Return to Video

36C3 - Hackerparagraph § 202c StGB // Reality Check

  • 0:00 - 0:22
    36C3 Vorspannmusik
  • 0:22 - 0:26
    Herald-Engel: Gut, dann machen wir weiter
    mit Uli oder Rechtsanwalt Ulrich Kerner,
  • 0:26 - 0:33
    der uns über ein sieben Jahre altes, nein,
    seit 2007 zwölf Jahre altes Gesetz
  • 0:33 - 0:38
    berichten wird. Wie die Rechtslage da drin
    ist, habe ich bis heute nicht kapiert, bin
  • 0:38 - 0:43
    aber selbst davon betroffen; und ich denke
    immer: Hilfe! Ich habe nmap
  • 0:43 - 0:48
    Signal-Engel: Halt halt halt halt halt
    halt halt. Den Hashtag hätte ich gerne
  • 0:48 - 0:50
    nochmal da oben drauf.
    Damit ich die Fragen aus dem Internet
  • 0:50 - 0:57
    hab. Twitter und IRC. Und jetzt:
    H: Einen Applaus für Uli!
  • 0:57 - 1:05
    Applaus
  • 1:05 - 1:07
    Ulrich Kerner: So. Hallo zusammen. Ich
    freue mich, dass so viel Leute gekommen
  • 1:07 - 1:10
    sind. Ich freue mich auch, dass ich wieder
    hier sein darf, nachdem ich vor drei
  • 1:10 - 1:18
    Jahren schon mal in Hamburg auf dem
    Kongress war. Heute geht es um den Hacker
  • 1:18 - 1:25
    Paragrafen 202c StGB Cybercrime
    Ermittlungen. Vorsicht vor der Polizei
  • 1:25 - 1:30
    oder nicht im falschen Forum posten. Das
    wird sich nachher erklären. Warum dieser
  • 1:30 - 1:36
    Titel? Was möchte ich heute hier
    vorstellen? Einmal eine kurze Einleitung,
  • 1:36 - 1:44
    wo wir uns befinden. Dann den 202c in der
    Gesetzgebung und ein bisschen den
  • 1:44 - 1:50
    Meinungsstand, was darunter zu verstehen
    ist. Dann: Wie sieht das in der Realität
  • 1:50 - 1:57
    aus? Was hat der für eine Relevanz? Wie
    wird da ermittelt und zum Schluss ein
  • 1:57 - 2:14
    bisschen Ausblick und Fragen beantworten.
    Grundsätzlich ist der... blättert Also
  • 2:14 - 2:25
    wenn wir reden hier von Internet,
    Strafrecht und Gesetzgebung, da müssen,
  • 2:25 - 2:30
    meine ich, zwei Dinge gesagt werden:
    Erstens: im juristischen Bereich ist immer
  • 2:30 - 2:34
    noch normal, dass wir Faxe schreiben. Wir
    schicken also Faxe an die Gerichte, an die
  • 2:34 - 2:38
    Behörden, die uns genauso. Wir sind da
    sozusagen noch ein bisschen in der
  • 2:38 - 2:41
    Entwicklung hinterher. Und das ist nicht
    nur in der Justiz so und in der
  • 2:41 - 2:47
    Strafrechtspflege, sondern aus meiner
    Sicht auch im Fall in der Gesetzgebung,
  • 2:47 - 2:53
    dass im Bundestag zwar regelmäßig
    Aktivitäten entfaltet werden, die aber
  • 2:53 - 2:59
    häufig ein bisschen am Ziel vorbei
    schießen. Kleines Beispiel dazu: Als vor
  • 2:59 - 3:08
    etwa einem Jahr der unter dem Namen Orbit
    jemand Daten von Politikern und von
  • 3:08 - 3:13
    Prominenten ins Netz gestellt hat, war
    also der Schrei laut: Cyber-Angriff auf
  • 3:13 - 3:18
    Politiker, auf Bundestagsabgeordnete. Beim
    genaueren Hinsehen sah man dann, dass da
  • 3:18 - 3:23
    wenig, sag ich mal, echte Cyber-
    Kriminalität dahinter war. Es war ein Fall
  • 3:23 - 3:27
    von Doxing. Die meisten Daten fanden sich
    frei im Netz, und da, zumindest nach
  • 3:27 - 3:31
    meinem Wissensstand, wo vielleicht
    tatsächlich der eine oder andere Account
  • 3:31 - 3:37
    übernommen wurde, passierte das nicht mit
    sozusagen hoher technischer oder IT-
  • 3:37 - 3:42
    technischem Geschick, sondern einfach mit
    dem Erraten von Passwörtern, die einfach
  • 3:42 - 3:49
    zu einfach waren. Und die Reaktion der
    Bundesregierung war, dass
  • 3:49 - 3:53
    Innenstaatssekretär Stephan Mayer
    erklärte, dass jetzt ein Cyber-
  • 3:53 - 3:59
    Abwehrzentrum Plus in Aktion treten soll.
    Was daraus geworden ist, ist mir nicht so
  • 3:59 - 4:04
    klar. Aber wenn wir Cyber-Abwehrzentrum
    hören, dann findet man schnell, wenn man
  • 4:04 - 4:10
    sucht, aus 2014 beispielsweise, das
    ist jetzt hier von der Tagesschau ein
  • 4:10 - 4:15
    Bericht über vertraulichen Bericht über
    einen vertraulichen Bericht des
  • 4:15 - 4:22
    Bundesrechnungshofes, der also sagt, dass
    das NCAZ - das Nationale Cyber-
  • 4:22 - 4:30
    Abwehrzentrum - eigentlich nicht
    gerechtfertigt sei. Zitat: "Es wäre der
  • 4:30 - 4:35
    einzige vorgegebene Arbeitsablauf, wäre
    die tägliche Lagebesprechung und eine
  • 4:35 - 4:40
    Handlungsempfehlung auf politisch-
    strategischer Ebene im Jahresbericht". Das
  • 4:40 - 4:50
    ist sozusagen, was die Bundesregierung
    tut, um unsere Rechte zu schützen. Es ist
  • 4:50 - 4:54
    also ein nicht ganz einfaches Verhältnis,
    und das, meine ich, sieht man hier auch an
  • 4:54 - 5:02
    dem 202c. Der 202c ist durch die
    Cybercrime-Convention auf den
  • 5:02 - 5:05
    gesetzgeberischen Plan gekommen. Ich will
    gleich ein bisschen das
  • 5:05 - 5:11
    Gesetzgebungsverfahren darstellen und dann
    die Klage beim Bundesverfassungsgericht
  • 5:11 - 5:16
    über die Verfassungsbeschwerden, die beim
    Bundesverfassungsgericht anhängig waren.
  • 5:16 - 5:24
    Beginnen wir mit der Cybercrime
    Convention. Das sind zwei Übereinkommen:
  • 5:24 - 5:30
    das Übereinkommen des Europarates und ein
    Rahmenbeschluss des Rates der EU, der den
  • 5:30 - 5:36
    Ziel hat, die Ziele hatten,
    Mindeststandards über bestimmte schwere
  • 5:36 - 5:40
    Formen der Computerkriminalität im
    europäischen Raum zu verwirklichen und
  • 5:40 - 5:47
    außerdem die Zusammenarbeit und die
    Rechtshilfe unter den Staaten zu
  • 5:47 - 5:54
    verbessern. Und einen Teil davon; nur ein
    Teil, der in Artikel 6 der CCC zu finden
  • 5:54 - 6:02
    ist, ist also das Anliegen, dass jeglicher
    Umgang mit Computerprogrammen, die zur
  • 6:02 - 6:07
    Begehung einer solchen Straftat dienen
    sollen, unter Strafe gestellt werden
  • 6:07 - 6:14
    sollen. Ich habe hier mal den englischen
    Text. Man muss noch dazu sagen, dass
  • 6:14 - 6:24
    Artikel 6 einen Absatz 3 hat, der es den
    Vorberhalt - eine Vorbehaltregelung hat,
  • 6:24 - 6:30
    so dass die einzelnen Nationalstaaten
    sagen konnten: "Diesen Artikel 6, den
  • 6:30 - 6:35
    Inhalt wollen wir gar nicht umsetzen." Die
    Bundesrepublik hat halt tatsächlich in
  • 6:35 - 6:40
    Ansätzen davon Gebrauch gemacht, aber war
    eben der Meinung das, was wir hier finden,
  • 6:40 - 6:47
    also "devices including computer
    programs", dass die entweder für illegalen
  • 6:47 - 6:56
    Zugang, illegales Abhören oder Abfangen
    von Daten; für Eingriffe und Störungen von
  • 6:56 - 7:07
    Daten; dafür geschrieben wurden, oder
    "adapted primarily" also dafür
  • 7:07 - 7:16
    konfiguriert wurden, dass die unter Strafe
    gestellt werden sollen. Es gab dann einen
  • 7:16 - 7:24
    Gesetzesvorschlag der Bundesregierung. Das
    Ganze wurde durchaus schon kontrovers
  • 7:24 - 7:33
    diskutiert. Der Bundesrat war da, hatte
    Bedenken, sagte das ist alles zu weit
  • 7:33 - 7:40
    gefasst. Dann ist sozusagen der übliche
    Ablauf: Es gibt eine Gegenäußerung. Es gab
  • 7:40 - 7:44
    eine öffentliche Anhörung, und dann wurde
    das Ganze in den Rechtsausschuss
  • 7:44 - 7:48
    verwiesen. Und der Rechtsausschuss hat
    dann mit Stimmen eigentlich aller Parteien
  • 7:48 - 8:00
    bis auf die Linkspartei dem Bundestag
    empfohlen, diesen Gesetzesentwurf
  • 8:00 - 8:06
    anzunehmen. Und jetzt Sinn des 202 ist
    nach der Bundesregierung und nach der
  • 8:06 - 8:12
    Bundestagsdrucksache, nach der hier
    zitierten, dass mit dem neuen 202c
  • 8:12 - 8:16
    Strafgesetzbuch sollen bestimmte,
    besonders gefährliche
  • 8:16 - 8:25
    Vorbereitungshandlungen selbstständig
    unter Strafe gestellt werden. Damit hier
  • 8:25 - 8:31
    alle das Konzept verstehen: wenn
    Strafbarkeit auf Vorbereitungshandlungen
  • 8:31 - 8:39
    ausgedehnt wird, möchte ich das mal kurz
    erläutern. Grundsätzlich ist es so: Wenn
  • 8:39 - 8:43
    wir einen Tatablauf haben, dann haben wir
    Vorbereitung, die ist in der Regel
  • 8:43 - 8:49
    straflos. Wir haben dann die Situation, wo
    der Täter in den Versuch mit dem Versuch
  • 8:49 - 8:55
    beginnt, in das Versuchsstadium eintritt,
    und wenn er da erfolgreich ist, dann haben
  • 8:55 - 8:58
    wir irgendwann eine Vollendung, und haben
    wir bei bestimmten Delikten noch eine
  • 8:58 - 9:04
    Beendigung. Vorbereitungshandlungen sind
    in der Regel nicht strafbar. Ich nehme ein
  • 9:04 - 9:11
    Beispiel. Wenn also jemand sich überlegt
    Ich möchte jemand anders kräftig treten,
  • 9:11 - 9:14
    sozusagen nicht strafbar. Wenn sich die
    Person jetzt ihre schweren Bergstiefel
  • 9:14 - 9:18
    anzieht, damit es auch richtig wehtut,
    dann ist das auch noch nicht strafbar.
  • 9:18 - 9:20
    Dann sind wir noch in der
    Vorbereitungshandlung. Und bei der
  • 9:20 - 9:24
    Körperverletzung ist die
    Vorbereitungshandlung eben straffrei. Wenn
  • 9:24 - 9:30
    dann die Person tritt, und aber nicht
    trifft beispielsweise, dann wären wir im
  • 9:30 - 9:34
    Versuch. Versuch beginnt, wenn nach der
    Sicht des Täters das unmittelbare "Jetzt
  • 9:34 - 9:40
    geht es los" überschritten ist. Also wenn
    ich aushole, um zu treten, und ich trete
  • 9:40 - 9:45
    daneben oder falle hin oder was auch
    immer, dann bin ich also im Versuch. Und
  • 9:45 - 9:50
    der ist bei der Körperverletzung auch
    strafbar, unter Strafe gestellt. Wenn
  • 9:50 - 9:53
    jetzt jemand beispielsweise gegen ein Auto
    treten will, um eine Beule rein zu machen,
  • 9:53 - 9:59
    und das Auto fährt rechtzeitig weg, und er
    tritt daneben. Dann wäre das auch ein
  • 9:59 - 10:02
    Versuch, aber der Versuch ist bei der
    Sachbeschädigung nicht strafbar.
  • 10:02 - 10:09
    Gesetzgeberische Wertung. Wir haben die
    Wertung, dass der Versuch bei allen
  • 10:09 - 10:13
    Verbrechen strafbar ist. Das sind Taten,
    die Mindestmass mit einem Jahr bedroht
  • 10:13 - 10:19
    sind; und ansonsten nur, wenn es der
    Gesetzgeber ausdrücklich geregelt hat. Und
  • 10:19 - 10:26
    alles, was in den Vorbereitungshandlungen
    ist, ist nicht von Strafe, ist nicht
  • 10:26 - 10:30
    strafbar. Also wer in den Großshop geht,
    um sich Pflanzenlampen,
  • 10:30 - 10:36
    Bewässerungsanlagen zu kaufen, um nachher
    Cannabis anzubauen beispielsweise, macht
  • 10:36 - 10:40
    sich durch den Erwerb dieser Sachen noch
    nicht strafbar. Da müssten erst weitere
  • 10:40 - 10:48
    Akte hinzukommen. Hier aber explizites
    Interesse des Gesetzgebers, eben schon
  • 10:48 - 10:57
    Vorbereitungshandlungen unter Strafe zu
    stellen. Und so sieht der heutige 202c
  • 10:57 - 11:09
    aus. Da heißt es auch, "wer eine Straftat
    nach 202a oder 202b vorbereitet". Und
  • 11:09 - 11:18
    jetzt kommen 2 mögliche Tatalternativen:
    erstens Passwörter oder ähnliches. Oder
  • 11:18 - 11:24
    hier Nummer zwei. Und das ist, worum es
    hier mir heute geht. "Computerprogramme,
  • 11:24 - 11:28
    deren Zweck die Begehung einer solchen Tat
    ist". Und jetzt kommen die einzelnen
  • 11:28 - 11:33
    Tatmodalitäten, Tathandlungsmodalitäten
    "herstellt, sich oder einem anderen
  • 11:33 - 11:37
    verschafft, verkauft, einem anderen
    überlässt, verbreitet oder sonst
  • 11:37 - 11:42
    zugänglich macht". Der wird also mit
    Geldstrafe oder mit Freiheitsstrafe bis zu
  • 11:42 - 11:50
    zwei Jahren bestraft. Diese Ausweitung der
    Strafbarkeit versteht man nur, wenn man
  • 11:50 - 11:59
    auch den 202a und 202b, deren sozusagen,
    auf die die Tat abzielen muss. Wenn man da
  • 11:59 - 12:07
    kurz reingeschaut hat: 202a ist das
    Ausspähen von Daten, das Zugang
  • 12:07 - 12:12
    verschaffen zu "besonders gesicherten
    Daten" und zwar unberechtigten Zugang,
  • 12:12 - 12:17
    auch digitaler Hausfriedensbruch genannt
    und tatsächlich schon durch das zweite
  • 12:17 - 12:22
    Gesetz zur Bekämpfung der
    Wirtschaftskriminalität Mitte 86 ins
  • 12:22 - 12:27
    Gesetz gekommen. Damals allerdings noch
    mit ein bisschen anderem Wortlaut, und hat
  • 12:27 - 12:33
    seine heutige Fassung durch das 41.
    Strafrechtsänderungsgesetz, mit dem auch
  • 12:33 - 12:39
    der 202c, der Hackerparagraf erlassen
    wurde. So, also wir haben sozusagen als
  • 12:39 - 12:44
    Taten, auf die jemand diese Programme
    herstellen oder ähnliches muss einmal das
  • 12:44 - 12:54
    Ausspähen von Daten 202a und 202b, das
    Abfangen von Daten. Hier ist also nicht
  • 12:54 - 12:59
    mehr nötig, dass besondere
    Sicherungsmaßnahmen vorhanden sind oder
  • 12:59 - 13:06
    umgangen werden. Hier reicht es, dass
    Daten, die übermittelt werden, mittels
  • 13:06 - 13:15
    technischer Mittel abgefangen werden. Und
    nur als kleiner Hinweis: Wir haben
  • 13:15 - 13:18
    ähnliche Vorbereitungshandlungen, die
    unter Strafe gestellt sind, auch woanders
  • 13:18 - 13:25
    in den Computer- oder IT-Delikten. Einmal
    bei der Datenveränderung, wo es in Absatz
  • 13:25 - 13:30
    heißt: "Für die Vorbereitung einer
    Straftat nach Absatz 1 gilt jetzt 202c
  • 13:30 - 13:37
    entsprechend". Und wir haben das nochmal
    in der sogenannten Computer-Sabotage 303b.
  • 13:37 - 13:47
    Wen das interessiert, kann sich das mal in
    Ruhe anschauen, da über einen Verweis auf
  • 13:47 - 13:53
    entsprechende Anwendung von 202c.
    Sozusagen Vorfeldkriminalisierung von
  • 13:53 - 14:00
    Vorbereitungshandlungen, die sonst nicht
    strafbar werden. Zurück zum Paragrafen
  • 14:00 - 14:12
    202c, zum Hackerparagraf. Das Problem ist
    hier, dass "Computerprogramme, deren Zweck
  • 14:12 - 14:19
    die Begehung einer Tat das Ausspähen von
    Daten ist", jeglicher Umgang damit unter
  • 14:19 - 14:27
    Strafe gestellt ist. Und es fragt sich ein
    bisschen, was man darunter verstehen soll
  • 14:27 - 14:32
    oder was man darunter nicht verstehen
    soll. Hier kam eben sozusagen in der
  • 14:32 - 14:37
    Anmoderation die Frage "Ich habe nmap",
    ein durchaus mächtiges Tool. Mache ich
  • 14:37 - 14:42
    mich schon strafbar, wenn ich auf meiner
    Linux-Distribution habe oder nicht? Das
  • 14:42 - 14:53
    Gesetz verlangt, dass der objektive Zweck
    des Programmes eine Straftat, das
  • 14:53 - 15:01
    Ausspähens oder Abfangens von Daten ist.
    Problem: Programme oder Gegenstände haben
  • 15:01 - 15:08
    keinen objektiven Zweck. Programme und
    auch Gegenstände haben Eigenschaften. Um
  • 15:08 - 15:12
    ein Beispiel zu nennen: Eine Pistole hat
    die Eigenschaft, dass sie ein Projektil
  • 15:12 - 15:19
    sehr schnell mit hoher Energie aus dem
    Lauf schießen kann und ob damit jemand auf
  • 15:19 - 15:23
    eine Zielscheibe aus sportlichen
    Gesichtspunkten oder aber auf Menschen
  • 15:23 - 15:34
    schießt ist nicht Zweck dieser Pistole,
    sondern das liegt eben, Zweck gibt eine
  • 15:34 - 15:40
    Person diesem Gegenstand oder dem
    Programm, das an sich nur Eigenschaften
  • 15:40 - 15:45
    hat, die eben für bestimmte Zwecke
    gebraucht werden können. Insofern etwas
  • 15:45 - 15:53
    unklar, was hier erfasst ist und was nicht
    erfasst ist. Nach den Verlautbarungen der
  • 15:53 - 15:59
    Bundesregierung sollen also klassische
    oder typische Hacker-Tools erfasst sein.
  • 15:59 - 16:04
    Es sollen aber nicht erfasst werden
    Programme, die auch anderen Zwecken dienen
  • 16:04 - 16:13
    können, so genannte Dual-Use-Tools oder
    Dual-Use-Programme. Das heißt, dass dieser
  • 16:13 - 16:20
    objektive Tatbestand der Strafbarkeit, der
    Zweck dieses Programm des Programms, also
  • 16:20 - 16:27
    doch subjektiv bestimmt werden muss. Und
    genau an dieser Stelle liegt das Problem.
  • 16:27 - 16:34
    Das Ganze war, meine ich wenig
    überraschend, Gegenstand von
  • 16:34 - 16:37
    Verfassungsbeschwerden, Individual-
    Verfassungsbeschwerden vom
  • 16:37 - 16:44
    Bundesverfassungsgericht, die mit einem,
    die das Verfassungsgericht nicht
  • 16:44 - 16:50
    angenommen hat, und ich hab hier die
    Aktenzeichen aufgeschrieben. Wer das
  • 16:50 - 16:55
    nachlesen will, findet es gleich im
    Internet. Das Bundesverfassungsgericht hat
  • 16:55 - 17:01
    gesagt: Die drei Beschwerdeführer sind
    nicht gegenwärtig, selbst gegenwärtig und
  • 17:01 - 17:06
    unmittelbar beschwert. Möchte ich kurz
    erklären, was das Bundesverfassungsgericht
  • 17:06 - 17:12
    dazu ausgeführt hat. Geklagt hatten oder
    Verfassungsbeschwerde erhoben hatten 3
  • 17:12 - 17:15
    Personen. Das eine war ein
    Hochschullehrer, der gesagt hat, er nutzt
  • 17:15 - 17:20
    also viele Tools, die er ja seinen
    Studenten Studentinnen zur Verfügung
  • 17:20 - 17:25
    stellt, die man zum Teil auch auf seiner
    Website runterladen kann. Unter anderem
  • 17:25 - 17:31
    auch das Programm nmap. Und er hatte, er
    ist davon ausgegangen, er macht sich schon
  • 17:31 - 17:35
    strafbar. Zweiter Beschwerdeführer war der
    Geschäftsführer einer Sicherheitsfirma,
  • 17:35 - 17:43
    die Penetrations-Tests durchgeführt haben
    und dafür auch Hacker-Software oder
  • 17:43 - 17:49
    Software aus anonymen Hacker-Foren
    verwendeten. Ich war der dritte
  • 17:49 - 17:54
    Beschwerdeführer, weil ich gesagt habe,
    ich benutze Linux, und ich habe hier eine
  • 17:54 - 17:59
    Menge Tools auf jeder Linux-Distribution
    wie beispielsweise nmap, wo ich doch
  • 17:59 - 18:05
    eigentlich davon ausgehen kann, das kann
    man für kriminelle Zwecke verwenden. Ich
  • 18:05 - 18:09
    weiß auch nicht, wieso und mit welchem
    Hintergedanken das geschrieben wurde. Ich
  • 18:09 - 18:18
    fühle mich hier letztendlich auch bedroht
    davon. Das Bundesverfassungsgericht
  • 18:18 - 18:22
    verlangt selbst, dass die Beschwerdeführer
    selbst unmittelbar und gegenwärtig
  • 18:22 - 18:29
    betroffen sind. Und das liegt insbesondere
    vor, wenn bei einer möglichen, nicht fern
  • 18:29 - 18:36
    liegenden Auslegung dieses Tatbestandes
    das Risiko gegeben ist, dass man sich
  • 18:36 - 18:41
    strafbar macht. Dem hat das
    Bundesverfassungsgericht aber letztendlich
  • 18:41 - 18:48
    eine Absage erteilt. Und zwar hat es
    ausgeführt, dass Dual-Use-Tools
  • 18:48 - 18:55
    grundsätzlich nicht erfasst sind und
    weiter ausgeführt: Der Zweck ist eben
  • 18:55 - 19:02
    nichts Objektives letzendlich, was dem
    Programm innewohnt, sondern beschreibt
  • 19:02 - 19:09
    Beweggrund und Ziel einer Handlung und
    nicht des Programms selber. Und das ist
  • 19:09 - 19:16
    dann jetzt wieder natürlich subjektiv
    festzustellen und muss aber muss sich
  • 19:16 - 19:22
    äußerlich feststellbar manifestieren an
    der Gestaltung des Programms selbst. Was
  • 19:22 - 19:28
    auch immer ich mir jetzt darunter
    vorstellen soll oder eben an einer
  • 19:28 - 19:34
    eindeutig auf illegale Verwendung
    abzielenden Werbung oder Vertriebsweise.
  • 19:34 - 19:41
    Gleichwohl meine ich ist auch das
    weiterhin recht unbestimmt. Was macht
  • 19:41 - 19:49
    daraus so die Literatur, wenn wir in die
    juristische Kommentierung gucken? Ich
  • 19:49 - 19:54
    zitiere mal aus Schönke / Schröder. Da
    heißt es dann eigentlich entsprechend "bei
  • 19:54 - 20:02
    Programmen, deren funktionaler Zweck nicht
    eindeutig kriminell ist und die erst durch
  • 20:02 - 20:06
    eine missbräuchliche Anwendung zu einem
    Tatwerkzeug werden (vor allem Dual-Use-
  • 20:06 - 20:12
    Tools wie password scanner und Netzwerk-
    Sniffer), ist der Tatbestand nicht
  • 20:12 - 20:20
    verwirklicht" und dann mit Verweis auf
    verschiedene Bundestagsdrucksache und
  • 20:20 - 20:32
    verschiedene andere Gerichtsentscheidung.
    So in der Praxis macht das allerdings
  • 20:32 - 20:35
    immer noch, ist das immer noch finde ich
    äußerst unbestimmt und macht
  • 20:35 - 20:40
    Schwierigkeiten. Wir wollen uns jetzt,
    nach diesem kurzen, sag ich mal,
  • 20:40 - 20:45
    juristischen Teil mal anschauen: Wie sieht
    es hier in der Praxis aus? In der Praxis
  • 20:45 - 20:51
    hat der 202c tatsächlich eine geringe
    Bedeutung. Ich habe hier zur Vorbereitung
  • 20:51 - 20:55
    mal bei Juris, das ist eine juristische
    Entscheidungs-Datenbank, wo also
  • 20:55 - 20:58
    Gerichtsurteile veröffentlicht werden,
    geschaut, was es denn da gibt und war
  • 20:58 - 21:05
    erstaunt, dass Juris insgesamt für dieses
    vor 12 Jahren erlassene Gesetz 8
  • 21:05 - 21:10
    Entscheidungen kennt. Davon ist natürlich
    eine Entscheidung die Entscheidung des
  • 21:10 - 21:14
    Bundesverfassungsgerichts. Eine
    Entscheidung ist vom Verwaltungsgericht
  • 21:14 - 21:19
    Hannover. Da ging es um Pressefreiheit und
    Äußerungen eines Oberbürgermeisters. Und
  • 21:19 - 21:25
    dann haben wir 6 Zivilurteile, also von
    Zivilgerichten. Da geht es zum Beispiel um
  • 21:25 - 21:30
    die fristlose Entlassung eines GmbH-
    Geschäftsführers wegen Falschabrechnung
  • 21:30 - 21:34
    von Auslagen und Herunterladen von
    Hackersoftware auf seinen Dienstlaptop.
  • 21:34 - 21:40
    Und es gibt tatsächlich nur eine einzige
    Entscheidung aus dem strafrechtlichen
  • 21:40 - 21:46
    Bereich: ein Beschluss des OLG Kölns. Da
    ging es nicht um die Verurteilung,
  • 21:46 - 21:53
    jemanden, der mit solchen Programmen
    gehandhabt hat, umgegangen ist, sondern
  • 21:53 - 21:57
    das ist ein Beschluss in einem
    Klageerzwingungsverfahren.
  • 21:57 - 22:00
    Klageerzwingungsverfahren ist ein
    Verfahren, wenn ich verletzt an einer
  • 22:00 - 22:04
    Straftat bin und ich zeige die an, und die
    Staatsanwaltschaft stellt ein. Dann kann
  • 22:04 - 22:07
    ich, da gibt es das
    Klageerzwingungsverfahren. Diese
  • 22:07 - 22:10
    Vorschalt-Beschwerde, ich beschwere mich
    erstmal und sage "Liebe Staatsanwaltschaft,
  • 22:10 - 22:14
    das müsst ihr doch verfolgen". Und wenn
    dann die Beschwerde, wenn der nicht
  • 22:14 - 22:18
    abgeholfen wird, durch die
    Generalstaatsanwaltschaft, dann kann ich
  • 22:18 - 22:21
    mich ans Gericht wenden im
    Klageerzwingungsverfahren und sagen "Liebes
  • 22:21 - 22:26
    Gericht, das muss doch verfolgt werden".
    Weise bitte mal die Behörden an, das zu
  • 22:26 - 22:32
    tun. Also: die einzige strafrechtliche
    Entscheidung ist eine solche, sozusagen
  • 22:32 - 22:43
    bringt uns da auch nicht weiter. Was kann
    man noch sagen zur Relevanz? Die
  • 22:43 - 22:48
    Polizeiliche Kriminalstatistik für 2018
    gibt für den Ganzen, für die vier Delikte
  • 22:48 - 22:51
    Ausspähen, Abfangen von Daten
    einschließlich Vorbereitungshandlungen
  • 22:51 - 23:01
    202c und die Datenhehlerei 8762 Fälle an,
    also für vier verschiedene Strafnormen.
  • 23:01 - 23:08
    Mal im Vergleich: Körperverletzungstaten
    haben wir ein bisschen mehr als 550.000.
  • 23:08 - 23:17
    554.653 Fälle. Um es klar zu sagen: Die
    Gefahr, Opfer einer Körperverletzung zu
  • 23:17 - 23:25
    werden, ist also ungleich größer als hier,
    Opfer von Ausspähen oder Abfangen von
  • 23:25 - 23:40
    Daten zu werden. Ich habe lange gewartet
    tatsächlich, dass sich jemand mal an mich
  • 23:40 - 23:45
    meldet und sagt: Ich habe hier ein
    Ermittlungsverfahren wegen 202c StGB. Und
  • 23:45 - 23:55
    ich habe letztes Jahr einen Fall gehabt,
    der dieses Jahr erledigt hat. Und den
  • 23:55 - 23:59
    möchte ich hier ein bisschen vorstellen.
    Da geht es um eine Software, die heißt
  • 23:59 - 24:04
    WebMonitor von revcode und
    Ermittlungsbehörde war die Zentralstelle
  • 24:04 - 24:12
    Cybercrime Bayern, ZCB in Bamberg bei der
    Generalstaatsanwaltschaft angesiedelt, das
  • 24:12 - 24:20
    ist also eine spezielle Abteilung, die
    personell ziemlich gut ausgestattet ist. 4
  • 24:20 - 24:24
    Oberstaatsanwälte, 4 Staatsanwälte als
    Gruppenleiter, 2 weitere Staatsanwälte und
  • 24:24 - 24:30
    Geschäftsstellen. Nach Selbstverständnis
    auf der Webseite ist diese Zentralstelle
  • 24:30 - 24:34
    bayernweit zuständig für die Bearbeitung
    herausgehobener Ermittlungsverfahren im
  • 24:34 - 24:49
    Bereich der Cyberkriminalität. Was war
    hier das Problem? Ein Beamter fand also in
  • 24:49 - 25:00
    einem Forum, und zwar bei hackforums.net,
    einen Thread über den WebMonitor, der dort
  • 25:00 - 25:04
    als Fernwartungssoftware, als Remote
    Administration Tool RAT angeboten wurde.
  • 25:04 - 25:15
    Und hier heißt es dann zum Anlass der
    Ermittlungen, dass dort diese Software in
  • 25:15 - 25:21
    einem nicht öffentlich zugänglichen Forum
    angeboten wurde. Das ist das Erste, was
  • 25:21 - 25:26
    schlichtweg falsch ist. hackforums hat
    etwa drei Millionen Nutzer, zumindest nach
  • 25:26 - 25:31
    der Wikipedia. Und man muss sich
    registrieren, sozusagen jeder kann sich
  • 25:31 - 25:36
    registrieren, wenn man die
    Nutzungsbedingungen akzeptiert. Und dann
  • 25:36 - 25:40
    kann auch sich jeder diesen Thread
    anschauen und lesen, was da gepostet
  • 25:40 - 25:50
    wurde. Ich bin hier ein bisschen zu weit.
    Man muss noch einmal zurückgehen. Hier war
  • 25:50 - 25:55
    ich. Also ein Remote Administration Tool.
    Dann hat sich da wohl jemand gedacht, da
  • 25:55 - 26:01
    muss ich mal weiter suchen und fand einen
    Blog-Eintrag aus meiner Sicht aus einem
  • 26:01 - 26:09
    nicht unbedingt seriös anzusehenden Blog,
    in dem ziemlich reißerisch behauptet wird,
  • 26:09 - 26:18
    dass diese Software bei einem CEO Fraud
    genutzt worden wäre, ohne irgendwelche
  • 26:18 - 26:24
    Beweise zu bringen. Und sagt also, das
    wäre Malware, die sich als legale Software
  • 26:24 - 26:29
    tarnt, auch dafür keine Beweise. Es geht
    letztendlich in erster Linie darum, wie
  • 26:29 - 26:32
    ist die programmiert, ist die gut
    programmiert, in welcher
  • 26:32 - 26:38
    Programmiersprache ist die programmiert
    und Ähnliches. Darauf wurden Ermittlungen
  • 26:38 - 26:46
    eingeleitet, und zwar vom Bayerischen
    Landeskriminalamt Sachgebiet 542
  • 26:46 - 26:50
    Zentralstelle unter der Leitung der
    Generalstaatsanwaltschaft Bamberg
  • 26:50 - 26:56
    Zentralstelle Cybercrime Bayern. Die haben
    sich also diese Software gekauft, haben
  • 26:56 - 27:01
    Sie in Ihrem eigenen Malwarelabor
    untersucht. Oder das, was man da wohl
  • 27:01 - 27:08
    Untersuchung nennt. Und kommen dann dazu:
    Ich zitiere mal, "dass es sich in diesem
  • 27:08 - 27:14
    Fall in erster Linie nicht um reines,
    reines Hackertool gemäß Paragraf 202c
  • 27:14 - 27:20
    Absatz 1 Nr. 2 StGB handelt. Wird von der
    Sachbearbeitung anschließend rechtlich
  • 27:20 - 27:24
    geprüft, ob es sich hierbei um ein
    legitimes Computerprogramm oder um eine
  • 27:24 - 27:34
    kriminelle Schadsoftware (Englisch
    Malware) handelt." Hier steht schon drin:
  • 27:34 - 27:40
    Es ist kein reines Hackingtool, dann ist
    es wohl automatisch ein Dual-Use-Tool und
  • 27:40 - 27:44
    wie Bundesverfassungsgericht zumindest die
    Auffassung vertritt, und viele andere
  • 27:44 - 27:48
    auch, dann ist es kein taugliches
    Tatobjekt. Aus meiner Sicht hätte hier
  • 27:48 - 27:53
    eigentlich gesagt werden müssen: Wir
    klappen die Akte zu und wenden uns einem
  • 27:53 - 27:58
    anderen Fall zu. Nicht aber hier. Die
    haben also festgestellt es gibt eine
  • 27:58 - 28:07
    offizielle Website, die lautet auf eine
    .eu Domain. Und dann war sich das
  • 28:07 - 28:14
    bayerische LKA war dann der Meinung, dass
    hier die Leute, die dahinter stehen, ihre
  • 28:14 - 28:23
    wahre Identität verschleiern würden. Und
    zwar "Hierfür spricht folgendes: Das wäre
  • 28:23 - 28:29
    auf dem nicht öffentlich zugänglichen
    hackforums.net beworben worden", wie
  • 28:29 - 28:32
    gesagt, schlichtweg falsch, das ist
    öffentlich, "die wahre Identität des
  • 28:32 - 28:38
    Anbieters wäre verschleiert worden". Keine
    Begründung. Kommt nachher noch, "fehlendes
  • 28:38 - 28:44
    Impressum auf der Webseite". Gut, das ist
    wohl sozusagen ein Verstoß gegen 5
  • 28:44 - 28:49
    Telemediengesetz. Aber dient nicht der
    Verschleierung, denn die Website war also
  • 28:49 - 28:55
    offiziell registriert. Die hatten auch
    sofort Name, Adresse der Person, die
  • 28:55 - 29:01
    registriert hatte. Da war also der WHOIS-
    Eintrag, war vollständig und korrekt.
  • 29:01 - 29:05
    Haben sie aber festgestellt, die Domain
    wurde bei einem russischen Registrar
  • 29:05 - 29:09
    registriert. Das fanden die also sehr
    merkwürdig. Wie gesagt, sie wurde mit dem
  • 29:09 - 29:14
    richtigen Namen, der richtigen Anschrift
    registriert. Der Hoster war in der
  • 29:14 - 29:20
    Ukraine, der hatte wohl ein gutes Angebot
    gemacht. Nach Auffassung des Bayerischen
  • 29:20 - 29:26
    Landeskriminalamt also dient es der
    Verschleierung. Und dann schreiben Sie
  • 29:26 - 29:29
    "eingebettete Links zu Facebook, Twitter
    und YouTube führen auf nicht existente
  • 29:29 - 29:33
    Webseiten." Das ist auch falsch. Die war
    also auf der Website schon die Buttons.
  • 29:33 - 29:37
    Aber es gab noch keine Registrierung,
    sodass sie auf die Startseiten jeweils von
  • 29:37 - 29:49
    Facebook, Twitter und YouTube führten. Und
    so liest sich das hier munter weiter. Die
  • 29:49 - 29:55
    Staatsanwaltschaft hat sich einen
    Hausdurchsuchungsbeschluss geholt, in dem
  • 29:55 - 30:00
    es dann schon heißt, dass hier so ziemlich
    sicher ist, dass die vertriebene Software
  • 30:00 - 30:05
    eine Schadsoftware ist und erkennbar nur
    zum Zweck entwickelt wurde, dass der
  • 30:05 - 30:11
    Verwender unbemerkt die Kontrolle über
    fremde Rechner bekommt. Und daraufhin
  • 30:11 - 30:18
    wurde durchsucht. Ich muss ein bisschen
    auf die Zeit schauen, aber da möchte ich
  • 30:18 - 30:23
    kurz was sagen. Richtervorbehalt,
    richterlicher Durchsuchungsbeschluss. Wir
  • 30:23 - 30:27
    haben zurzeit mal wieder große
    Diskussionen. Sollen nicht
  • 30:27 - 30:31
    Ordnungswidrigkeiten, Behörden,
    Zugangsdaten Passwörter bekommen? Neueste
  • 30:31 - 30:37
    Idee der Bundesregierung und zwar auch
    schon Ordnungswidrigkeiten, bei
  • 30:37 - 30:40
    Ordnungswidrigkeiten. Und dann wird
    gesagt: Na ja, das Ganze hat doch ein
  • 30:40 - 30:45
    Richtervorbehalt. Wie funktioniert das?
    Wenn ein richterlicher Beschluss erfasst,
  • 30:45 - 30:49
    gefasst wird. Der Ermittlungsrichter
    bekommt also seinen Antrag von der StA auf
  • 30:49 - 30:55
    den Tisch gelegt und kriegt dann eine Akte
    dazu. Und dann hat er zwei Möglichkeiten.
  • 30:55 - 31:00
    Entweder er oder sie zeichnet das ab oder
    sagt, na das finde ich alles komisch.
  • 31:00 - 31:03
    Und jetzt fange ich mal an, in der Akte zu
    lesen. Und jetzt steige ich mal in die
  • 31:03 - 31:07
    Prüfung ein, und dann komme ich
    vielleicht, sage ich vielleicht nee, den
  • 31:07 - 31:12
    Erlass dieses Beschlusses lehne ich ab.
    Das ist mit viel Aufwand verbunden, und
  • 31:12 - 31:15
    man kann es, meine ich, unseren
    Ermittlungsrichterinnen und Richtern nicht
  • 31:15 - 31:20
    nachsehen, wenn da stapelweise Anträge
    hereingetragen werden, dass sie die
  • 31:20 - 31:23
    irgendwie lesen, schauen, ist es
    schlüssig, klingt es vernünftig, und das
  • 31:23 - 31:28
    dann abzeichnen. Und wenn hier gesagt
    wird, bei einer Software, die selbst das
  • 31:28 - 31:32
    LKA ganz klar sagt, das ist keine reine
    Schadsoftware. Ich sage dann das
  • 31:32 - 31:37
    automatische Dual Use, und damit fällt es
    nicht unter 202c. Und dann dem Richter
  • 31:37 - 31:41
    mitgeteilt wird "dient erkennbar diesen
    Zwecken". Und zu nichts anderem als
  • 31:41 - 31:45
    kriminellen Straftaten kann ich zumindest
    in gewisser Weise verstehen, wenn das
  • 31:45 - 31:51
    abgezeichnet wird. Umkehrschluss: Wenn wir
    hier gerade eine aktuelle Diskussion
  • 31:51 - 31:56
    haben, ob nicht Passwörter herausgegeben
    werden sollen, und dann heißt es: Ja, ja,
  • 31:56 - 32:00
    da haben wir doch ein Richtervorbehalt.
    Das wird auch kontrolliert. Muss man
  • 32:00 - 32:04
    deutlich sagen. Diese Kontrolle ist eine
    sehr niederschwellige Kontrolle und
  • 32:04 - 32:10
    absolut kein ernst zu nehmender Schutz für
    die Rechte des einzelnen Bürgers und der
  • 32:10 - 32:23
    Bürgerin. Applaus Kurz nur zur Hausdurchsuchung,
    so als als sozusagen wie so was abläuft.
  • 32:23 - 32:29
    Die Beamten kamen in Zivil mit mehreren
    Fahrzeugen, kamen in Zivil mit einem Paket
  • 32:29 - 32:31
    unter der Hand, wollten mein Mandant
    sprechen, der nicht selber an die Tür
  • 32:31 - 32:37
    gegangen ist, sagt nee, das müssten Sie
    dem schon selber übergeben. Es waren wohl
  • 32:37 - 32:43
    drei Leute anwesend, im Haus oder in dem
    Objekt, was durchsucht wurde. Nachdem sich
  • 32:43 - 32:47
    also alle ausgewiesen hatten und alle
    wussten, wer ist der andere, konnten sich,
  • 32:47 - 32:50
    haben sich die Beamten nicht nehmen
    lassen, dann ihre Westen anzuziehen, mit
  • 32:50 - 32:56
    der sie als Polizisten zu erkennen sind,
    sodass sozusagen alle Nachbarn in dem
  • 32:56 - 33:01
    Dorf, als sie angefangen haben, dort alles
    rauszutragen, was es rauszutragen gab,
  • 33:01 - 33:04
    sofort gesehen haben und sich nicht nur
    gewundert haben: Wieso sind da so viele
  • 33:04 - 33:08
    Autos? Sondern die haben dann auch noch
    gesehen: oh, es ist die Polizei? Völlig
  • 33:08 - 33:13
    unnötig, hat bleibenden Eindruck
    hinterlassen im Dorf. Das sind dann so die
  • 33:13 - 33:20
    kleinen Nebenerscheinungen von solchen,
    von solchen Veranstaltungen. Meinem
  • 33:20 - 33:26
    Mandanten wurde alles beschlagnahmt, was
    man irgendwie wegtragen konnte. Alle
  • 33:26 - 33:31
    Computer und die braucht er zum Arbeiten
    und alle Speichermedien, die bei ihm zu
  • 33:31 - 33:39
    Hause gefunden wurden. USB-Platten,
    Speicherkarten, USB-Sticks, alles, alle
  • 33:39 - 33:44
    Mobiltelefone, haufenweise Schriftstücke
    wurden rausgetragen. Es wurde
  • 33:44 - 33:49
    beschlagnahmt, weil das im Vorfeld
    ermittelt wurde. Welche Server hat der
  • 33:49 - 33:56
    Mann registriert? Es wurden zwölf Server
    beschlagnahmt bei Drittanbietern. Es
  • 33:56 - 33:59
    wurden E-Mail-Postfächer beschlagnahmt,
    weil vorher ein bisschen geguckt wurde,
  • 33:59 - 34:05
    was gibts da so für E-Mail-Adressen? Und
    dann wurde, weil es Zahlungen gab über
  • 34:05 - 34:11
    PayPal auch da diese ganzen Sachen überall
    mit den korrekten vollständigen Daten
  • 34:11 - 34:18
    angemeldet, gab es einen Vermögensarrest
    und im Rahmen dieses Vermögensarrests
  • 34:18 - 34:21
    wurde dann zur Sicherung der
    Vermögenswerte sämtliche Bankkonten
  • 34:21 - 34:26
    gepfändet, alles Geld mitgenommen, was bei
    ihm gefunden wurde, und selbst eine
  • 34:26 - 34:33
    Armbanduhr eingesammelt. Dazu muss man
    sagen: Es gilt natürlich die
  • 34:33 - 34:39
    Unschuldsvermutung. Wir sind im
    Ermittlungsverfahren, und das sind
  • 34:39 - 34:44
    Maßnahmen, die jedem, der nicht irgendwie
    jemanden hat, der ihn da auffängt, Jeder
  • 34:44 - 34:48
    normale Mensch, der nicht da dann
    Solidarität erfährt, ist schlichtweg
  • 34:48 - 34:51
    ruiniert. Die Krankenkasse wird nicht mehr
    bezahlt, die Miete wird nicht mehr
  • 34:51 - 34:57
    bezahlt, oder alternativ sage ich mal die
    Rate fürs fürs Haus oder die
  • 34:57 - 35:01
    Eigentumswohnung. Wenn man ein Fahrzeug
    hat und die Versicherung muss abgebucht
  • 35:01 - 35:07
    werden zum Jahreswechsel, dann geschieht
    das nicht. Kfz-Steuer wird nicht mehr
  • 35:07 - 35:13
    abgebucht. Wenn man Leasing Fahrzeug hat,
    dürfte da sofort die Kündigung kommen.
  • 35:13 - 35:21
    Grösstmögliche Katastrophe. Amtsgericht
    und Landgericht haben tatsächlich die
  • 35:21 - 35:25
    Beschlagnahme bestätigt, haben auch noch
    ausgeführt: Ja, wir haben zwar nach langer
  • 35:25 - 35:29
    Zeit wissen wir immer noch nicht sicher,
    ob diese Computer tatsächlich Tatmittel
  • 35:29 - 35:36
    sind. Aber sie würden ja kommen ja immer
    noch als Einziehungsgegenstände,
  • 35:36 - 35:38
    Wertersatzeinziehungsgegenstände in
    Betracht, nämlich wenn sie angeschafft
  • 35:38 - 35:49
    wurden, aus rechtswidrig, aus durch die
    Tat erlangtem Geld. Es geht hier ja darum
  • 35:49 - 35:53
    letztendlich ist es ja subjektiv
    festzustellen: Was hat sich jemand
  • 35:53 - 35:58
    gedacht, der diese Software entwickelt hat
    oder der sie vertreibt oder verkauft? Und
  • 35:58 - 36:04
    um dieses Subjektive festzustellen,
    braucht man Dinge wie beispielsweise
  • 36:04 - 36:11
    Kommunikation mit möglichen Kunden oder
    möglichen Interessenten. Problem war
  • 36:11 - 36:15
    sämtliche digitale Kommunikation war
    beschlagnahmt. Und dann bin ich da auch
  • 36:15 - 36:20
    nicht mehr in der Lage, besonders
    irgendwas vorzulegen, was mich entlastet.
  • 36:20 - 36:29
    Es gab dann aber irgendwann einen
    Auswertevermerk, in dem es heißt "Es ist
  • 36:29 - 36:34
    zu erkennen, dass sowohl die Person eins
    als auch Person zwei," also Leute, die im
  • 36:34 - 36:40
    Visier der Strafverfolgungsbehörden waren,
    "legale Verkaufsabsichten für", das waren
  • 36:40 - 36:44
    also Unterlagen, meinem Mandanten standen
    die gar nicht zur Verfügung. Da hatte
  • 36:44 - 36:49
    jemand ein Jahr vorher, Mitte 2017,
    angefragt: "Hey, I'm looking to hack
  • 36:49 - 36:54
    certain accounts. Can this get accounts
    that people have saved as log in, because
  • 36:54 - 36:59
    as you know if they don't have to enter
    their info anymore how will I key log it,
  • 36:59 - 37:06
    understand?" Also, es fragte jemand: Ich
    will hier Computer hacken, wo
  • 37:06 - 37:09
    wahrscheinlich die Passwörter nicht mehr
    eingegeben werden, kann ich die da
  • 37:09 - 37:14
    irgendwie aus dem System generieren? Und
    mein Mandant schrieb zurück "Sorry, but
  • 37:14 - 37:18
    you mentioned you would like to hack
    certain accounts. Our legal guidelines do
  • 37:18 - 37:23
    not allow to communicate further on this
    basis." Er hat also ganz klar gesagt:
  • 37:23 - 37:27
    Solche Anfragen beantworten wir nicht. Das
    ist hier nicht unser Geschäft. Sowas
  • 37:27 - 37:31
    wollen wir nicht. Und hat dann einer
    anderen Person auch noch geschrieben,
  • 37:31 - 37:35
    sozusagen im Nachgang "I wonder what some
    users think." Was denken die sich
  • 37:35 - 37:42
    eigentlich da draußen, was wir machen? Das
    war dann schon mal schön, dass zumindest
  • 37:42 - 37:46
    in einem Bericht oder in einem
    Auswertbericht vom LKA steht erkennbar,
  • 37:46 - 37:52
    dass die legale Verkaufsabsichten
    verfolgen, gab auch ein paar andere Dinge.
  • 37:52 - 37:58
    Gleichwohl der Abschlussbericht des LKA
    sagt dann aber "diese legalen
  • 37:58 - 38:05
    Verkaufsabsichten widerlegen jedoch nicht,
    dass es sich nicht doch um ein nicht
  • 38:05 - 38:10
    reines Dual-Use-Tool handelt". Also hier
    wieder auch wieder diese abstruse
  • 38:10 - 38:15
    Unterscheidung reines Dual-Use-Tool und
    nicht reines Dual-Use-Tool, die aus meiner
  • 38:15 - 38:22
    Sicht nach dem Bundesverfassungsgericht
    nicht zulässig ist. Es war dann auch so,
  • 38:22 - 38:26
    dass es um viele andere es ging darum,
    bestimmte Dinge, die das Gerät kann,
  • 38:26 - 38:29
    beispielsweise Silent Installation. Das
    hat sie ja sehr gestört, aber denen war
  • 38:29 - 38:33
    auch nicht bekanntes, dass beispielsweise
    TeamViewer auch eine Silent Installation
  • 38:33 - 38:41
    hat und ähnliches. Letztendlich läuft es
    immer so: Die Polizei schließt das
  • 38:41 - 38:44
    Ermittlungsverfahren ab, gibts dann an die
    Staatsanwaltschaft. Und die
  • 38:44 - 38:49
    Staatsanwaltschaft hat tatsächlich nach 7
    Monaten eingestellt, nach 170 Absatz 2.
  • 38:49 - 38:54
    Zum Glück meines Mandanten, der
    tatsächlich überaus glücklich war, den
  • 38:54 - 38:58
    dieses Verfahren ganz erheblich belastet
    hat. Und er durfte dann seine Sachen
  • 38:58 - 39:03
    abholen. Und hier sieht man mal, wie ein
    Mobiltelefon aussieht, wenn es also das
  • 39:03 - 39:08
    LKA hatte, um die Daten auszuwerten,
    auseinander gerupft. Oben sieht man
  • 39:08 - 39:15
    irgendwie einen Chip, der rausgelötet oder
    entfernt wurde, und hier eine Festplatte.
  • 39:15 - 39:19
    Man sieht, die wurde aus dem Gehäuse
    geschraubt, und da gabs wohl keine
  • 39:19 - 39:27
    Kapazitäten, dass man die wieder rein
    schraubt. Passend hier zum Motto des
  • 39:27 - 39:32
    Kongresses Resource Exhaustion. Da hatten
    Sie scheinbar keine Kapazitäten, das
  • 39:32 - 39:41
    musste mein Mandant machen. Der Spuk war
    sozusagen fast zu Ende. Es laufen noch, es
  • 39:41 - 39:44
    läuft noch ein Entschädigungsverfahren
    nach dem Strafrechtentschädigungsgesetz,
  • 39:44 - 39:50
    da sind wir noch nicht ganz am Ziel. Ich
    bin sehr knapp hier mit der Zeit. Ich will
  • 39:50 - 39:54
    das Ganze abschließen, weil das sicher
    eine Frage ist, die Leute sich stellen,
  • 39:54 - 40:00
    die mit Software hantieren, schreiben,
    entwickeln, testen, die letztendlich
  • 40:00 - 40:03
    sagen: Ich bin hier vielleicht in einem
    Bereich, da mache ich mich aus meiner
  • 40:03 - 40:07
    Sicht nicht strafbar, aber das eine oder
    andere Landes-LKA sieht das vielleicht ein
  • 40:07 - 40:13
    bisschen anders, so wie hier in unserem
    Fall. Also was sind Schutzmaßnahmen für
  • 40:13 - 40:18
    alle, die mit solchen Dingen umgehen? Ich
    meine das ernst: nicht im falschen Forum
  • 40:18 - 40:25
    posten. Man hält sich am besten von allem
    fern, wo irgendein LKA-Beamter denken
  • 40:25 - 40:29
    könnte. Wenn irgendwas hackforums heißt,
    dann sind das da alles nur Kriminelle.
  • 40:29 - 40:33
    Auch wenn ich das hochgradig abwegig
    finde. Man sollte nach Möglichkeit
  • 40:33 - 40:37
    ausschließlich legale
    Nutzungsmöglichkeiten darstellen und am
  • 40:37 - 40:41
    besten gar nicht auf illegale
    Nutzungsmöglichkeiten eingehen. Und selbst
  • 40:41 - 40:48
    bei der Formulierung von Warnhinweisen
    gibt es strafrechtliche Literatur, die
  • 40:48 - 40:55
    sagt äußerste Vorsicht da, damit einem es
    nicht ausgelegt wird, dass jemand durch
  • 40:55 - 41:04
    seine Warnhinweise in Wirklichkeit dieses
    Produkt für illegale Nutzungen bewerben will.
  • 41:04 - 41:12
    H: Ulrich, die Zeit ist leider vorbei, wir
    haben auch keine Zeit für Q&A. Vielen Dank
  • 41:12 - 41:15
    für deinen Vortrag, und ich glaube, das
    ist dein Applaus.
  • 41:15 - 41:16
    Applaus
  • 41:16 - 41:29
    U: Okay. Vielen Dank! Wenn jemand Fragen
    hat im Nachgang, kann mir gerne eine
  • 41:29 - 41:32
    E-Mail schreiben. Ich kann die nicht immer
    in voller Länge vielleicht beantworten,
  • 41:32 - 41:37
    aber das eine oder andere versuche ich mal
    einzuschieben. Also wen dieses Thema
  • 41:37 - 41:41
    weiter interessiert, wer selber betroffen
    ist, wer sich nochmal vergewissern will
  • 41:41 - 41:45
    über irgendwas, wer weitere
    Literaturhinweise braucht, kann sich gerne
  • 41:45 - 41:49
    an mich wenden. Bin im Internet zu finden.
    Nicht mit dem gleichnamigen Rechtsanwalt
  • 41:49 - 41:53
    aus Hannover verwechseln. Der macht nur
    Arbeitsrecht. Dankeschön!
  • 41:53 - 41:57
    H: Ulrich Kerner! Berlin.
  • 41:57 - 41:59
    Abspannmusik
  • 41:59 - 42:24
    Untertitel erstellt von c3subtitles.de
    im Jahr 20??. Mach mit und hilf uns!
Title:
36C3 - Hackerparagraph § 202c StGB // Reality Check
Description:

more » « less
Video Language:
German
Duration:
42:24

German subtitles

Revisions Compare revisions