-
36C3 Vorspannmusik
-
Herald-Engel: Gut, dann machen wir weiter
mit Uli oder Rechtsanwalt Ulrich Kerner,
-
der uns über ein sieben Jahre altes, nein,
seit 2007 zwölf Jahre altes Gesetz
-
berichten wird. Wie die Rechtslage da drin
ist, habe ich bis heute nicht kapiert, bin
-
aber selbst davon betroffen; und ich denke
immer: Hilfe! Ich habe nmap
-
Signal-Engel: Halt halt halt halt halt
halt halt. Den Hashtag hätte ich gerne
-
nochmal da oben drauf.
Damit ich die Fragen aus dem Internet
-
hab. Twitter und IRC. Und jetzt:
H: Einen Applaus für Uli!
-
Applaus
-
Ulrich Kerner: So. Hallo zusammen. Ich
freue mich, dass so viel Leute gekommen
-
sind. Ich freue mich auch, dass ich wieder
hier sein darf, nachdem ich vor drei
-
Jahren schon mal in Hamburg auf dem
Kongress war. Heute geht es um den Hacker
-
Paragrafen 202c StGB Cybercrime
Ermittlungen. Vorsicht vor der Polizei
-
oder nicht im falschen Forum posten. Das
wird sich nachher erklären. Warum dieser
-
Titel? Was möchte ich heute hier
vorstellen? Einmal eine kurze Einleitung,
-
wo wir uns befinden. Dann den 202c in der
Gesetzgebung und ein bisschen den
-
Meinungsstand, was darunter zu verstehen
ist. Dann: Wie sieht das in der Realität
-
aus? Was hat der für eine Relevanz? Wie
wird da ermittelt und zum Schluss ein
-
bisschen Ausblick und Fragen beantworten.
Grundsätzlich ist der... blättert Also
-
wenn wir reden hier von Internet,
Strafrecht und Gesetzgebung, da müssen,
-
meine ich, zwei Dinge gesagt werden:
Erstens: im juristischen Bereich ist immer
-
noch normal, dass wir Faxe schreiben. Wir
schicken also Faxe an die Gerichte, an die
-
Behörden, die uns genauso. Wir sind da
sozusagen noch ein bisschen in der
-
Entwicklung hinterher. Und das ist nicht
nur in der Justiz so und in der
-
Strafrechtspflege, sondern aus meiner
Sicht auch im Fall in der Gesetzgebung,
-
dass im Bundestag zwar regelmäßig
Aktivitäten entfaltet werden, die aber
-
häufig ein bisschen am Ziel vorbei
schießen. Kleines Beispiel dazu: Als vor
-
etwa einem Jahr der unter dem Namen Orbit
jemand Daten von Politikern und von
-
Prominenten ins Netz gestellt hat, war
also der Schrei laut: Cyber-Angriff auf
-
Politiker, auf Bundestagsabgeordnete. Beim
genaueren Hinsehen sah man dann, dass da
-
wenig, sag ich mal, echte Cyber-
Kriminalität dahinter war. Es war ein Fall
-
von Doxing. Die meisten Daten fanden sich
frei im Netz, und da, zumindest nach
-
meinem Wissensstand, wo vielleicht
tatsächlich der eine oder andere Account
-
übernommen wurde, passierte das nicht mit
sozusagen hoher technischer oder IT-
-
technischem Geschick, sondern einfach mit
dem Erraten von Passwörtern, die einfach
-
zu einfach waren. Und die Reaktion der
Bundesregierung war, dass
-
Innenstaatssekretär Stephan Mayer
erklärte, dass jetzt ein Cyber-
-
Abwehrzentrum Plus in Aktion treten soll.
Was daraus geworden ist, ist mir nicht so
-
klar. Aber wenn wir Cyber-Abwehrzentrum
hören, dann findet man schnell, wenn man
-
sucht, aus 2014 beispielsweise, das
ist jetzt hier von der Tagesschau ein
-
Bericht über vertraulichen Bericht über
einen vertraulichen Bericht des
-
Bundesrechnungshofes, der also sagt, dass
das NCAZ - das Nationale Cyber-
-
Abwehrzentrum - eigentlich nicht
gerechtfertigt sei. Zitat: "Es wäre der
-
einzige vorgegebene Arbeitsablauf, wäre
die tägliche Lagebesprechung und eine
-
Handlungsempfehlung auf politisch-
strategischer Ebene im Jahresbericht". Das
-
ist sozusagen, was die Bundesregierung
tut, um unsere Rechte zu schützen. Es ist
-
also ein nicht ganz einfaches Verhältnis,
und das, meine ich, sieht man hier auch an
-
dem 202c. Der 202c ist durch die
Cybercrime-Convention auf den
-
gesetzgeberischen Plan gekommen. Ich will
gleich ein bisschen das
-
Gesetzgebungsverfahren darstellen und dann
die Klage beim Bundesverfassungsgericht
-
über die Verfassungsbeschwerden, die beim
Bundesverfassungsgericht anhängig waren.
-
Beginnen wir mit der Cybercrime
Convention. Das sind zwei Übereinkommen:
-
das Übereinkommen des Europarates und ein
Rahmenbeschluss des Rates der EU, der den
-
Ziel hat, die Ziele hatten,
Mindeststandards über bestimmte schwere
-
Formen der Computerkriminalität im
europäischen Raum zu verwirklichen und
-
außerdem die Zusammenarbeit und die
Rechtshilfe unter den Staaten zu
-
verbessern. Und einen Teil davon; nur ein
Teil, der in Artikel 6 der CCC zu finden
-
ist, ist also das Anliegen, dass jeglicher
Umgang mit Computerprogrammen, die zur
-
Begehung einer solchen Straftat dienen
sollen, unter Strafe gestellt werden
-
sollen. Ich habe hier mal den englischen
Text. Man muss noch dazu sagen, dass
-
Artikel 6 einen Absatz 3 hat, der es den
Vorberhalt - eine Vorbehaltregelung hat,
-
so dass die einzelnen Nationalstaaten
sagen konnten: "Diesen Artikel 6, den
-
Inhalt wollen wir gar nicht umsetzen." Die
Bundesrepublik hat halt tatsächlich in
-
Ansätzen davon Gebrauch gemacht, aber war
eben der Meinung das, was wir hier finden,
-
also "devices including computer
programs", dass die entweder für illegalen
-
Zugang, illegales Abhören oder Abfangen
von Daten; für Eingriffe und Störungen von
-
Daten; dafür geschrieben wurden, oder
"adapted primarily" also dafür
-
konfiguriert wurden, dass die unter Strafe
gestellt werden sollen. Es gab dann einen
-
Gesetzesvorschlag der Bundesregierung. Das
Ganze wurde durchaus schon kontrovers
-
diskutiert. Der Bundesrat war da, hatte
Bedenken, sagte das ist alles zu weit
-
gefasst. Dann ist sozusagen der übliche
Ablauf: Es gibt eine Gegenäußerung. Es gab
-
eine öffentliche Anhörung, und dann wurde
das Ganze in den Rechtsausschuss
-
verwiesen. Und der Rechtsausschuss hat
dann mit Stimmen eigentlich aller Parteien
-
bis auf die Linkspartei dem Bundestag
empfohlen, diesen Gesetzesentwurf
-
anzunehmen. Und jetzt Sinn des 202 ist
nach der Bundesregierung und nach der
-
Bundestagsdrucksache, nach der hier
zitierten, dass mit dem neuen 202c
-
Strafgesetzbuch sollen bestimmte,
besonders gefährliche
-
Vorbereitungshandlungen selbstständig
unter Strafe gestellt werden. Damit hier
-
alle das Konzept verstehen: wenn
Strafbarkeit auf Vorbereitungshandlungen
-
ausgedehnt wird, möchte ich das mal kurz
erläutern. Grundsätzlich ist es so: Wenn
-
wir einen Tatablauf haben, dann haben wir
Vorbereitung, die ist in der Regel
-
straflos. Wir haben dann die Situation, wo
der Täter in den Versuch mit dem Versuch
-
beginnt, in das Versuchsstadium eintritt,
und wenn er da erfolgreich ist, dann haben
-
wir irgendwann eine Vollendung, und haben
wir bei bestimmten Delikten noch eine
-
Beendigung. Vorbereitungshandlungen sind
in der Regel nicht strafbar. Ich nehme ein
-
Beispiel. Wenn also jemand sich überlegt
Ich möchte jemand anders kräftig treten,
-
sozusagen nicht strafbar. Wenn sich die
Person jetzt ihre schweren Bergstiefel
-
anzieht, damit es auch richtig wehtut,
dann ist das auch noch nicht strafbar.
-
Dann sind wir noch in der
Vorbereitungshandlung. Und bei der
-
Körperverletzung ist die
Vorbereitungshandlung eben straffrei. Wenn
-
dann die Person tritt, und aber nicht
trifft beispielsweise, dann wären wir im
-
Versuch. Versuch beginnt, wenn nach der
Sicht des Täters das unmittelbare "Jetzt
-
geht es los" überschritten ist. Also wenn
ich aushole, um zu treten, und ich trete
-
daneben oder falle hin oder was auch
immer, dann bin ich also im Versuch. Und
-
der ist bei der Körperverletzung auch
strafbar, unter Strafe gestellt. Wenn
-
jetzt jemand beispielsweise gegen ein Auto
treten will, um eine Beule rein zu machen,
-
und das Auto fährt rechtzeitig weg, und er
tritt daneben. Dann wäre das auch ein
-
Versuch, aber der Versuch ist bei der
Sachbeschädigung nicht strafbar.
-
Gesetzgeberische Wertung. Wir haben die
Wertung, dass der Versuch bei allen
-
Verbrechen strafbar ist. Das sind Taten,
die Mindestmass mit einem Jahr bedroht
-
sind; und ansonsten nur, wenn es der
Gesetzgeber ausdrücklich geregelt hat. Und
-
alles, was in den Vorbereitungshandlungen
ist, ist nicht von Strafe, ist nicht
-
strafbar. Also wer in den Großshop geht,
um sich Pflanzenlampen,
-
Bewässerungsanlagen zu kaufen, um nachher
Cannabis anzubauen beispielsweise, macht
-
sich durch den Erwerb dieser Sachen noch
nicht strafbar. Da müssten erst weitere
-
Akte hinzukommen. Hier aber explizites
Interesse des Gesetzgebers, eben schon
-
Vorbereitungshandlungen unter Strafe zu
stellen. Und so sieht der heutige 202c
-
aus. Da heißt es auch, "wer eine Straftat
nach 202a oder 202b vorbereitet". Und
-
jetzt kommen 2 mögliche Tatalternativen:
erstens Passwörter oder ähnliches. Oder
-
hier Nummer zwei. Und das ist, worum es
hier mir heute geht. "Computerprogramme,
-
deren Zweck die Begehung einer solchen Tat
ist". Und jetzt kommen die einzelnen
-
Tatmodalitäten, Tathandlungsmodalitäten
"herstellt, sich oder einem anderen
-
verschafft, verkauft, einem anderen
überlässt, verbreitet oder sonst
-
zugänglich macht". Der wird also mit
Geldstrafe oder mit Freiheitsstrafe bis zu
-
zwei Jahren bestraft. Diese Ausweitung der
Strafbarkeit versteht man nur, wenn man
-
auch den 202a und 202b, deren sozusagen,
auf die die Tat abzielen muss. Wenn man da
-
kurz reingeschaut hat: 202a ist das
Ausspähen von Daten, das Zugang
-
verschaffen zu "besonders gesicherten
Daten" und zwar unberechtigten Zugang,
-
auch digitaler Hausfriedensbruch genannt
und tatsächlich schon durch das zweite
-
Gesetz zur Bekämpfung der
Wirtschaftskriminalität Mitte 86 ins
-
Gesetz gekommen. Damals allerdings noch
mit ein bisschen anderem Wortlaut, und hat
-
seine heutige Fassung durch das 41.
Strafrechtsänderungsgesetz, mit dem auch
-
der 202c, der Hackerparagraf erlassen
wurde. So, also wir haben sozusagen als
-
Taten, auf die jemand diese Programme
herstellen oder ähnliches muss einmal das
-
Ausspähen von Daten 202a und 202b, das
Abfangen von Daten. Hier ist also nicht
-
mehr nötig, dass besondere
Sicherungsmaßnahmen vorhanden sind oder
-
umgangen werden. Hier reicht es, dass
Daten, die übermittelt werden, mittels
-
technischer Mittel abgefangen werden. Und
nur als kleiner Hinweis: Wir haben
-
ähnliche Vorbereitungshandlungen, die
unter Strafe gestellt sind, auch woanders
-
in den Computer- oder IT-Delikten. Einmal
bei der Datenveränderung, wo es in Absatz
-
heißt: "Für die Vorbereitung einer
Straftat nach Absatz 1 gilt jetzt 202c
-
entsprechend". Und wir haben das nochmal
in der sogenannten Computer-Sabotage 303b.
-
Wen das interessiert, kann sich das mal in
Ruhe anschauen, da über einen Verweis auf
-
entsprechende Anwendung von 202c.
Sozusagen Vorfeldkriminalisierung von
-
Vorbereitungshandlungen, die sonst nicht
strafbar werden. Zurück zum Paragrafen
-
202c, zum Hackerparagraf. Das Problem ist
hier, dass "Computerprogramme, deren Zweck
-
die Begehung einer Tat das Ausspähen von
Daten ist", jeglicher Umgang damit unter
-
Strafe gestellt ist. Und es fragt sich ein
bisschen, was man darunter verstehen soll
-
oder was man darunter nicht verstehen
soll. Hier kam eben sozusagen in der
-
Anmoderation die Frage "Ich habe nmap",
ein durchaus mächtiges Tool. Mache ich
-
mich schon strafbar, wenn ich auf meiner
Linux-Distribution habe oder nicht? Das
-
Gesetz verlangt, dass der objektive Zweck
des Programmes eine Straftat, das
-
Ausspähens oder Abfangens von Daten ist.
Problem: Programme oder Gegenstände haben
-
keinen objektiven Zweck. Programme und
auch Gegenstände haben Eigenschaften. Um
-
ein Beispiel zu nennen: Eine Pistole hat
die Eigenschaft, dass sie ein Projektil
-
sehr schnell mit hoher Energie aus dem
Lauf schießen kann und ob damit jemand auf
-
eine Zielscheibe aus sportlichen
Gesichtspunkten oder aber auf Menschen
-
schießt ist nicht Zweck dieser Pistole,
sondern das liegt eben, Zweck gibt eine
-
Person diesem Gegenstand oder dem
Programm, das an sich nur Eigenschaften
-
hat, die eben für bestimmte Zwecke
gebraucht werden können. Insofern etwas
-
unklar, was hier erfasst ist und was nicht
erfasst ist. Nach den Verlautbarungen der
-
Bundesregierung sollen also klassische
oder typische Hacker-Tools erfasst sein.
-
Es sollen aber nicht erfasst werden
Programme, die auch anderen Zwecken dienen
-
können, so genannte Dual-Use-Tools oder
Dual-Use-Programme. Das heißt, dass dieser
-
objektive Tatbestand der Strafbarkeit, der
Zweck dieses Programm des Programms, also
-
doch subjektiv bestimmt werden muss. Und
genau an dieser Stelle liegt das Problem.
-
Das Ganze war, meine ich wenig
überraschend, Gegenstand von
-
Verfassungsbeschwerden, Individual-
Verfassungsbeschwerden vom
-
Bundesverfassungsgericht, die mit einem,
die das Verfassungsgericht nicht
-
angenommen hat, und ich hab hier die
Aktenzeichen aufgeschrieben. Wer das
-
nachlesen will, findet es gleich im
Internet. Das Bundesverfassungsgericht hat
-
gesagt: Die drei Beschwerdeführer sind
nicht gegenwärtig, selbst gegenwärtig und
-
unmittelbar beschwert. Möchte ich kurz
erklären, was das Bundesverfassungsgericht
-
dazu ausgeführt hat. Geklagt hatten oder
Verfassungsbeschwerde erhoben hatten 3
-
Personen. Das eine war ein
Hochschullehrer, der gesagt hat, er nutzt
-
also viele Tools, die er ja seinen
Studenten Studentinnen zur Verfügung
-
stellt, die man zum Teil auch auf seiner
Website runterladen kann. Unter anderem
-
auch das Programm nmap. Und er hatte, er
ist davon ausgegangen, er macht sich schon
-
strafbar. Zweiter Beschwerdeführer war der
Geschäftsführer einer Sicherheitsfirma,
-
die Penetrations-Tests durchgeführt haben
und dafür auch Hacker-Software oder
-
Software aus anonymen Hacker-Foren
verwendeten. Ich war der dritte
-
Beschwerdeführer, weil ich gesagt habe,
ich benutze Linux, und ich habe hier eine
-
Menge Tools auf jeder Linux-Distribution
wie beispielsweise nmap, wo ich doch
-
eigentlich davon ausgehen kann, das kann
man für kriminelle Zwecke verwenden. Ich
-
weiß auch nicht, wieso und mit welchem
Hintergedanken das geschrieben wurde. Ich
-
fühle mich hier letztendlich auch bedroht
davon. Das Bundesverfassungsgericht
-
verlangt selbst, dass die Beschwerdeführer
selbst unmittelbar und gegenwärtig
-
betroffen sind. Und das liegt insbesondere
vor, wenn bei einer möglichen, nicht fern
-
liegenden Auslegung dieses Tatbestandes
das Risiko gegeben ist, dass man sich
-
strafbar macht. Dem hat das
Bundesverfassungsgericht aber letztendlich
-
eine Absage erteilt. Und zwar hat es
ausgeführt, dass Dual-Use-Tools
-
grundsätzlich nicht erfasst sind und
weiter ausgeführt: Der Zweck ist eben
-
nichts Objektives letzendlich, was dem
Programm innewohnt, sondern beschreibt
-
Beweggrund und Ziel einer Handlung und
nicht des Programms selber. Und das ist
-
dann jetzt wieder natürlich subjektiv
festzustellen und muss aber muss sich
-
äußerlich feststellbar manifestieren an
der Gestaltung des Programms selbst. Was
-
auch immer ich mir jetzt darunter
vorstellen soll oder eben an einer
-
eindeutig auf illegale Verwendung
abzielenden Werbung oder Vertriebsweise.
-
Gleichwohl meine ich ist auch das
weiterhin recht unbestimmt. Was macht
-
daraus so die Literatur, wenn wir in die
juristische Kommentierung gucken? Ich
-
zitiere mal aus Schönke / Schröder. Da
heißt es dann eigentlich entsprechend "bei
-
Programmen, deren funktionaler Zweck nicht
eindeutig kriminell ist und die erst durch
-
eine missbräuchliche Anwendung zu einem
Tatwerkzeug werden (vor allem Dual-Use-
-
Tools wie password scanner und Netzwerk-
Sniffer), ist der Tatbestand nicht
-
verwirklicht" und dann mit Verweis auf
verschiedene Bundestagsdrucksache und
-
verschiedene andere Gerichtsentscheidung.
So in der Praxis macht das allerdings
-
immer noch, ist das immer noch finde ich
äußerst unbestimmt und macht
-
Schwierigkeiten. Wir wollen uns jetzt,
nach diesem kurzen, sag ich mal,
-
juristischen Teil mal anschauen: Wie sieht
es hier in der Praxis aus? In der Praxis
-
hat der 202c tatsächlich eine geringe
Bedeutung. Ich habe hier zur Vorbereitung
-
mal bei Juris, das ist eine juristische
Entscheidungs-Datenbank, wo also
-
Gerichtsurteile veröffentlicht werden,
geschaut, was es denn da gibt und war
-
erstaunt, dass Juris insgesamt für dieses
vor 12 Jahren erlassene Gesetz 8
-
Entscheidungen kennt. Davon ist natürlich
eine Entscheidung die Entscheidung des
-
Bundesverfassungsgerichts. Eine
Entscheidung ist vom Verwaltungsgericht
-
Hannover. Da ging es um Pressefreiheit und
Äußerungen eines Oberbürgermeisters. Und
-
dann haben wir 6 Zivilurteile, also von
Zivilgerichten. Da geht es zum Beispiel um
-
die fristlose Entlassung eines GmbH-
Geschäftsführers wegen Falschabrechnung
-
von Auslagen und Herunterladen von
Hackersoftware auf seinen Dienstlaptop.
-
Und es gibt tatsächlich nur eine einzige
Entscheidung aus dem strafrechtlichen
-
Bereich: ein Beschluss des OLG Kölns. Da
ging es nicht um die Verurteilung,
-
jemanden, der mit solchen Programmen
gehandhabt hat, umgegangen ist, sondern
-
das ist ein Beschluss in einem
Klageerzwingungsverfahren.
-
Klageerzwingungsverfahren ist ein
Verfahren, wenn ich verletzt an einer
-
Straftat bin und ich zeige die an, und die
Staatsanwaltschaft stellt ein. Dann kann
-
ich, da gibt es das
Klageerzwingungsverfahren. Diese
-
Vorschalt-Beschwerde, ich beschwere mich
erstmal und sage "Liebe Staatsanwaltschaft,
-
das müsst ihr doch verfolgen". Und wenn
dann die Beschwerde, wenn der nicht
-
abgeholfen wird, durch die
Generalstaatsanwaltschaft, dann kann ich
-
mich ans Gericht wenden im
Klageerzwingungsverfahren und sagen "Liebes
-
Gericht, das muss doch verfolgt werden".
Weise bitte mal die Behörden an, das zu
-
tun. Also: die einzige strafrechtliche
Entscheidung ist eine solche, sozusagen
-
bringt uns da auch nicht weiter. Was kann
man noch sagen zur Relevanz? Die
-
Polizeiliche Kriminalstatistik für 2018
gibt für den Ganzen, für die vier Delikte
-
Ausspähen, Abfangen von Daten
einschließlich Vorbereitungshandlungen
-
202c und die Datenhehlerei 8762 Fälle an,
also für vier verschiedene Strafnormen.
-
Mal im Vergleich: Körperverletzungstaten
haben wir ein bisschen mehr als 550.000.
-
554.653 Fälle. Um es klar zu sagen: Die
Gefahr, Opfer einer Körperverletzung zu
-
werden, ist also ungleich größer als hier,
Opfer von Ausspähen oder Abfangen von
-
Daten zu werden. Ich habe lange gewartet
tatsächlich, dass sich jemand mal an mich
-
meldet und sagt: Ich habe hier ein
Ermittlungsverfahren wegen 202c StGB. Und
-
ich habe letztes Jahr einen Fall gehabt,
der dieses Jahr erledigt hat. Und den
-
möchte ich hier ein bisschen vorstellen.
Da geht es um eine Software, die heißt
-
WebMonitor von revcode und
Ermittlungsbehörde war die Zentralstelle
-
Cybercrime Bayern, ZCB in Bamberg bei der
Generalstaatsanwaltschaft angesiedelt, das
-
ist also eine spezielle Abteilung, die
personell ziemlich gut ausgestattet ist. 4
-
Oberstaatsanwälte, 4 Staatsanwälte als
Gruppenleiter, 2 weitere Staatsanwälte und
-
Geschäftsstellen. Nach Selbstverständnis
auf der Webseite ist diese Zentralstelle
-
bayernweit zuständig für die Bearbeitung
herausgehobener Ermittlungsverfahren im
-
Bereich der Cyberkriminalität. Was war
hier das Problem? Ein Beamter fand also in
-
einem Forum, und zwar bei hackforums.net,
einen Thread über den WebMonitor, der dort
-
als Fernwartungssoftware, als Remote
Administration Tool RAT angeboten wurde.
-
Und hier heißt es dann zum Anlass der
Ermittlungen, dass dort diese Software in
-
einem nicht öffentlich zugänglichen Forum
angeboten wurde. Das ist das Erste, was
-
schlichtweg falsch ist. hackforums hat
etwa drei Millionen Nutzer, zumindest nach
-
der Wikipedia. Und man muss sich
registrieren, sozusagen jeder kann sich
-
registrieren, wenn man die
Nutzungsbedingungen akzeptiert. Und dann
-
kann auch sich jeder diesen Thread
anschauen und lesen, was da gepostet
-
wurde. Ich bin hier ein bisschen zu weit.
Man muss noch einmal zurückgehen. Hier war
-
ich. Also ein Remote Administration Tool.
Dann hat sich da wohl jemand gedacht, da
-
muss ich mal weiter suchen und fand einen
Blog-Eintrag aus meiner Sicht aus einem
-
nicht unbedingt seriös anzusehenden Blog,
in dem ziemlich reißerisch behauptet wird,
-
dass diese Software bei einem CEO Fraud
genutzt worden wäre, ohne irgendwelche
-
Beweise zu bringen. Und sagt also, das
wäre Malware, die sich als legale Software
-
tarnt, auch dafür keine Beweise. Es geht
letztendlich in erster Linie darum, wie
-
ist die programmiert, ist die gut
programmiert, in welcher
-
Programmiersprache ist die programmiert
und Ähnliches. Darauf wurden Ermittlungen
-
eingeleitet, und zwar vom Bayerischen
Landeskriminalamt Sachgebiet 542
-
Zentralstelle unter der Leitung der
Generalstaatsanwaltschaft Bamberg
-
Zentralstelle Cybercrime Bayern. Die haben
sich also diese Software gekauft, haben
-
Sie in Ihrem eigenen Malwarelabor
untersucht. Oder das, was man da wohl
-
Untersuchung nennt. Und kommen dann dazu:
Ich zitiere mal, "dass es sich in diesem
-
Fall in erster Linie nicht um reines,
reines Hackertool gemäß Paragraf 202c
-
Absatz 1 Nr. 2 StGB handelt. Wird von der
Sachbearbeitung anschließend rechtlich
-
geprüft, ob es sich hierbei um ein
legitimes Computerprogramm oder um eine
-
kriminelle Schadsoftware (Englisch
Malware) handelt." Hier steht schon drin:
-
Es ist kein reines Hackingtool, dann ist
es wohl automatisch ein Dual-Use-Tool und
-
wie Bundesverfassungsgericht zumindest die
Auffassung vertritt, und viele andere
-
auch, dann ist es kein taugliches
Tatobjekt. Aus meiner Sicht hätte hier
-
eigentlich gesagt werden müssen: Wir
klappen die Akte zu und wenden uns einem
-
anderen Fall zu. Nicht aber hier. Die
haben also festgestellt es gibt eine
-
offizielle Website, die lautet auf eine
.eu Domain. Und dann war sich das
-
bayerische LKA war dann der Meinung, dass
hier die Leute, die dahinter stehen, ihre
-
wahre Identität verschleiern würden. Und
zwar "Hierfür spricht folgendes: Das wäre
-
auf dem nicht öffentlich zugänglichen
hackforums.net beworben worden", wie
-
gesagt, schlichtweg falsch, das ist
öffentlich, "die wahre Identität des
-
Anbieters wäre verschleiert worden". Keine
Begründung. Kommt nachher noch, "fehlendes
-
Impressum auf der Webseite". Gut, das ist
wohl sozusagen ein Verstoß gegen 5
-
Telemediengesetz. Aber dient nicht der
Verschleierung, denn die Website war also
-
offiziell registriert. Die hatten auch
sofort Name, Adresse der Person, die
-
registriert hatte. Da war also der WHOIS-
Eintrag, war vollständig und korrekt.
-
Haben sie aber festgestellt, die Domain
wurde bei einem russischen Registrar
-
registriert. Das fanden die also sehr
merkwürdig. Wie gesagt, sie wurde mit dem
-
richtigen Namen, der richtigen Anschrift
registriert. Der Hoster war in der
-
Ukraine, der hatte wohl ein gutes Angebot
gemacht. Nach Auffassung des Bayerischen
-
Landeskriminalamt also dient es der
Verschleierung. Und dann schreiben Sie
-
"eingebettete Links zu Facebook, Twitter
und YouTube führen auf nicht existente
-
Webseiten." Das ist auch falsch. Die war
also auf der Website schon die Buttons.
-
Aber es gab noch keine Registrierung,
sodass sie auf die Startseiten jeweils von
-
Facebook, Twitter und YouTube führten. Und
so liest sich das hier munter weiter. Die
-
Staatsanwaltschaft hat sich einen
Hausdurchsuchungsbeschluss geholt, in dem
-
es dann schon heißt, dass hier so ziemlich
sicher ist, dass die vertriebene Software
-
eine Schadsoftware ist und erkennbar nur
zum Zweck entwickelt wurde, dass der
-
Verwender unbemerkt die Kontrolle über
fremde Rechner bekommt. Und daraufhin
-
wurde durchsucht. Ich muss ein bisschen
auf die Zeit schauen, aber da möchte ich
-
kurz was sagen. Richtervorbehalt,
richterlicher Durchsuchungsbeschluss. Wir
-
haben zurzeit mal wieder große
Diskussionen. Sollen nicht
-
Ordnungswidrigkeiten, Behörden,
Zugangsdaten Passwörter bekommen? Neueste
-
Idee der Bundesregierung und zwar auch
schon Ordnungswidrigkeiten, bei
-
Ordnungswidrigkeiten. Und dann wird
gesagt: Na ja, das Ganze hat doch ein
-
Richtervorbehalt. Wie funktioniert das?
Wenn ein richterlicher Beschluss erfasst,
-
gefasst wird. Der Ermittlungsrichter
bekommt also seinen Antrag von der StA auf
-
den Tisch gelegt und kriegt dann eine Akte
dazu. Und dann hat er zwei Möglichkeiten.
-
Entweder er oder sie zeichnet das ab oder
sagt, na das finde ich alles komisch.
-
Und jetzt fange ich mal an, in der Akte zu
lesen. Und jetzt steige ich mal in die
-
Prüfung ein, und dann komme ich
vielleicht, sage ich vielleicht nee, den
-
Erlass dieses Beschlusses lehne ich ab.
Das ist mit viel Aufwand verbunden, und
-
man kann es, meine ich, unseren
Ermittlungsrichterinnen und Richtern nicht
-
nachsehen, wenn da stapelweise Anträge
hereingetragen werden, dass sie die
-
irgendwie lesen, schauen, ist es
schlüssig, klingt es vernünftig, und das
-
dann abzeichnen. Und wenn hier gesagt
wird, bei einer Software, die selbst das
-
LKA ganz klar sagt, das ist keine reine
Schadsoftware. Ich sage dann das
-
automatische Dual Use, und damit fällt es
nicht unter 202c. Und dann dem Richter
-
mitgeteilt wird "dient erkennbar diesen
Zwecken". Und zu nichts anderem als
-
kriminellen Straftaten kann ich zumindest
in gewisser Weise verstehen, wenn das
-
abgezeichnet wird. Umkehrschluss: Wenn wir
hier gerade eine aktuelle Diskussion
-
haben, ob nicht Passwörter herausgegeben
werden sollen, und dann heißt es: Ja, ja,
-
da haben wir doch ein Richtervorbehalt.
Das wird auch kontrolliert. Muss man
-
deutlich sagen. Diese Kontrolle ist eine
sehr niederschwellige Kontrolle und
-
absolut kein ernst zu nehmender Schutz für
die Rechte des einzelnen Bürgers und der
-
Bürgerin. Applaus Kurz nur zur Hausdurchsuchung,
so als als sozusagen wie so was abläuft.
-
Die Beamten kamen in Zivil mit mehreren
Fahrzeugen, kamen in Zivil mit einem Paket
-
unter der Hand, wollten mein Mandant
sprechen, der nicht selber an die Tür
-
gegangen ist, sagt nee, das müssten Sie
dem schon selber übergeben. Es waren wohl
-
drei Leute anwesend, im Haus oder in dem
Objekt, was durchsucht wurde. Nachdem sich
-
also alle ausgewiesen hatten und alle
wussten, wer ist der andere, konnten sich,
-
haben sich die Beamten nicht nehmen
lassen, dann ihre Westen anzuziehen, mit
-
der sie als Polizisten zu erkennen sind,
sodass sozusagen alle Nachbarn in dem
-
Dorf, als sie angefangen haben, dort alles
rauszutragen, was es rauszutragen gab,
-
sofort gesehen haben und sich nicht nur
gewundert haben: Wieso sind da so viele
-
Autos? Sondern die haben dann auch noch
gesehen: oh, es ist die Polizei? Völlig
-
unnötig, hat bleibenden Eindruck
hinterlassen im Dorf. Das sind dann so die
-
kleinen Nebenerscheinungen von solchen,
von solchen Veranstaltungen. Meinem
-
Mandanten wurde alles beschlagnahmt, was
man irgendwie wegtragen konnte. Alle
-
Computer und die braucht er zum Arbeiten
und alle Speichermedien, die bei ihm zu
-
Hause gefunden wurden. USB-Platten,
Speicherkarten, USB-Sticks, alles, alle
-
Mobiltelefone, haufenweise Schriftstücke
wurden rausgetragen. Es wurde
-
beschlagnahmt, weil das im Vorfeld
ermittelt wurde. Welche Server hat der
-
Mann registriert? Es wurden zwölf Server
beschlagnahmt bei Drittanbietern. Es
-
wurden E-Mail-Postfächer beschlagnahmt,
weil vorher ein bisschen geguckt wurde,
-
was gibts da so für E-Mail-Adressen? Und
dann wurde, weil es Zahlungen gab über
-
PayPal auch da diese ganzen Sachen überall
mit den korrekten vollständigen Daten
-
angemeldet, gab es einen Vermögensarrest
und im Rahmen dieses Vermögensarrests
-
wurde dann zur Sicherung der
Vermögenswerte sämtliche Bankkonten
-
gepfändet, alles Geld mitgenommen, was bei
ihm gefunden wurde, und selbst eine
-
Armbanduhr eingesammelt. Dazu muss man
sagen: Es gilt natürlich die
-
Unschuldsvermutung. Wir sind im
Ermittlungsverfahren, und das sind
-
Maßnahmen, die jedem, der nicht irgendwie
jemanden hat, der ihn da auffängt, Jeder
-
normale Mensch, der nicht da dann
Solidarität erfährt, ist schlichtweg
-
ruiniert. Die Krankenkasse wird nicht mehr
bezahlt, die Miete wird nicht mehr
-
bezahlt, oder alternativ sage ich mal die
Rate fürs fürs Haus oder die
-
Eigentumswohnung. Wenn man ein Fahrzeug
hat und die Versicherung muss abgebucht
-
werden zum Jahreswechsel, dann geschieht
das nicht. Kfz-Steuer wird nicht mehr
-
abgebucht. Wenn man Leasing Fahrzeug hat,
dürfte da sofort die Kündigung kommen.
-
Grösstmögliche Katastrophe. Amtsgericht
und Landgericht haben tatsächlich die
-
Beschlagnahme bestätigt, haben auch noch
ausgeführt: Ja, wir haben zwar nach langer
-
Zeit wissen wir immer noch nicht sicher,
ob diese Computer tatsächlich Tatmittel
-
sind. Aber sie würden ja kommen ja immer
noch als Einziehungsgegenstände,
-
Wertersatzeinziehungsgegenstände in
Betracht, nämlich wenn sie angeschafft
-
wurden, aus rechtswidrig, aus durch die
Tat erlangtem Geld. Es geht hier ja darum
-
letztendlich ist es ja subjektiv
festzustellen: Was hat sich jemand
-
gedacht, der diese Software entwickelt hat
oder der sie vertreibt oder verkauft? Und
-
um dieses Subjektive festzustellen,
braucht man Dinge wie beispielsweise
-
Kommunikation mit möglichen Kunden oder
möglichen Interessenten. Problem war
-
sämtliche digitale Kommunikation war
beschlagnahmt. Und dann bin ich da auch
-
nicht mehr in der Lage, besonders
irgendwas vorzulegen, was mich entlastet.
-
Es gab dann aber irgendwann einen
Auswertevermerk, in dem es heißt "Es ist
-
zu erkennen, dass sowohl die Person eins
als auch Person zwei," also Leute, die im
-
Visier der Strafverfolgungsbehörden waren,
"legale Verkaufsabsichten für", das waren
-
also Unterlagen, meinem Mandanten standen
die gar nicht zur Verfügung. Da hatte
-
jemand ein Jahr vorher, Mitte 2017,
angefragt: "Hey, I'm looking to hack
-
certain accounts. Can this get accounts
that people have saved as log in, because
-
as you know if they don't have to enter
their info anymore how will I key log it,
-
understand?" Also, es fragte jemand: Ich
will hier Computer hacken, wo
-
wahrscheinlich die Passwörter nicht mehr
eingegeben werden, kann ich die da
-
irgendwie aus dem System generieren? Und
mein Mandant schrieb zurück "Sorry, but
-
you mentioned you would like to hack
certain accounts. Our legal guidelines do
-
not allow to communicate further on this
basis." Er hat also ganz klar gesagt:
-
Solche Anfragen beantworten wir nicht. Das
ist hier nicht unser Geschäft. Sowas
-
wollen wir nicht. Und hat dann einer
anderen Person auch noch geschrieben,
-
sozusagen im Nachgang "I wonder what some
users think." Was denken die sich
-
eigentlich da draußen, was wir machen? Das
war dann schon mal schön, dass zumindest
-
in einem Bericht oder in einem
Auswertbericht vom LKA steht erkennbar,
-
dass die legale Verkaufsabsichten
verfolgen, gab auch ein paar andere Dinge.
-
Gleichwohl der Abschlussbericht des LKA
sagt dann aber "diese legalen
-
Verkaufsabsichten widerlegen jedoch nicht,
dass es sich nicht doch um ein nicht
-
reines Dual-Use-Tool handelt". Also hier
wieder auch wieder diese abstruse
-
Unterscheidung reines Dual-Use-Tool und
nicht reines Dual-Use-Tool, die aus meiner
-
Sicht nach dem Bundesverfassungsgericht
nicht zulässig ist. Es war dann auch so,
-
dass es um viele andere es ging darum,
bestimmte Dinge, die das Gerät kann,
-
beispielsweise Silent Installation. Das
hat sie ja sehr gestört, aber denen war
-
auch nicht bekanntes, dass beispielsweise
TeamViewer auch eine Silent Installation
-
hat und ähnliches. Letztendlich läuft es
immer so: Die Polizei schließt das
-
Ermittlungsverfahren ab, gibts dann an die
Staatsanwaltschaft. Und die
-
Staatsanwaltschaft hat tatsächlich nach 7
Monaten eingestellt, nach 170 Absatz 2.
-
Zum Glück meines Mandanten, der
tatsächlich überaus glücklich war, den
-
dieses Verfahren ganz erheblich belastet
hat. Und er durfte dann seine Sachen
-
abholen. Und hier sieht man mal, wie ein
Mobiltelefon aussieht, wenn es also das
-
LKA hatte, um die Daten auszuwerten,
auseinander gerupft. Oben sieht man
-
irgendwie einen Chip, der rausgelötet oder
entfernt wurde, und hier eine Festplatte.
-
Man sieht, die wurde aus dem Gehäuse
geschraubt, und da gabs wohl keine
-
Kapazitäten, dass man die wieder rein
schraubt. Passend hier zum Motto des
-
Kongresses Resource Exhaustion. Da hatten
Sie scheinbar keine Kapazitäten, das
-
musste mein Mandant machen. Der Spuk war
sozusagen fast zu Ende. Es laufen noch, es
-
läuft noch ein Entschädigungsverfahren
nach dem Strafrechtentschädigungsgesetz,
-
da sind wir noch nicht ganz am Ziel. Ich
bin sehr knapp hier mit der Zeit. Ich will
-
das Ganze abschließen, weil das sicher
eine Frage ist, die Leute sich stellen,
-
die mit Software hantieren, schreiben,
entwickeln, testen, die letztendlich
-
sagen: Ich bin hier vielleicht in einem
Bereich, da mache ich mich aus meiner
-
Sicht nicht strafbar, aber das eine oder
andere Landes-LKA sieht das vielleicht ein
-
bisschen anders, so wie hier in unserem
Fall. Also was sind Schutzmaßnahmen für
-
alle, die mit solchen Dingen umgehen? Ich
meine das ernst: nicht im falschen Forum
-
posten. Man hält sich am besten von allem
fern, wo irgendein LKA-Beamter denken
-
könnte. Wenn irgendwas hackforums heißt,
dann sind das da alles nur Kriminelle.
-
Auch wenn ich das hochgradig abwegig
finde. Man sollte nach Möglichkeit
-
ausschließlich legale
Nutzungsmöglichkeiten darstellen und am
-
besten gar nicht auf illegale
Nutzungsmöglichkeiten eingehen. Und selbst
-
bei der Formulierung von Warnhinweisen
gibt es strafrechtliche Literatur, die
-
sagt äußerste Vorsicht da, damit einem es
nicht ausgelegt wird, dass jemand durch
-
seine Warnhinweise in Wirklichkeit dieses
Produkt für illegale Nutzungen bewerben will.
-
H: Ulrich, die Zeit ist leider vorbei, wir
haben auch keine Zeit für Q&A. Vielen Dank
-
für deinen Vortrag, und ich glaube, das
ist dein Applaus.
-
Applaus
-
U: Okay. Vielen Dank! Wenn jemand Fragen
hat im Nachgang, kann mir gerne eine
-
E-Mail schreiben. Ich kann die nicht immer
in voller Länge vielleicht beantworten,
-
aber das eine oder andere versuche ich mal
einzuschieben. Also wen dieses Thema
-
weiter interessiert, wer selber betroffen
ist, wer sich nochmal vergewissern will
-
über irgendwas, wer weitere
Literaturhinweise braucht, kann sich gerne
-
an mich wenden. Bin im Internet zu finden.
Nicht mit dem gleichnamigen Rechtsanwalt
-
aus Hannover verwechseln. Der macht nur
Arbeitsrecht. Dankeschön!
-
H: Ulrich Kerner! Berlin.
-
Abspannmusik
-
Untertitel erstellt von c3subtitles.de
im Jahr 20??. Mach mit und hilf uns!