögliche Katastrophe. Amtsgericht
und Landgericht haben tatsächlich die
00:35:21.470 --> 00:35:25.220
Beschlagnahme bestätigt, haben auch noch
ausgeführt: Ja, wir haben zwar nach langer
00:35:25.220 --> 00:35:29.140
Zeit wissen wir immer noch nicht sicher,
ob diese Computer tatsächlich Tatmittel
00:35:29.140 --> 00:35:35.950
sind. Aber sie würden ja kommen ja immer
noch als Einziehungsgegenstände,
00:35:35.950 --> 00:35:38.010
Wertersatzeinziehungsgegenstände in
Betracht, nämlich wenn sie angeschafft
00:35:38.010 --> 00:35:49.000
wurden, aus rechtswidrig, aus durch die
Tat erlangtem Geld. Es geht hier ja darum
00:35:49.000 --> 00:35:53.470
letztendlich ist es ja subjektiv
festzustellen: Was hat sich jemand
00:35:53.470 --> 00:35:58.270
gedacht, der diese Software entwickelt hat
oder der sie vertreibt oder verkauft? Und
00:35:58.270 --> 00:36:04.280
um dieses Subjektive festzustellen,
braucht man Dinge wie beispielsweise
00:36:04.280 --> 00:36:10.609
Kommunikation mit möglichen Kunden oder
möglichen Interessenten. Problem war
00:36:10.609 --> 00:36:14.840
sämtliche digitale Kommunikation war
beschlagnahmt. Und dann bin ich da auch
00:36:14.840 --> 00:36:20.099
nicht mehr in der Lage, besonders
irgendwas vorzulegen, was mich entlastet.
00:36:20.099 --> 00:36:28.849
Es gab dann aber irgendwann einen
Auswertevermerk, in dem es heißt "Es ist
00:36:28.849 --> 00:36:34.490
zu erkennen, dass sowohl die Person eins
als auch Person zwei," also Leute, die im
00:36:34.490 --> 00:36:39.751
Visier der Strafverfolgungsbehörden waren,
"legale Verkaufsabsichten für", das waren
00:36:39.751 --> 00:36:43.500
also Unterlagen, meinem Mandanten standen
die gar nicht zur Verfügung. Da hatte
00:36:43.500 --> 00:36:48.895
jemand ein Jahr vorher, Mitte 2017,
angefragt: "Hey, I'm looking to hack
00:36:48.895 --> 00:36:54.030
certain accounts. Can this get accounts
that people have saved as log in, because
00:36:54.030 --> 00:36:59.380
as you know if they don't have to enter
their info anymore how will I key log it,
00:36:59.380 --> 00:37:05.599
understand?" Also, es fragte jemand: Ich
will hier Computer hacken, wo
00:37:05.599 --> 00:37:08.690
wahrscheinlich die Passwörter nicht mehr
eingegeben werden, kann ich die da
00:37:08.690 --> 00:37:13.560
irgendwie aus dem System generieren? Und
mein Mandant schrieb zurück "Sorry, but
00:37:13.560 --> 00:37:17.890
you mentioned you would like to hack
certain accounts. Our legal guidelines do
00:37:17.890 --> 00:37:22.859
not allow to communicate further on this
basis." Er hat also ganz klar gesagt:
00:37:22.859 --> 00:37:26.690
Solche Anfragen beantworten wir nicht. Das
ist hier nicht unser Geschäft. Sowas
00:37:26.690 --> 00:37:30.990
wollen wir nicht. Und hat dann einer
anderen Person auch noch geschrieben,
00:37:30.990 --> 00:37:34.829
sozusagen im Nachgang "I wonder what some
users think." Was denken die sich
00:37:34.829 --> 00:37:42.300
eigentlich da draußen, was wir machen? Das
war dann schon mal schön, dass zumindest
00:37:42.300 --> 00:37:46.320
in einem Bericht oder in einem
Auswertbericht vom LKA steht erkennbar,
00:37:46.320 --> 00:37:51.920
dass die legale Verkaufsabsichten
verfolgen, gab auch ein paar andere Dinge.
00:37:51.920 --> 00:37:57.940
Gleichwohl der Abschlussbericht des LKA
sagt dann aber "diese legalen
00:37:57.940 --> 00:38:05.400
Verkaufsabsichten widerlegen jedoch nicht,
dass es sich nicht doch um ein nicht
00:38:05.400 --> 00:38:09.609
reines Dual-Use-Tool handelt". Also hier
wieder auch wieder diese abstruse
00:38:09.609 --> 00:38:14.780
Unterscheidung reines Dual-Use-Tool und
nicht reines Dual-Use-Tool, die aus meiner
00:38:14.780 --> 00:38:21.970
Sicht nach dem Bundesverfassungsgericht
nicht zulässig ist. Es war dann auch so,
00:38:21.970 --> 00:38:26.150
dass es um viele andere es ging darum,
bestimmte Dinge, die das Gerät kann,
00:38:26.150 --> 00:38:29.282
beispielsweise Silent Installation. Das
hat sie ja sehr gestört, aber denen war
00:38:29.282 --> 00:38:32.810
auch nicht bekanntes, dass beispielsweise
TeamViewer auch eine Silent Installation
00:38:32.810 --> 00:38:40.580
hat und ähnliches. Letztendlich läuft es
immer so: Die Polizei schließt das
00:38:40.580 --> 00:38:43.810
Ermittlungsverfahren ab, gibts dann an die
Staatsanwaltschaft. Und die
00:38:43.810 --> 00:38:49.430
Staatsanwaltschaft hat tatsächlich nach 7
Monaten eingestellt, nach 170 Absatz 2.
00:38:49.430 --> 00:38:54.240
Zum Glück meines Mandanten, der
tatsächlich überaus glücklich war, den
00:38:54.240 --> 00:38:57.849
dieses Verfahren ganz erheblich belastet
hat. Und er durfte dann seine Sachen
00:38:57.849 --> 00:39:02.750
abholen. Und hier sieht man mal, wie ein
Mobiltelefon aussieht, wenn es also das
00:39:02.750 --> 00:39:07.930
LKA hatte, um die Daten auszuwerten,
auseinander gerupft. Oben sieht man
00:39:07.930 --> 00:39:15.490
irgendwie einen Chip, der rausgelötet oder
entfernt wurde, und hier eine Festplatte.
00:39:15.490 --> 00:39:19.420
Man sieht, die wurde aus dem Gehäuse
geschraubt, und da gabs wohl keine
00:39:19.420 --> 00:39:26.540
Kapazitäten, dass man die wieder rein
schraubt. Passend hier zum Motto des
00:39:26.540 --> 00:39:32.099
Kongresses Resource Exhaustion. Da hatten
Sie scheinbar keine Kapazitäten, das
00:39:32.099 --> 00:39:40.570
musste mein Mandant machen. Der Spuk war
sozusagen fast zu Ende. Es laufen noch, es
00:39:40.570 --> 00:39:43.660
läuft noch ein Entschädigungsverfahren
nach dem Strafrechtentschädigungsgesetz,
00:39:43.660 --> 00:39:50.030
da sind wir noch nicht ganz am Ziel. Ich
bin sehr knapp hier mit der Zeit. Ich will
00:39:50.030 --> 00:39:54.240
das Ganze abschließen, weil das sicher
eine Frage ist, die Leute sich stellen,
00:39:54.240 --> 00:39:59.940
die mit Software hantieren, schreiben,
entwickeln, testen, die letztendlich
00:39:59.940 --> 00:40:03.079
sagen: Ich bin hier vielleicht in einem
Bereich, da mache ich mich aus meiner
00:40:03.079 --> 00:40:07.210
Sicht nicht strafbar, aber das eine oder
andere Landes-LKA sieht das vielleicht ein
00:40:07.210 --> 00:40:12.890
bisschen anders, so wie hier in unserem
Fall. Also was sind Schutzmaßnahmen für
00:40:12.890 --> 00:40:17.960
alle, die mit solchen Dingen umgehen? Ich
meine das ernst: nicht im falschen Forum
00:40:17.960 --> 00:40:24.750
posten. Man hält sich am besten von allem
fern, wo irgendein LKA-Beamter denken
00:40:24.750 --> 00:40:28.990
könnte. Wenn irgendwas hackforums heißt,
dann sind das da alles nur Kriminelle.
00:40:28.990 --> 00:40:33.200
Auch wenn ich das hochgradig abwegig
finde. Man sollte nach Möglichkeit
00:40:33.200 --> 00:40:36.560
ausschließlich legale
Nutzungsmöglichkeiten darstellen und am
00:40:36.560 --> 00:40:40.880
besten gar nicht auf illegale
Nutzungsmöglichkeiten eingehen. Und selbst
00:40:40.880 --> 00:40:47.869
bei der Formulierung von Warnhinweisen
gibt es strafrechtliche Literatur, die
00:40:47.869 --> 00:40:54.510
sagt äußerste Vorsicht da, damit einem es
nicht ausgelegt wird, dass jemand durch
00:40:54.510 --> 00:41:04.390
seine Warnhinweise in Wirklichkeit dieses
Produkt für illegale Nutzungen bewerben will.
00:41:04.390 --> 00:41:12.099
H: Ulrich, die Zeit ist leider vorbei, wir
haben auch keine Zeit für Q&A. Vielen Dank
00:41:12.099 --> 00:41:15.000
für deinen Vortrag, und ich glaube, das
ist dein Applaus.
00:41:15.000 --> 00:41:16.000
Applaus
00:41:16.000 --> 00:41:29.150
U: Okay. Vielen Dank! Wenn jemand Fragen
hat im Nachgang, kann mir gerne eine
00:41:29.150 --> 00:41:32.480
E-Mail schreiben. Ich kann die nicht immer
in voller Länge vielleicht beantworten,
00:41:32.480 --> 00:41:37.140
aber das eine oder andere versuche ich mal
einzuschieben. Also wen dieses Thema
00:41:37.140 --> 00:41:40.720
weiter interessiert, wer selber betroffen
ist, wer sich nochmal vergewissern will
00:41:40.720 --> 00:41:44.720
über irgendwas, wer weitere
Literaturhinweise braucht, kann sich gerne
00:41:44.720 --> 00:41:49.070
an mich wenden. Bin im Internet zu finden.
Nicht mit dem gleichnamigen Rechtsanwalt
00:41:49.070 --> 00:41:53.400
aus Hannover verwechseln. Der macht nur
Arbeitsrecht. Dankeschön!
00:41:53.400 --> 00:41:56.656
H: Ulrich Kerner! Berlin.
00:41:56.656 --> 00:41:59.315
Abspannmusik
00:41:59.315 --> 00:42:24.000
Untertitel erstellt von c3subtitles.de
im Jahr 20??. Mach mit und hilf uns!