36C3 Vorspannmusik
Herald-Engel: Gut, dann machen wir weiter
mit Uli oder Rechtsanwalt Ulrich Kerner,
der uns über ein sieben Jahre altes, nein,
seit 2007 zwölf Jahre altes Gesetz
berichten wird. Wie die Rechtslage da drin
ist, habe ich bis heute nicht kapiert, bin
aber selbst davon betroffen; und ich denke
immer: Hilfe! Ich habe nmap
Signal-Engel: Halt halt halt halt halt
halt halt. Den Hashtag hätte ich gerne
nochmal da oben drauf.
Damit ich die Fragen aus dem Internet
hab. Twitter und IRC. Und jetzt:
H: Einen Applaus für Uli!
Applaus
Ulrich Kerner: So. Hallo zusammen. Ich
freue mich, dass so viel Leute gekommen
sind. Ich freue mich auch, dass ich wieder
hier sein darf, nachdem ich vor drei
Jahren schon mal in Hamburg auf dem
Kongress war. Heute geht es um den Hacker
Paragrafen 202c StGB Cybercrime
Ermittlungen. Vorsicht vor der Polizei
oder nicht im falschen Forum posten. Das
wird sich nachher erklären. Warum dieser
Titel? Was möchte ich heute hier
vorstellen? Einmal eine kurze Einleitung,
wo wir uns befinden. Dann den 202c in der
Gesetzgebung und ein bisschen den
Meinungsstand, was darunter zu verstehen
ist. Dann: Wie sieht das in der Realität
aus? Was hat der für eine Relevanz? Wie
wird da ermittelt und zum Schluss ein
bisschen Ausblick und Fragen beantworten.
Grundsätzlich ist der... blättert Also
wenn wir reden hier von Internet,
Strafrecht und Gesetzgebung, da müssen,
meine ich, zwei Dinge gesagt werden:
Erstens: im juristischen Bereich ist immer
noch normal, dass wir Faxe schreiben. Wir
schicken also Faxe an die Gerichte, an die
Behörden, die uns genauso. Wir sind da
sozusagen noch ein bisschen in der
Entwicklung hinterher. Und das ist nicht
nur in der Justiz so und in der
Strafrechtspflege, sondern aus meiner
Sicht auch im Fall in der Gesetzgebung,
dass im Bundestag zwar regelmäßig
Aktivitäten entfaltet werden, die aber
häufig ein bisschen am Ziel vorbei
schießen. Kleines Beispiel dazu: Als vor
etwa einem Jahr der unter dem Namen Orbit
jemand Daten von Politikern und von
Prominenten ins Netz gestellt hat, war
also der Schrei laut: Cyber-Angriff auf
Politiker, auf Bundestagsabgeordnete. Beim
genaueren Hinsehen sah man dann, dass da
wenig, sag ich mal, echte Cyber-
Kriminalität dahinter war. Es war ein Fall
von Doxing. Die meisten Daten fanden sich
frei im Netz, und da, zumindest nach
meinem Wissensstand, wo vielleicht
tatsächlich der eine oder andere Account
übernommen wurde, passierte das nicht mit
sozusagen hoher technischer oder IT-
technischem Geschick, sondern einfach mit
dem Erraten von Passwörtern, die einfach
zu einfach waren. Und die Reaktion der
Bundesregierung war, dass
Innenstaatssekretär Stephan Mayer
erklärte, dass jetzt ein Cyber-
Abwehrzentrum Plus in Aktion treten soll.
Was daraus geworden ist, ist mir nicht so
klar. Aber wenn wir Cyber-Abwehrzentrum
hören, dann findet man schnell, wenn man
sucht, aus 2014 beispielsweise, das
ist jetzt hier von der Tagesschau ein
Bericht über vertraulichen Bericht über
einen vertraulichen Bericht des
Bundesrechnungshofes, der also sagt, dass
das NCAZ - das Nationale Cyber-
Abwehrzentrum - eigentlich nicht
gerechtfertigt sei. Zitat: "Es wäre der
einzige vorgegebene Arbeitsablauf, wäre
die tägliche Lagebesprechung und eine
Handlungsempfehlung auf politisch-
strategischer Ebene im Jahresbericht". Das
ist sozusagen, was die Bundesregierung
tut, um unsere Rechte zu schützen. Es ist
also ein nicht ganz einfaches Verhältnis,
und das, meine ich, sieht man hier auch an
dem 202c. Der 202c ist durch die
Cybercrime-Convention auf den
gesetzgeberischen Plan gekommen. Ich will
gleich ein bisschen das
Gesetzgebungsverfahren darstellen und dann
die Klage beim Bundesverfassungsgericht
über die Verfassungsbeschwerden, die beim
Bundesverfassungsgericht anhängig waren.
Beginnen wir mit der Cybercrime
Convention. Das sind zwei Übereinkommen:
das Übereinkommen des Europarates und ein
Rahmenbeschluss des Rates der EU, der den
Ziel hat, die Ziele hatten,
Mindeststandards über bestimmte schwere
Formen der Computerkriminalität im
europäischen Raum zu verwirklichen und
außerdem die Zusammenarbeit und die
Rechtshilfe unter den Staaten zu
verbessern. Und einen Teil davon; nur ein
Teil, der in Artikel 6 der CCC zu finden
ist, ist also das Anliegen, dass jeglicher
Umgang mit Computerprogrammen, die zur
Begehung einer solchen Straftat dienen
sollen, unter Strafe gestellt werden
sollen. Ich habe hier mal den englischen
Text. Man muss noch dazu sagen, dass
Artikel 6 einen Absatz 3 hat, der es den
Vorberhalt - eine Vorbehaltregelung hat,
so dass die einzelnen Nationalstaaten
sagen konnten: "Diesen Artikel 6, den
Inhalt wollen wir gar nicht umsetzen." Die
Bundesrepublik hat halt tatsächlich in
Ansätzen davon Gebrauch gemacht, aber war
eben der Meinung das, was wir hier finden,
also "devices including computer
programs", dass die entweder für illegalen
Zugang, illegales Abhören oder Abfangen
von Daten; für Eingriffe und Störungen von
Daten; dafür geschrieben wurden, oder
"adapted primarily" also dafür
konfiguriert wurden, dass die unter Strafe
gestellt werden sollen. Es gab dann einen
Gesetzesvorschlag der Bundesregierung. Das
Ganze wurde durchaus schon kontrovers
diskutiert. Der Bundesrat war da, hatte
Bedenken, sagte das ist alles zu weit
gefasst. Dann ist sozusagen der übliche
Ablauf: Es gibt eine Gegenäußerung. Es gab
eine öffentliche Anhörung, und dann wurde
das Ganze in den Rechtsausschuss
verwiesen. Und der Rechtsausschuss hat
dann mit Stimmen eigentlich aller Parteien
bis auf die Linkspartei dem Bundestag
empfohlen, diesen Gesetzesentwurf
anzunehmen. Und jetzt Sinn des 202 ist
nach der Bundesregierung und nach der
Bundestagsdrucksache, nach der hier
zitierten, dass mit dem neuen 202c
Strafgesetzbuch sollen bestimmte,
besonders gefährliche
Vorbereitungshandlungen selbstständig
unter Strafe gestellt werden. Damit hier
alle das Konzept verstehen: wenn
Strafbarkeit auf Vorbereitungshandlungen
ausgedehnt wird, möchte ich das mal kurz
erläutern. Grundsätzlich ist es so: Wenn
wir einen Tatablauf haben, dann haben wir
Vorbereitung, die ist in der Regel
straflos. Wir haben dann die Situation, wo
der Täter in den Versuch mit dem Versuch
beginnt, in das Versuchsstadium eintritt,
und wenn er da erfolgreich ist, dann haben
wir irgendwann eine Vollendung, und haben
wir bei bestimmten Delikten noch eine
Beendigung. Vorbereitungshandlungen sind
in der Regel nicht strafbar. Ich nehme ein
Beispiel. Wenn also jemand sich überlegt
Ich möchte jemand anders kräftig treten,
sozusagen nicht strafbar. Wenn sich die
Person jetzt ihre schweren Bergstiefel
anzieht, damit es auch richtig wehtut,
dann ist das auch noch nicht strafbar.
Dann sind wir noch in der
Vorbereitungshandlung. Und bei der
Körperverletzung ist die
Vorbereitungshandlung eben straffrei. Wenn
dann die Person tritt, und aber nicht
trifft beispielsweise, dann wären wir im
Versuch. Versuch beginnt, wenn nach der
Sicht des Täters das unmittelbare "Jetzt
geht es los" überschritten ist. Also wenn
ich aushole, um zu treten, und ich trete
daneben oder falle hin oder was auch
immer, dann bin ich also im Versuch. Und
der ist bei der Körperverletzung auch
strafbar, unter Strafe gestellt. Wenn
jetzt jemand beispielsweise gegen ein Auto
treten will, um eine Beule rein zu machen,
und das Auto fährt rechtzeitig weg, und er
tritt daneben. Dann wäre das auch ein
Versuch, aber der Versuch ist bei der
Sachbeschädigung nicht strafbar.
Gesetzgeberische Wertung. Wir haben die
Wertung, dass der Versuch bei allen
Verbrechen strafbar ist. Das sind Taten,
die Mindestmass mit einem Jahr bedroht
sind; und ansonsten nur, wenn es der
Gesetzgeber ausdrücklich geregelt hat. Und
alles, was in den Vorbereitungshandlungen
ist, ist nicht von Strafe, ist nicht
strafbar. Also wer in den Großshop geht,
um sich Pflanzenlampen,
Bewässerungsanlagen zu kaufen, um nachher
Cannabis anzubauen beispielsweise, macht
sich durch den Erwerb dieser Sachen noch
nicht strafbar. Da müssten erst weitere
Akte hinzukommen. Hier aber explizites
Interesse des Gesetzgebers, eben schon
Vorbereitungshandlungen unter Strafe zu
stellen. Und so sieht der heutige 202c
aus. Da heißt es auch, "wer eine Straftat
nach 202a oder 202b vorbereitet". Und
jetzt kommen 2 mögliche Tatalternativen:
erstens Passwörter oder ähnliches. Oder
hier Nummer zwei. Und das ist, worum es
hier mir heute geht. "Computerprogramme,
deren Zweck die Begehung einer solchen Tat
ist". Und jetzt kommen die einzelnen
Tatmodalitäten, Tathandlungsmodalitäten
"herstellt, sich oder einem anderen
verschafft, verkauft, einem anderen
überlässt, verbreitet oder sonst
zugänglich macht". Der wird also mit
Geldstrafe oder mit Freiheitsstrafe bis zu
zwei Jahren bestraft. Diese Ausweitung der
Strafbarkeit versteht man nur, wenn man
auch den 202a und 202b, deren sozusagen,
auf die die Tat abzielen muss. Wenn man da
kurz reingeschaut hat: 202a ist das
Ausspähen von Daten, das Zugang
verschaffen zu "besonders gesicherten
Daten" und zwar unberechtigten Zugang,
auch digitaler Hausfriedensbruch genannt
und tatsächlich schon durch das zweite
Gesetz zur Bekämpfung der
Wirtschaftskriminalität Mitte 86 ins
Gesetz gekommen. Damals allerdings noch
mit ein bisschen anderem Wortlaut, und hat
seine heutige Fassung durch das 41.
Strafrechtsänderungsgesetz, mit dem auch
der 202c, der Hackerparagraf erlassen
wurde. So, also wir haben sozusagen als
Taten, auf die jemand diese Programme
herstellen oder ähnliches muss einmal das
Ausspähen von Daten 202a und 202b, das
Abfangen von Daten. Hier ist also nicht
mehr nötig, dass besondere
Sicherungsmaßnahmen vorhanden sind oder
umgangen werden. Hier reicht es, dass
Daten, die übermittelt werden, mittels
technischer Mittel abgefangen werden. Und
nur als kleiner Hinweis: Wir haben
ähnliche Vorbereitungshandlungen, die
unter Strafe gestellt sind, auch woanders
in den Computer- oder IT-Delikten. Einmal
bei der Datenveränderung, wo es in Absatz
heißt: "Für die Vorbereitung einer
Straftat nach Absatz 1 gilt jetzt 202c
entsprechend". Und wir haben das nochmal
in der sogenannten Computer-Sabotage 303b.
Wen das interessiert, kann sich das mal in
Ruhe anschauen, da über einen Verweis auf
entsprechende Anwendung von 202c.
Sozusagen Vorfeldkriminalisierung von
Vorbereitungshandlungen, die sonst nicht
strafbar werden. Zurück zum Paragrafen
202c, zum Hackerparagraf. Das Problem ist
hier, dass "Computerprogramme, deren Zweck
die Begehung einer Tat das Ausspähen von
Daten ist", jeglicher Umgang damit unter
Strafe gestellt ist. Und es fragt sich ein
bisschen, was man darunter verstehen soll
oder was man darunter nicht verstehen
soll. Hier kam eben sozusagen in der
Anmoderation die Frage "Ich habe nmap",
ein durchaus mächtiges Tool. Mache ich
mich schon strafbar, wenn ich auf meiner
Linux-Distribution habe oder nicht? Das
Gesetz verlangt, dass der objektive Zweck
des Programmes eine Straftat, das
Ausspähens oder Abfangens von Daten ist.
Problem: Programme oder Gegenstände haben
keinen objektiven Zweck. Programme und
auch Gegenstände haben Eigenschaften. Um
ein Beispiel zu nennen: Eine Pistole hat
die Eigenschaft, dass sie ein Projektil
sehr schnell mit hoher Energie aus dem
Lauf schießen kann und ob damit jemand auf
eine Zielscheibe aus sportlichen
Gesichtspunkten oder aber auf Menschen
schießt ist nicht Zweck dieser Pistole,
sondern das liegt eben, Zweck gibt eine
Person diesem Gegenstand oder dem
Programm, das an sich nur Eigenschaften
hat, die eben für bestimmte Zwecke
gebraucht werden können. Insofern etwas
unklar, was hier erfasst ist und was nicht
erfasst ist. Nach den Verlautbarungen der
Bundesregierung sollen also klassische
oder typische Hacker-Tools erfasst sein.
Es sollen aber nicht erfasst werden
Programme, die auch anderen Zwecken dienen
können, so genannte Dual-Use-Tools oder
Dual-Use-Programme. Das heißt, dass dieser
objektive Tatbestand der Strafbarkeit, der
Zweck dieses Programm des Programms, also
doch subjektiv bestimmt werden muss. Und
genau an dieser Stelle liegt das Problem.
Das Ganze war, meine ich wenig
überraschend, Gegenstand von
Verfassungsbeschwerden, Individual-
Verfassungsbeschwerden vom
Bundesverfassungsgericht, die mit einem,
die das Verfassungsgericht nicht
angenommen hat, und ich hab hier die
Aktenzeichen aufgeschrieben. Wer das
nachlesen will, findet es gleich im
Internet. Das Bundesverfassungsgericht hat
gesagt: Die drei Beschwerdeführer sind
nicht gegenwärtig, selbst gegenwärtig und
unmittelbar beschwert. Möchte ich kurz
erklären, was das Bundesverfassungsgericht
dazu ausgeführt hat. Geklagt hatten oder
Verfassungsbeschwerde erhoben hatten 3
Personen. Das eine war ein
Hochschullehrer, der gesagt hat, er nutzt
also viele Tools, die er ja seinen
Studenten Studentinnen zur Verfügung
stellt, die man zum Teil auch auf seiner
Website runterladen kann. Unter anderem
auch das Programm nmap. Und er hatte, er
ist davon ausgegangen, er macht sich schon
strafbar. Zweiter Beschwerdeführer war der
Geschäftsführer einer Sicherheitsfirma,
die Penetrations-Tests durchgeführt haben
und dafür auch Hacker-Software oder
Software aus anonymen Hacker-Foren
verwendeten. Ich war der dritte
Beschwerdeführer, weil ich gesagt habe,
ich benutze Linux, und ich habe hier eine
Menge Tools auf jeder Linux-Distribution
wie beispielsweise nmap, wo ich doch
eigentlich davon ausgehen kann, das kann
man für kriminelle Zwecke verwenden. Ich
weiß auch nicht, wieso und mit welchem
Hintergedanken das geschrieben wurde. Ich
fühle mich hier letztendlich auch bedroht
davon. Das Bundesverfassungsgericht
verlangt selbst, dass die Beschwerdeführer
selbst unmittelbar und gegenwärtig
betroffen sind. Und das liegt insbesondere
vor, wenn bei einer möglichen, nicht fern
liegenden Auslegung dieses Tatbestandes
das Risiko gegeben ist, dass man sich
strafbar macht. Dem hat das
Bundesverfassungsgericht aber letztendlich
eine Absage erteilt. Und zwar hat es
ausgeführt, dass Dual-Use-Tools
grundsätzlich nicht erfasst sind und
weiter ausgeführt: Der Zweck ist eben
nichts Objektives letzendlich, was dem
Programm innewohnt, sondern beschreibt
Beweggrund und Ziel einer Handlung und
nicht des Programms selber. Und das ist
dann jetzt wieder natürlich subjektiv
festzustellen und muss aber muss sich
äußerlich feststellbar manifestieren an
der Gestaltung des Programms selbst. Was
auch immer ich mir jetzt darunter
vorstellen soll oder eben an einer
eindeutig auf illegale Verwendung
abzielenden Werbung oder Vertriebsweise.
Gleichwohl meine ich ist auch das
weiterhin recht unbestimmt. Was macht
daraus so die Literatur, wenn wir in die
juristische Kommentierung gucken? Ich
zitiere mal aus Schönke / Schröder. Da
heißt es dann eigentlich entsprechend "bei
Programmen, deren funktionaler Zweck nicht
eindeutig kriminell ist und die erst durch
eine missbräuchliche Anwendung zu einem
Tatwerkzeug werden (vor allem Dual-Use-
Tools wie password scanner und Netzwerk-
Sniffer), ist der Tatbestand nicht
verwirklicht" und dann mit Verweis auf
verschiedene Bundestagsdrucksache und
verschiedene andere Gerichtsentscheidung.
So in der Praxis macht das allerdings
immer noch, ist das immer noch finde ich
äußerst unbestimmt und macht
Schwierigkeiten. Wir wollen uns jetzt,
nach diesem kurzen, sag ich mal,
juristischen Teil mal anschauen: Wie sieht
es hier in der Praxis aus? In der Praxis
hat der 202c tatsächlich eine geringe
Bedeutung. Ich habe hier zur Vorbereitung
mal bei Juris, das ist eine juristische
Entscheidungs-Datenbank, wo also
Gerichtsurteile veröffentlicht werden,
geschaut, was es denn da gibt und war
erstaunt, dass Juris insgesamt für dieses
vor 12 Jahren erlassene Gesetz 8
Entscheidungen kennt. Davon ist natürlich
eine Entscheidung die Entscheidung des
Bundesverfassungsgerichts. Eine
Entscheidung ist vom Verwaltungsgericht
Hannover. Da ging es um Pressefreiheit und
Äußerungen eines Oberbürgermeisters. Und
dann haben wir 6 Zivilurteile, also von
Zivilgerichten. Da geht es zum Beispiel um
die fristlose Entlassung eines GmbH-
Geschäftsführers wegen Falschabrechnung
von Auslagen und Herunterladen von
Hackersoftware auf seinen Dienstlaptop.
Und es gibt tatsächlich nur eine einzige
Entscheidung aus dem strafrechtlichen
Bereich: ein Beschluss des OLG Kölns. Da
ging es nicht um die Verurteilung,
jemanden, der mit solchen Programmen
gehandhabt hat, umgegangen ist, sondern
das ist ein Beschluss in einem
Klageerzwingungsverfahren.
Klageerzwingungsverfahren ist ein
Verfahren, wenn ich verletzt an einer
Straftat bin und ich zeige die an, und die
Staatsanwaltschaft stellt ein. Dann kann
ich, da gibt es das
Klageerzwingungsverfahren. Diese
Vorschalt-Beschwerde, ich beschwere mich
erstmal und sage "Liebe Staatsanwaltschaft,
das müsst ihr doch verfolgen". Und wenn
dann die Beschwerde, wenn der nicht
abgeholfen wird, durch die
Generalstaatsanwaltschaft, dann kann ich
mich ans Gericht wenden im
Klageerzwingungsverfahren und sagen "Liebes
Gericht, das muss doch verfolgt werden".
Weise bitte mal die Behörden an, das zu
tun. Also: die einzige strafrechtliche
Entscheidung ist eine solche, sozusagen
bringt uns da auch nicht weiter. Was kann
man noch sagen zur Relevanz? Die
Polizeiliche Kriminalstatistik für 2018
gibt für den Ganzen, für die vier Delikte
Ausspähen, Abfangen von Daten
einschließlich Vorbereitungshandlungen
202c und die Datenhehlerei 8762 Fälle an,
also für vier verschiedene Strafnormen.
Mal im Vergleich: Körperverletzungstaten
haben wir ein bisschen mehr als 550.000.
554.653 Fälle. Um es klar zu sagen: Die
Gefahr, Opfer einer Körperverletzung zu
werden, ist also ungleich größer als hier,
Opfer von Ausspähen oder Abfangen von
Daten zu werden. Ich habe lange gewartet
tatsächlich, dass sich jemand mal an mich
meldet und sagt: Ich habe hier ein
Ermittlungsverfahren wegen 202c StGB. Und
ich habe letztes Jahr einen Fall gehabt,
der dieses Jahr erledigt hat. Und den
möchte ich hier ein bisschen vorstellen.
Da geht es um eine Software, die heißt
WebMonitor von revcode und
Ermittlungsbehörde war die Zentralstelle
Cybercrime Bayern, ZCB in Bamberg bei der
Generalstaatsanwaltschaft angesiedelt, das
ist also eine spezielle Abteilung, die
personell ziemlich gut ausgestattet ist. 4
Oberstaatsanwälte, 4 Staatsanwälte als
Gruppenleiter, 2 weitere Staatsanwälte und
Geschäftsstellen. Nach Selbstverständnis
auf der Webseite ist diese Zentralstelle
bayernweit zuständig für die Bearbeitung
herausgehobener Ermittlungsverfahren im
Bereich der Cyberkriminalität. Was war
hier das Problem? Ein Beamter fand also in
einem Forum, und zwar bei hackforums.net,
einen Thread über den WebMonitor, der dort
als Fernwartungssoftware, als Remote
Administration Tool RAT angeboten wurde.
Und hier heißt es dann zum Anlass der
Ermittlungen, dass dort diese Software in
einem nicht öffentlich zugänglichen Forum
angeboten wurde. Das ist das Erste, was
schlichtweg falsch ist. hackforums hat
etwa drei Millionen Nutzer, zumindest nach
der Wikipedia. Und man muss sich
registrieren, sozusagen jeder kann sich
registrieren, wenn man die
Nutzungsbedingungen akzeptiert. Und dann
kann auch sich jeder diesen Thread
anschauen und lesen, was da gepostet
wurde. Ich bin hier ein bisschen zu weit.
Man muss noch einmal zurückgehen. Hier war
ich. Also ein Remote Administration Tool.
Dann hat sich da wohl jemand gedacht, da
muss ich mal weiter suchen und fand einen
Blog-Eintrag aus meiner Sicht aus einem
nicht unbedingt seriös anzusehenden Blog,
in dem ziemlich reißerisch behauptet wird,
dass diese Software bei einem CEO Fraud
genutzt worden wäre, ohne irgendwelche
Beweise zu bringen. Und sagt also, das
wäre Malware, die sich als legale Software
tarnt, auch dafür keine Beweise. Es geht
letztendlich in erster Linie darum, wie
ist die programmiert, ist die gut
programmiert, in welcher
Programmiersprache ist die programmiert
und Ähnliches. Darauf wurden Ermittlungen
eingeleitet, und zwar vom Bayerischen
Landeskriminalamt Sachgebiet 542
Zentralstelle unter der Leitung der
Generalstaatsanwaltschaft Bamberg
Zentralstelle Cybercrime Bayern. Die haben
sich also diese Software gekauft, haben
Sie in Ihrem eigenen Malwarelabor
untersucht. Oder das, was man da wohl
Untersuchung nennt. Und kommen dann dazu:
Ich zitiere mal, "dass es sich in diesem
Fall in erster Linie nicht um reines,
reines Hackertool gemäß Paragraf 202c
Absatz 1 Nr. 2 StGB handelt. Wird von der
Sachbearbeitung anschließend rechtlich
geprüft, ob es sich hierbei um ein
legitimes Computerprogramm oder um eine
kriminelle Schadsoftware (Englisch
Malware) handelt." Hier steht schon drin:
Es ist kein reines Hackingtool, dann ist
es wohl automatisch ein Dual-Use-Tool und
wie Bundesverfassungsgericht zumindest die
Auffassung vertritt, und viele andere
auch, dann ist es kein taugliches
Tatobjekt. Aus meiner Sicht hätte hier
eigentlich gesagt werden müssen: Wir
klappen die Akte zu und wenden uns einem
anderen Fall zu. Nicht aber hier. Die
haben also festgestellt es gibt eine
offizielle Website, die lautet auf eine
.eu Domain. Und dann war sich das
bayerische LKA war dann der Meinung, dass
hier die Leute, die dahinter stehen, ihre
wahre Identität verschleiern würden. Und
zwar "Hierfür spricht folgendes: Das wäre
auf dem nicht öffentlich zugänglichen
hackforums.net beworben worden", wie
gesagt, schlichtweg falsch, das ist
öffentlich, "die wahre Identität des
Anbieters wäre verschleiert worden". Keine
Begründung. Kommt nachher noch, "fehlendes
Impressum auf der Webseite". Gut, das ist
wohl sozusagen ein Verstoß gegen 5
Telemediengesetz. Aber dient nicht der
Verschleierung, denn die Website war also
offiziell registriert. Die hatten auch
sofort Name, Adresse der Person, die
registriert hatte. Da war also der WHOIS-
Eintrag, war vollständig und korrekt.
Haben sie aber festgestellt, die Domain
wurde bei einem russischen Registrar
registriert. Das fanden die also sehr
merkwürdig. Wie gesagt, sie wurde mit dem
richtigen Namen, der richtigen Anschrift
registriert. Der Hoster war in der
Ukraine, der hatte wohl ein gutes Angebot
gemacht. Nach Auffassung des Bayerischen
Landeskriminalamt also dient es der
Verschleierung. Und dann schreiben Sie
"eingebettete Links zu Facebook, Twitter
und YouTube führen auf nicht existente
Webseiten." Das ist auch falsch. Die war
also auf der Website schon die Buttons.
Aber es gab noch keine Registrierung,
sodass sie auf die Startseiten jeweils von
Facebook, Twitter und YouTube führten. Und
so liest sich das hier munter weiter. Die
Staatsanwaltschaft hat sich einen
Hausdurchsuchungsbeschluss geholt, in dem
es dann schon heißt, dass hier so ziemlich
sicher ist, dass die vertriebene Software
eine Schadsoftware ist und erkennbar nur
zum Zweck entwickelt wurde, dass der
Verwender unbemerkt die Kontrolle über
fremde Rechner bekommt. Und daraufhin
wurde durchsucht. Ich muss ein bisschen
auf die Zeit schauen, aber da möchte ich
kurz was sagen. Richtervorbehalt,
richterlicher Durchsuchungsbeschluss. Wir
haben zurzeit mal wieder große
Diskussionen. Sollen nicht
Ordnungswidrigkeiten, Behörden,
Zugangsdaten Passwörter bekommen? Neueste
Idee der Bundesregierung und zwar auch
schon Ordnungswidrigkeiten, bei
Ordnungswidrigkeiten. Und dann wird
gesagt: Na ja, das Ganze hat doch ein
Richtervorbehalt. Wie funktioniert das?
Wenn ein richterlicher Beschluss erfasst,
gefasst wird. Der Ermittlungsrichter
bekommt also seinen Antrag von der StA auf
den Tisch gelegt und kriegt dann eine Akte
dazu. Und dann hat er zwei Möglichkeiten.
Entweder er oder sie zeichnet das ab oder
sagt, na das finde ich alles komisch.
Und jetzt fange ich mal an, in der Akte zu
lesen. Und jetzt steige ich mal in die
Prüfung ein, und dann komme ich
vielleicht, sage ich vielleicht nee, den
Erlass dieses Beschlusses lehne ich ab.
Das ist mit viel Aufwand verbunden, und
man kann es, meine ich, unseren
Ermittlungsrichterinnen und Richtern nicht
nachsehen, wenn da stapelweise Anträge
hereingetragen werden, dass sie die
irgendwie lesen, schauen, ist es
schlüssig, klingt es vernünftig, und das
dann abzeichnen. Und wenn hier gesagt
wird, bei einer Software, die selbst das
LKA ganz klar sagt, das ist keine reine
Schadsoftware. Ich sage dann das
automatische Dual Use, und damit fällt es
nicht unter 202c. Und dann dem Richter
mitgeteilt wird "dient erkennbar diesen
Zwecken". Und zu nichts anderem als
kriminellen Straftaten kann ich zumindest
in gewisser Weise verstehen, wenn das
abgezeichnet wird. Umkehrschluss: Wenn wir
hier gerade eine aktuelle Diskussion
haben, ob nicht Passwörter herausgegeben
werden sollen, und dann heißt es: Ja, ja,
da haben wir doch ein Richtervorbehalt.
Das wird auch kontrolliert. Muss man
deutlich sagen. Diese Kontrolle ist eine
sehr niederschwellige Kontrolle und
absolut kein ernst zu nehmender Schutz für
die Rechte des einzelnen Bürgers und der
Bürgerin. Applaus Kurz nur zur Hausdurchsuchung,
so als als sozusagen wie so was abläuft.
Die Beamten kamen in Zivil mit mehreren
Fahrzeugen, kamen in Zivil mit einem Paket
unter der Hand, wollten mein Mandant
sprechen, der nicht selber an die Tür
gegangen ist, sagt nee, das müssten Sie
dem schon selber übergeben. Es waren wohl
drei Leute anwesend, im Haus oder in dem
Objekt, was durchsucht wurde. Nachdem sich
also alle ausgewiesen hatten und alle
wussten, wer ist der andere, konnten sich,
haben sich die Beamten nicht nehmen
lassen, dann ihre Westen anzuziehen, mit
der sie als Polizisten zu erkennen sind,
sodass sozusagen alle Nachbarn in dem
Dorf, als sie angefangen haben, dort alles
rauszutragen, was es rauszutragen gab,
sofort gesehen haben und sich nicht nur
gewundert haben: Wieso sind da so viele
Autos? Sondern die haben dann auch noch
gesehen: oh, es ist die Polizei? Völlig
unnötig, hat bleibenden Eindruck
hinterlassen im Dorf. Das sind dann so die
kleinen Nebenerscheinungen von solchen,
von solchen Veranstaltungen. Meinem
Mandanten wurde alles beschlagnahmt, was
man irgendwie wegtragen konnte. Alle
Computer und die braucht er zum Arbeiten
und alle Speichermedien, die bei ihm zu
Hause gefunden wurden. USB-Platten,
Speicherkarten, USB-Sticks, alles, alle
Mobiltelefone, haufenweise Schriftstücke
wurden rausgetragen. Es wurde
beschlagnahmt, weil das im Vorfeld
ermittelt wurde. Welche Server hat der
Mann registriert? Es wurden zwölf Server
beschlagnahmt bei Drittanbietern. Es
wurden E-Mail-Postfächer beschlagnahmt,
weil vorher ein bisschen geguckt wurde,
was gibts da so für E-Mail-Adressen? Und
dann wurde, weil es Zahlungen gab über
PayPal auch da diese ganzen Sachen überall
mit den korrekten vollständigen Daten
angemeldet, gab es einen Vermögensarrest
und im Rahmen dieses Vermögensarrests
wurde dann zur Sicherung der
Vermögenswerte sämtliche Bankkonten
gepfändet, alles Geld mitgenommen, was bei
ihm gefunden wurde, und selbst eine
Armbanduhr eingesammelt. Dazu muss man
sagen: Es gilt natürlich die
Unschuldsvermutung. Wir sind im
Ermittlungsverfahren, und das sind
Maßnahmen, die jedem, der nicht irgendwie
jemanden hat, der ihn da auffängt, Jeder
normale Mensch, der nicht da dann
Solidarität erfährt, ist schlichtweg
ruiniert. Die Krankenkasse wird nicht mehr
bezahlt, die Miete wird nicht mehr
bezahlt, oder alternativ sage ich mal die
Rate fürs fürs Haus oder die
Eigentumswohnung. Wenn man ein Fahrzeug
hat und die Versicherung muss abgebucht
werden zum Jahreswechsel, dann geschieht
das nicht. Kfz-Steuer wird nicht mehr
abgebucht. Wenn man Leasing Fahrzeug hat,
dürfte da sofort die Kündigung kommen.
Grösstmögliche Katastrophe. Amtsgericht
und Landgericht haben tatsächlich die
Beschlagnahme bestätigt, haben auch noch
ausgeführt: Ja, wir haben zwar nach langer
Zeit wissen wir immer noch nicht sicher,
ob diese Computer tatsächlich Tatmittel
sind. Aber sie würden ja kommen ja immer
noch als Einziehungsgegenstände,
Wertersatzeinziehungsgegenstände in
Betracht, nämlich wenn sie angeschafft
wurden, aus rechtswidrig, aus durch die
Tat erlangtem Geld. Es geht hier ja darum
letztendlich ist es ja subjektiv
festzustellen: Was hat sich jemand
gedacht, der diese Software entwickelt hat
oder der sie vertreibt oder verkauft? Und
um dieses Subjektive festzustellen,
braucht man Dinge wie beispielsweise
Kommunikation mit möglichen Kunden oder
möglichen Interessenten. Problem war
sämtliche digitale Kommunikation war
beschlagnahmt. Und dann bin ich da auch
nicht mehr in der Lage, besonders
irgendwas vorzulegen, was mich entlastet.
Es gab dann aber irgendwann einen
Auswertevermerk, in dem es heißt "Es ist
zu erkennen, dass sowohl die Person eins
als auch Person zwei," also Leute, die im
Visier der Strafverfolgungsbehörden waren,
"legale Verkaufsabsichten für", das waren
also Unterlagen, meinem Mandanten standen
die gar nicht zur Verfügung. Da hatte
jemand ein Jahr vorher, Mitte 2017,
angefragt: "Hey, I'm looking to hack
certain accounts. Can this get accounts
that people have saved as log in, because
as you know if they don't have to enter
their info anymore how will I key log it,
understand?" Also, es fragte jemand: Ich
will hier Computer hacken, wo
wahrscheinlich die Passwörter nicht mehr
eingegeben werden, kann ich die da
irgendwie aus dem System generieren? Und
mein Mandant schrieb zurück "Sorry, but
you mentioned you would like to hack
certain accounts. Our legal guidelines do
not allow to communicate further on this
basis." Er hat also ganz klar gesagt:
Solche Anfragen beantworten wir nicht. Das
ist hier nicht unser Geschäft. Sowas
wollen wir nicht. Und hat dann einer
anderen Person auch noch geschrieben,
sozusagen im Nachgang "I wonder what some
users think." Was denken die sich
eigentlich da draußen, was wir machen? Das
war dann schon mal schön, dass zumindest
in einem Bericht oder in einem
Auswertbericht vom LKA steht erkennbar,
dass die legale Verkaufsabsichten
verfolgen, gab auch ein paar andere Dinge.
Gleichwohl der Abschlussbericht des LKA
sagt dann aber "diese legalen
Verkaufsabsichten widerlegen jedoch nicht,
dass es sich nicht doch um ein nicht
reines Dual-Use-Tool handelt". Also hier
wieder auch wieder diese abstruse
Unterscheidung reines Dual-Use-Tool und
nicht reines Dual-Use-Tool, die aus meiner
Sicht nach dem Bundesverfassungsgericht
nicht zulässig ist. Es war dann auch so,
dass es um viele andere es ging darum,
bestimmte Dinge, die das Gerät kann,
beispielsweise Silent Installation. Das
hat sie ja sehr gestört, aber denen war
auch nicht bekanntes, dass beispielsweise
TeamViewer auch eine Silent Installation
hat und ähnliches. Letztendlich läuft es
immer so: Die Polizei schließt das
Ermittlungsverfahren ab, gibts dann an die
Staatsanwaltschaft. Und die
Staatsanwaltschaft hat tatsächlich nach 7
Monaten eingestellt, nach 170 Absatz 2.
Zum Glück meines Mandanten, der
tatsächlich überaus glücklich war, den
dieses Verfahren ganz erheblich belastet
hat. Und er durfte dann seine Sachen
abholen. Und hier sieht man mal, wie ein
Mobiltelefon aussieht, wenn es also das
LKA hatte, um die Daten auszuwerten,
auseinander gerupft. Oben sieht man
irgendwie einen Chip, der rausgelötet oder
entfernt wurde, und hier eine Festplatte.
Man sieht, die wurde aus dem Gehäuse
geschraubt, und da gabs wohl keine
Kapazitäten, dass man die wieder rein
schraubt. Passend hier zum Motto des
Kongresses Resource Exhaustion. Da hatten
Sie scheinbar keine Kapazitäten, das
musste mein Mandant machen. Der Spuk war
sozusagen fast zu Ende. Es laufen noch, es
läuft noch ein Entschädigungsverfahren
nach dem Strafrechtentschädigungsgesetz,
da sind wir noch nicht ganz am Ziel. Ich
bin sehr knapp hier mit der Zeit. Ich will
das Ganze abschließen, weil das sicher
eine Frage ist, die Leute sich stellen,
die mit Software hantieren, schreiben,
entwickeln, testen, die letztendlich
sagen: Ich bin hier vielleicht in einem
Bereich, da mache ich mich aus meiner
Sicht nicht strafbar, aber das eine oder
andere Landes-LKA sieht das vielleicht ein
bisschen anders, so wie hier in unserem
Fall. Also was sind Schutzmaßnahmen für
alle, die mit solchen Dingen umgehen? Ich
meine das ernst: nicht im falschen Forum
posten. Man hält sich am besten von allem
fern, wo irgendein LKA-Beamter denken
könnte. Wenn irgendwas hackforums heißt,
dann sind das da alles nur Kriminelle.
Auch wenn ich das hochgradig abwegig
finde. Man sollte nach Möglichkeit
ausschließlich legale
Nutzungsmöglichkeiten darstellen und am
besten gar nicht auf illegale
Nutzungsmöglichkeiten eingehen. Und selbst
bei der Formulierung von Warnhinweisen
gibt es strafrechtliche Literatur, die
sagt äußerste Vorsicht da, damit einem es
nicht ausgelegt wird, dass jemand durch
seine Warnhinweise in Wirklichkeit dieses
Produkt für illegale Nutzungen bewerben will.
H: Ulrich, die Zeit ist leider vorbei, wir
haben auch keine Zeit für Q&A. Vielen Dank
für deinen Vortrag, und ich glaube, das
ist dein Applaus.
Applaus
U: Okay. Vielen Dank! Wenn jemand Fragen
hat im Nachgang, kann mir gerne eine
E-Mail schreiben. Ich kann die nicht immer
in voller Länge vielleicht beantworten,
aber das eine oder andere versuche ich mal
einzuschieben. Also wen dieses Thema
weiter interessiert, wer selber betroffen
ist, wer sich nochmal vergewissern will
über irgendwas, wer weitere
Literaturhinweise braucht, kann sich gerne
an mich wenden. Bin im Internet zu finden.
Nicht mit dem gleichnamigen Rechtsanwalt
aus Hannover verwechseln. Der macht nur
Arbeitsrecht. Dankeschön!
H: Ulrich Kerner! Berlin.
Abspannmusik
Untertitel erstellt von c3subtitles.de
im Jahr 20??. Mach mit und hilf uns!