Hackerparagraph § 202c StGB // Reality Check
This is a modal window.
The media could not be loaded, either because the server or network failed or because the format is not supported.
Formal Metadata
| Title |
| |
| Subtitle |
| |
| Title of Series | ||
| Number of Parts | 254 | |
| Author | ||
| License | CC Attribution 4.0 International: You are free to use, adapt and copy, distribute and transmit the work or content in adapted or unchanged form for any legal purpose as long as the work is attributed to the author in the manner specified by the author or licensor. | |
| Identifiers | 10.5446/53118 (DOI) | |
| Publisher | ||
| Release Date | ||
| Language |
Content Metadata
| Subject Area | ||
| Genre | ||
| Abstract |
| |
| Keywords |
00:00
InternetTwitterALT <Programm>NmapComputer animationLecture/Conference
00:51
LINUXTwitterInternetkriminalitätInternetkriminalitätJSONComputer animationLecture/Conference
01:28
Lecture/ConferenceMeeting/Interview
02:11
InternetAktion <Informatik>OrbitPasswordLecture/Conference
04:00
Plane (geometry)InternetkriminalitätDepictionTotal S.A.Lecture/Conference
04:57
Computer crimeCoin <Programmiersprache>Information systemsComputer crimeForm (programming)State of matterComputer animation
05:44
Distribution (mathematics)CodeACCESS <Programm>PasswordComputer programControl engineeringPerturbation theoryLecture/Conference
07:11
ForceComputer crimeComputer animationLecture/Conference
09:13
LAMP <Programmpaket>Lecture/Conference
10:52
PasswordSimilarity (geometry)Computer program
11:40
ComputerMittelungsverfahrenComputersabotageProgrammer (hardware)Computer trespassMISSLecture/Conference
13:41
SpiralComputersabotageComputerData storage deviceElectronic data processingRoute of administrationHacker (term)Computer programLecture/ConferenceComputer animation
14:19
Programmer (hardware)Lecture/ConferenceMeeting/Interview
14:51
Programmer (hardware)Hacker (term)Hohe EnergieLecture/Conference
16:17
InternetLecture/Conference
17:03
Student's t-testWeb pageSet (mathematics)PenetrationstestSoftwareLINUXForestHacker (term)Time zoneComputer animationLecture/Conference
18:42
Computer programProgrammer (hardware)Computer animation
19:22
Programmer (hardware)PasswordJURISNIFFProfessional network serviceDatabaseLecture/Conference
20:46
JURISProgrammer (hardware)DownloadDecision theoryLaptopSoftwareVideo trackingService (economics)Lecture/Conference
23:30
JURISWEBFREDInternet forumWeb pageLecture/Conference
24:45
Thread (computing)BlogSoftwareComputerSoftwareLinieProgramming languageThread (computing)Hacker (term)WEBComputer programInternet forumEigenvalues and eigenvectorsRemote administrationSimilarity (geometry)Block (periodic table)Computer animation
27:09
Computer programLinieLecture/Conference
27:52
SoftwareComputerWeb pageWebsiteMainframe computerPasswordSoftwareOpen setSession Initiation ProtocolFacebookTwitterYouTubeInternet forumIP addressLecture/Conference
30:26
PasswordSoftwareLecture/Conference
33:04
Server (computing)Hausdorff spaceComplete metric spaceCountingMemory cardEmailPayPalUSB-StickIP address
34:23
Lecture/Conference
35:28
KommunikationSoftwareComputer animation
36:30
PasswordSoftwareHacker (term)Kapazität <Mathematik>Similarity (geometry)Internet forumHard disk driveAdvanced Encryption StandardBackupMeeting/Interview
41:19
LengthEmailInternetLecture/Conference
41:57
openSUSEComputer animation
Transcript: German(auto-generated)
00:24
Rechtsanwalt Ulrich Kerner, der uns über ein seit 2007, also zwölf Jahre altes Gesetz berichten wird, wie die Rechtslage da drin ist, habe ich bis heute nicht kapiert, bin aber selbst von betroffen und ich denke immer, Hilfe, ich habe NMAP.
00:44
Halt, halt, halt, halt, halt, halt, halt, halt, halt, halt, halt, halt, halt, den Hashtag hätte ich gerne noch mal eben da oben drauf, wenn ihr Fragen aus dem Internet habt, Twitter und IRC. Und jetzt einen Applaus für Uli.
01:05
Hallo zusammen, ich freue mich, dass so viele Leute gekommen sind, ich freue mich auch, dass ich wieder hier sein darf, nachdem ich vor drei Jahren schon mal in Hamburg auf dem Kongress war. Heute geht es um den Hacker-Paragrafen 202 C
01:21
STGB, Cybercrime-Ermittlungen, Vorsicht vor der Polizei oder nicht im falschen Forum posten, das wird sich nachher erklären, warum dieser Titel. Was möchte ich heute hier vorstellen? Einmal eine kurze Einleitung, wo wir uns befinden, dann den 202 C in der Gesetzgebung und ein bisschen im
01:43
Meinungsstand, was darunter zu verstehen ist, dann wie sieht das in der Realität aus, was hat er für eine Relevanz, wie wird er ermittelt und zum Schluss ein bisschen Ausblick und Fragen beantworten.
02:02
Grundsätzlich ist der, also wenn wir reden hier von Internetstrafrecht und
02:23
Gesetzgebung, da müssen, meine ich, zwei Dinge gesagt werden. Erstens, im juristischen Bereich, da ist immer noch normal, dass wir Faxe schreiben, wir schicken Faxe an die Gerichte, an die Behörden und die uns genauso. Wir sind da sozusagen noch ein bisschen in der Entwicklung hinterher und das ist nicht nur in der Justiz und in der Strafrechtspflege, sondern aus
02:43
meiner Sicht auch im Fall in der Gesetzgebung, dass im Bundestag zwar regelmäßig Aktivitäten entfaltet werden, die aber häufig ein bisschen am Ziel vorbeischießen. Kleines Beispiel dazu, als vor etwa einem Jahr, der unter dem Namen Orbit jemand Daten von Politikern und von Prominenten
03:09
ins Netz gestellt haben, war also der Schrei laut Cyberangriff auf Politiker, auf Bundestagsabgeordnete. Beim genaueren Hinsehen sah man dann, dass da wenig, sage ich mal, echte Cyberkriminalität dahinter war. Es war
03:22
ein Fall von Doxing. Die meisten Daten fanden sich frei im Netz und da zumindest nach meinem Wissensstand, wo vielleicht tatsächlich der ein oder andere Account übernommen wurde, passierte das nicht mit sozusagen hoher technischer oder IT-technischem Geschick, sondern einfach mit dem
03:40
Erraten von Passwörtern, die einfach zu einfach waren. Und die Reaktion der Bundesregierung war, dass Innenstandssekretär Stefan Mayer erklärte, dass jetzt ein Cyberabwehrzentrum plus in Aktion treten soll. Was daraus geworden ist, ist mir nicht so klar, aber wenn wir
04:01
Cyberabwehrzentrum hören, dann findet man schnell, wenn man sucht, aus 2014 beispielsweise, das ist jetzt hier von der Tagesschau, einen Bericht über einen vertraulichen Bericht des Bundesrechnungshofes, der also sagt, dass das NCAZ, das nationale Cyberabwehrzentrum, eigentlich nicht
04:24
rechtfertigt sei, Zitat, es wäre der einzige vorgegebene Arbeitsablauf, wäre die tägliche Lagebesprechung und eine Handlungsempfehlung auf politisch-strategischer Ebene im Jahresbericht. Das ist sozusagen, was
04:41
die Bundesregierung tut, dann um unsere Rechte zu schützen. Es ist also ein nicht ganz einfaches Verhältnis und das, meine ich, sieht man hier auch an dem 202c. Der 202c ist durch die Cybercrime Convention auf den
05:02
gesetzgeberischen Plan gekommen. Ich will gleich ein bisschen das Gesetzgebungsverfahren darstellen und dann die Klage, die beim Bundesverfassungsgericht oder die Verfassungsbeschwerden, die beim Bundesverfassungsgericht anhängig waren. Also beginnen wir mal mit der Cybercrime Convention. Das sind hier zwei Übereinkommen und das
05:26
hat einen Rahmenbeschluss des Rates der EU, der die Ziele hatten, Mindeststandards über bestimmte schwere Formen der Computerkriminalität im europäischen Raum zu verwirklichen und außerdem die
05:42
Zusammenarbeit und die Rechtshilfe unter den Staaten zu verbessern. Und ein Teil davon, nur ein Teil, der in Artikel 6 der CCC zu finden ist, ist also das Anliegen, dass jeglicher Umgang mit Computerprogrammen, die zur Begehung einer solchen Straftat
06:04
dienen sollen und da Strafe gestellt werden sollen. Ich habe hier mal den englischen Text. Man muss noch dazu sagen, dass Artikel 6 einen Absatz 3 hat, der eine Vorbehalteregelung hat, so dass
06:25
die einzelnen Nationalstaaten sagen konnten, diesen Artikel 6, den Inhalt, wollen wir gar nicht umsetzen. Die Bundesrepublik hat tatsächlich in Ansätzen davon Gebrauch gemacht, aber war eben der Meinung, dass was wir hier finden, also Devices
06:41
including Computerprogramms, dass die entweder für illegalen Zugang, illegales Abhören oder Abfangen von Daten für Eingriffe und Störungen von Daten dafür geschrieben wurden
07:02
oder adapted primarily, also dafür konfiguriert wurden, dass sie unter Strafe gestellt werden sollen. Es gab dann einen Gesetzesvorschlag der Bundesregierung. Das Ganze wurde
07:23
durchaus schon kontrovers diskutiert. Der Bundesrat hatte Bedenken, sagte, das ist alles zu weit gefasst. Dann ist es sozusagen der übliche Ablauf. Es gibt eine Gegenäußerung, es gab eine öffentliche Anhörung und dann wurde
07:42
das Ganze in den Rechtsausschuss verwiesen und der Rechtsausschuss hat dann mit Stimmen aller Parteien bis auf die Linkspartei dem Bundestag empfohlen, diesen Gesetzesentwurf anzunehmen. Also jetzt Sinn des 202 ist
08:04
nach der Bundesregierung und nach der Bundestagsdrucksache, nach der hier zitierten, das mit dem neuen 202 c Strafgesetzbuch sollen bestimmte besonders gefährliche Vorbereitungshandlungen selbstständig unter
08:20
Strafe gestellt werden. Damit hier alle das Konzept verstehen, wenn Strafbarkeit auf Vorbereitungshandlungen ausgedehnt wird, möchte ich das mal kurz erläutern. Grundsätzlich ist es so, wenn wir einen Tatablauf haben,
08:41
dann haben wir Vorbereitungen, die ist in der Regel straflos. Wir haben dann die Situation, wo der Täter in den Versuch, mit dem Versuch beginnt, in das Versuchsstadio eintritt und wer nahe da erfolgreich ist, dann haben wir irgendwann eine Vollendung und dann haben wir bei bestimmten Delikten noch eine Beendigung.
09:01
Vorbereitungshandlungen sind in der Regel nicht strafbar. Ich nehme ein Beispiel, wenn also jemand sich überlegt, ich möchte jemand anders kräftig treten, sozusagen nicht strafbar. Wenn sich die Person jetzt ihre schweren Bergstiefel anzieht, damit es auch richtig wehtut, dann ist es auch noch nicht strafbar. Dann sind wir noch in der Vorbereitungshandlung und bei der Körperverletzung ist die Vorbereitungshandlung
09:22
eben straffrei. Wenn dann die Person tritt und aber nicht trifft beispielsweise, dann wären wir im Versuch. Versuch beginnt, wenn nach der Sicht des Täters das unmittelbare Jetzt geht es los überschritten ist. Also wenn ich aushole, um zu treten und ich trete daneben oder falle hin oder was auch immer, dann bin
09:43
ich also im Versuch. Und der ist bei der Körperverletzung auch strafbar, unter Strafe gestellt. Wenn jetzt jemand beispielsweise gegen ein Auto treten will, um da eine Beule reinzumachen und das Auto fährt rechtzeitig weg und er tritt daneben, dann wäre das auch ein Versuch. Aber der Versuch ist bei der Sachbeschädigung nicht
10:02
strafbar, gesetzgeberische Wertung. Wir haben also die Wertung, dass der Versuch bei allen Verbrechen strafbar ist. Das sind Taten, die mindestens mit einem Jahr bedroht sind und ansonsten nur, wenn es der Gesetzgeber ausdrücklich geregelt hat. Und alles, was in den Vorbereitungshandlungen
10:21
ist, ist nicht von Strafe, ist nicht strafbar. Also wer in den Großshop geht, um sich Pflanzen, Bewässerungsanlagen und all sowas zu kaufen, um nachher Cannabis anzubauen beispielsweise, der macht sich durch den Erwerb dieser Sachen noch nicht strafbar. Da mussten erst weitere Akte hinzukommen. Hier aber explizites Interesse
10:45
des Gesetzgebers, eben schon Vorbereitungshandlungen unter Strafe zu stellen. Und so sieht der heutige 202c aus. Da heißt es auch, wer eine Straftat
11:03
nach 202a oder 202b vorbereitet. Und jetzt kommen zwei mögliche Tatalternativen, erstens Passwörter oder Ähnliches. Oder hier Nummer zwei, und das ist, worum es mir heute
11:21
geht, Computerprogramme, deren Zweck die Begehung einer solchen Tat ist. Und jetzt kommen die einzelnen Tatmodalitäten, Tathandlungsmodalitäten, herstellt sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht. Der wird also mit Geldstrafe oder mit Freiheitsstrafe bis zu
11:43
zwei Jahren bestraft. So, diese Ausweitung der Strafbarkeit versteht man nur, wenn man auch den 202a und 202b, deren, sozusagen auf die die Tat abzielen muss, wenn man da kurz reingeschaut hat. 202a ist das
12:03
Ausspähen von Taten, das ist also das Zugang verschaffen zu besonders gesicherten Daten, und zwar unberechtigtem Zugang. Auch so digitaler Hausfriedensbruch genannt und tatsächlich schon durch das zweite Gesetz zur Bekämpfung der Wirtschaftskriminalität Mitte 86 ins
12:22
Gesetz gekommen, damals allerdings noch mit ein bisschen anderem Wortlaut. Und hat seine heutige Fassung durch das 41. Strafrechtsänderungsgesetz, mit dem auch der 202c, der Hackerparagraph, erlassen wurde. So, also, wir haben sozusagen als Taten, auf die jemand diese Programme herstellen oder
12:43
ähnliches muss, einmal das Ausspähen von Daten, 202a und 202b, das Abfangen von Daten. Hier ist also nicht nötig, dass besondere Sicherungsmaßnahmen vorhanden sind oder umgangen werden.
13:01
Hier reicht es ab, dass Daten, die übermittelt werden, mittelstechnischer Mittel abgefangen werden. Und nur als kleiner Hinweis, wir haben ähnliche Vorbereitungshandlungen, die unter Strafe gestellt sind, auch woanders in dem Computer oder IT-Delikten
13:22
einmal bei der Datenveränderung, wo es in Absatz heißt, für die Vorbereitung einer Straftat nach Absatz 1 gilt der 202c entsprechend. Und wir haben das nochmal in der sogenannten Computersabotage 303b.
13:40
Wen das interessiert, kann sich das mal in Ruhe anschauen, auch da über einen Verweis auf entsprechende Anwendungen von 202c sozusagen Vorfeldkriminalisierung von Vorbereitungshandlungen, die sonst nicht strafbar wären. Zurück zum Paragrafen 202c, zum
14:03
Hackerparagraph. Das Problem ist hier, dass also Computerprogramme, deren Zweck die Begehung einer Tat des Ausspellens oder Abfangens von Daten ist, jeglicher Umgang damit unter Strafe gestellt ist. Und es
14:23
fragt sich ein bisschen, was man darunter verstehen soll oder was man darunter nicht verstehen soll. Hier kam eben sozusagen in einer Moderation die Frage, ich hab Nmap, ein durchaus mächtiges Tool, mach ich mich schon strafbar, wenn ich das auf meiner Linux-Distribution habe oder nicht? Das Gesetz verlangt, dass der
14:47
objektive Zweck des Programmes eine Straftat des Ausspellens oder Abfangs von Daten ist. Problem, Programme oder Gegenstände haben keinen objektiven
15:03
Zweck. Programme und auch Gegenstände haben Eigenschaften. Um ein Beispiel zu nennen, eine Pistole hat die Eigenschaft, dass sie also ein Projektil sehr schnell mit hoher Energie aus dem Lauf schießen kann und ob damit jemand auf eine Zielscheibe aus sportlichen
15:21
Gesichtspunkten oder aber auf Menschen schießt, ist nicht Zweck dieser Pistole, sondern das liegt eben, Zweck gibt eine Person diesem Gegenstand oder dem Programm, was an sich nur Eigenschaften hat, die eben für
15:41
bestimmte Zwecke gebraucht werden können. Insofern etwas unklar, was hier erfasst ist und was nicht erfasst ist, nach den Verlautbarungen der Bundesregierung, sollen also klassische oder typische Hacker-Tools erfasst sein. Es sollen aber nicht
16:00
erfasst werden Programme, die auch anderen Zwecken dienen können, sogenannte Dual-Use-Tools oder Dual-Use-Programme und das heißt, dass dieser objektive Tatbestand der Strafbarkeit, der Zweck dieses Programms, also doch subjektiv
16:22
bestimmt werden muss und genau an dieser Stelle liegt das Problem. Das ganze war, meine ich wenig überraschend, Gegenstand von Verfassungsbeschwerden, Individualverfassungsbeschwerden vom Bundesverfassungsgericht, die
16:40
mit einem, dieses Verfassungsgericht nicht angenommen hat und ich habe hier die Aktenzeichen aufgeschrieben, wer das nachlesen will, findet das gleich im Internet. Das Bundesverfassungsgericht hat gesagt, die drei Beschwerdeführer sind nicht gegenwärtig selbst, gegenwärtig und
17:01
unmittelbar beschwert, möchte ich kurz erklären, auch was das Bundesverfassungsgericht dazu ausgeführt hat. Verfassungsbeschwerde haben drei Personen, das eine war ein Hochschullehrer, der gesagt hat, er nutzt also viele Tools, die er seinen Studenten, Studentinnen zur Verfügung stellt, die man zum Teil auf
17:22
seiner Webseite runterladen kann, unter anderem auch das Programm NMAP und er ist davon ausgegangen, er macht sich schon strafbar. Zweiter Beschwerdeführer war der Geschäftsführer einer Sicherheitsfirma, die Penetrationstests durchgeführt haben und dafür auch Hacker-
17:42
oder Software aus anonymen Hackerforen verwendeten und ich war der dritte Beschwerdeführer, weil ich gesagt habe, ich benutze Linux und ich habe hier eine Menge Tools auf jeder Linux- distribution wie beispielsweise NMAP, wo ich doch eigentlich davon ausgehen
18:00
kann, das kann man für kriminelle Zwecke verwenden, ich weiß auch nicht, wie es, mit welchem Hintergedanken das geschrieben wurde und ich fühle mich hier letztendlich auch bedroht davon. Das Bundesverfassungsgericht verlangt selbst, dass der Beschwerdeführer
18:21
selbst unmittelbar und gegenwärtig betroffen sind und das liegt insbesondere vor, wenn also bei einer möglichen, nicht fernliegenden Auslegung dieses Tatbestandes das Risiko gegeben ist, dass man sich strafbar macht. Dem hat das Bundesverfassungsgericht aber
18:40
letztendlich eine Absage erteilt und zwar hat das ausgeführtes Dual Use Tools grundsätzlich nicht erfasst sind, hat weiter ausgeführt, der Zweck ist eben nichts Objektives letztendlich, was dem Programm inne wohnt, sondern beschreibt
19:02
Beweggrund und Ziel einer Handlung und nicht des Programms selber und das ist dann jetzt wieder natürlich subjektiv festzustellen und muss aber muss sich äußerlich feststellbar manifestieren an der Gestaltung des
19:21
Programmes selbst, was auch immer ich mir jetzt darunter vorstellen soll oder eben an einer eindeutig auf illegale Verwendung abzielenden Werbung oder Vertriebsweise. Gleichwohl meine ich es auch, dass das weiterhin recht unbestimmt, was
19:41
macht daraus so die Literatur, wenn wir in die juristische Kommentierung gucken, ich zitiere mal aus Schönke Schröder, da heißt es dann eigentlich entsprechend bei Programmen deren funktionaler Zweck nicht eindeutig kriminell ist und die
20:01
erst durch eine missbräuchliche Anwendung zu einem Tatwerkzeug werden, Klammerauf vor allem Dual Use-Tools wie Passwortscanner und Netzwerksniffer, Klammer dazu, ist der Tatbestand nicht verwirklicht und dann mit Verweis auf verschiedene Bundestagsdrucksache und verschiedene
20:26
andere Gerichtsentscheidungen. So, in der Praxis macht das allerdings immer noch, das finde ich, äußerst unbestimmt und macht Schwierigkeiten und wir wollen uns jetzt nach diesem kurzen juristischen Teil mal
20:41
anschauen, wie sieht es hier in der Praxis aus. In der Praxis hat der 202c tatsächlich eine geringe Bedeutung. Ich habe hier zur Vorbereitung mal bei JURIS, das ist eine juristische Entscheidungsdatenbank, also Gerichtsurteile veröffentlicht werden geschaut, was es denn da gibt und war erstaunt, dass JURIS insgesamt
21:01
für das seit 12 Jahren, vor 12 Jahren erlassene Gesetz acht Entscheidungen kennt. Davon ist natürlich eine Entscheidung, die Entscheidung des Bundesverfassungsgerichtes. Eine Entscheidung ist vom Verwaltungsgericht Hannover, da ging es um Pressefreiheit und Äußerung eines Oberbürgermeisters. Und dann haben wir sechs Zivilurteile,
21:22
also von Zivilgerichten, da geht es zum Beispiel um die fristlose Entlassung eines GmbH-Geschäftsführers, wegen Falschabrechnung von Auslagen und Herunterladen von Hacker-Software auf seinen Dienstlaptop. Und es gibt tatsächlich nur eine einzige Entscheidung aus dem strafrechtlichen Bereich, ein Beschluss
21:41
des OLG Kölns. Und da ging es nicht um die Verurteilung jemanden, der mit solchen Programmen gehandhabt hat, umgegangen ist, sondern das ist ein Beschluss in einem Klager- Erzwingungsverfahren. Klager- Erzwingungsverfahren ist ein Verfahren, wenn ich verletzt an einer Straftat bin und ich zeige die an
22:01
und die Staatsanwaltschaft stellt mich ein, dann gibt es das Klager-Erzwingungsverfahren, den Vorschalt beschwere ich, beschwere mich erstmal und sage, liebe Staatsanwaltschaft, das müsst ihr doch verfolgen. Und wenn dann die Beschwerde auch, wenn der nicht abgeholfen wird durch die Generalstaatsanwaltschaft, dann kann ich mich ans Gericht wenden im Klager-Erzwingungsverfahren und
22:21
sagen, liebes Gericht, das muss doch verfolgt werden. Weiß bitte mal sozusagen die Verfolgungsbehörden an das zu tun. Also die einzige strafrechtliche Entscheidung ist keine solche, bringt uns da auch nicht weiter. Was kann man noch sagen zur Relevanz? Die
22:43
polizeiliche Kriminalstatistik für 2018 gibt für den Ganzen, für die vier Delikte, Ausspähen, Abfangen von Daten, einschließlich Vorbereitungshandlung 202c und die Datenhehlerei 8.762 Fälle an, also für vier verschiedene
23:02
Strafnormen. Mal im Vergleich, Körperverletzungstaten haben wir ein bisschen mehr als 554.653 Fälle. Um es sozusagen klar zu sagen, die Gefahr, Opfer einer Körperverletzung zu werden, ist also ungleich größer als hier Opfer von
23:23
Ausspähen oder Abfangen von Daten zu werden. Und ich habe lange gewartet, tatsächlich, dass auch sich jemand mal an mich meldet und
23:41
sagt, ich habe hier ein Ermittlungsverfahren wegen 202c StGB und ich habe letztes Jahr einen Fall gehabt, der dieses Jahr erledigt hat und den möchte ich hier ein bisschen vorstellen. Da geht es um eine Software, die heißt Webmonitor von Refcode. Und
24:01
Ermittlungsbehörde war die Zentralstelle Cybercrime Bayern, ZCB in Bamberg bei der Generalstaatsanwaltschaft angesiedelt. Das ist also eine spezielle Abteilung, die personell ziemlich gut ausgestattet ist. Vier Oberstaatsanwälte, vier
24:20
Staatsanwälte als Gruppenleiter, zwei weitere Staatsanwälte und Geschäftsstellen. Und nach Selbstverständnis auf der Webseite ist diese Zentralstelle bayernweit zuständig für die Bearbeitung herausgehobener Ermittlungsverfahren im Bereich der Cyberkriminalität. Was war hier das Problem? Ein Beamter
24:46
fand also in einem Forum und zwar bei Hackforumsnet ein Thread über den Webmonitor, der dort als Fernwartungssoftware, also
25:01
Remote Administration Toolrett angeboten wurde. Und hier heißt es dann zum Anlass der Ermittlungen, dass dort diese Software in einem nicht öffentlich zugänglichen Forum angeboten wurde. Das ist das erste, was
25:21
schlichtweg falsch ist. Hackforums hat etwa drei Millionen Nutzer, zumindest nach der Wikipedia. Und da man muss sich registrieren, sozusagen jeder kann sich registrieren, wenn man die Ermittlungsbedingungen akzeptiert. Und dann kann auch sich jeder diesen Thread anschauen und lesen, was da gepostet wurde. Ich bin hier
25:46
ein bisschen zu weit. Man muss noch mal zurückgehen. So, hier war ich. Also ein Remote Administration Tool. Dann hat sich da jemand gedacht, da muss ich mal weitersuchen und fand ein Blog-Eintrag aus meiner Sicht aus einem nicht unbedingt seriös
26:05
anzusehenden Blog, in dem ziemlich reißerisch behauptet wird, dass also diese Software bei einem CEO-Fraud genutzt worden wäre, ohne irgendwelche Beweise zu bringen und sagt, das wäre also
26:21
Mailware, die sich als legale Software tarnt. Auch dafür keine Beweise. Es geht letztendlich in erster Linie darum, wie es die programmiert, ist sie gut programmiert, welcher Programmiersprache ist die programmiert und ähnliches. Darauf wurden Ermittlungen eingeleitet. Und zwar vom Bayerischen
26:43
Landeskriminalamt, Sachgebiet 542, unter der Leitung der Generalstaatsanwaltschaft Bamberg, Zentralstelle Cybercrime Bayern. Die haben sich also diese Software gekauft, haben sie in ihrem eigenen Mailware-Labor untersucht. Oder das, was man
27:00
da wohl Untersuchung nennt. Und kommen dann dazu, ich zitiere mal, dass sich in diesem Fall in erster Linie nicht um ein reines Hacker-Tool gemäß Paragraph 202c Absatz 1 Nummer 2 StGB handelt, wird von der Sachbearbeitung anschließend rechtlich geprüft,
27:21
ob es sich hierbei um ein legitimes Computerprogramm oder um eine kriminelle Schadsoftware auf Englisch Mailware zu handelt. Also hier steht schon drin, es ist kein reines Hacking-Tool. Dann ist es wohl automatisch ein Dual-Use-Tool und wie
27:41
Bundesverfassungsgericht zumindest die Auffassung vertritt und viele andere auch, dann ist es kein taugliches Tatobjekt. Aus meiner Sicht hätte hier eigentlich gesagt werden müssen, wir klappen die Akte zu und wenden uns einem anderen Fall zu. Nicht aber hier so, die haben also festgestellt, es gibt eine offizielle Webseite, die lautet auf eine EU-Domain.
28:03
Und dann war sich das bayerische LKA, war dann der Meinung, dass hier die Leute, die dahinterstehen, ihre wahre Identität verschleiern würden. Und zwar hierfür spricht Folgendes,
28:23
das wäre auf dem nicht öffentlich zugänglichen Hackforums net beworben wurden. Wie gesagt, schlichtweg falsch ist öffentlich. Die wahre Identität des Anbieters wäre verschleiert worden. Keine Begründung kommt nachher noch. Fehlen das Impressum auf der Webseite. Gut, das ist wohl
28:41
sozusagen vielleicht ein Verstoß gegen oder ein Verstoß gegen fünf Telemedien gesetzt, aber dient nicht der Verschleierung, denn die Webseite war also offiziell registriert. Die hatten auch sofort Name, Adresse der Person, die registriert hatte. Der Whois-Eintrag war vollständig und korrekt.
29:02
Haben Sie aber festgestellt, gut, die Domain wurde bei einem russischen Registrar registriert. Das fanden Sie also sehr merkwürdig. Wie gesagt, sie wurde mit dem richtigen Namen, der richtigen Anschrift registriert. Der Hoster war in der Ukraine. Der hat ja wohl ein gutes Angebot gemacht nach Auffassung des bayerischen Landeskriminalamts.
29:21
Also dient es der Verschleierung. Und dann schreiben Sie eingebettete Links zu Facebook, Twitter und YouTube, führen auf nicht existente Webseiten. Das ist auch falsch. Die waren also auf der Webseite schon die Buttons, aber es gab noch keine Registrierung, so dass die auf die Startseiten jeweils von Facebook, Twitter und YouTube führten.
29:41
Und so liest sich das hier munter weiter. Die Staatsanwaltschaft hat sich einen Hausdurchsuchungsbeschluss geholt, in dem es dann schon heißt, dass hier so ziemlich sicher ist, dass also die vertriebene Software
30:00
eine Schadsoftware ist und erkennbar nur zum Zweck entwickelt wurde, dass der Verwender unbemerkt die Kontrolle über fremde Rechner bekommt. Und daraufhin wurde durchsucht. Ich muss ein bisschen auf die Zeit schauen. dann möchte ich kurz was sagen.
30:20
Richtervorbehalt, richterlicher Durchsuchungsbeschluss. Wir haben zur Zeit mal wieder große Diskussionen. Sollen nicht Ordnungswidrigkeiten, Behörden, Zugangsdaten, Passwörter bekommen? Neu ist die Idee der Bundesregierung. Und zwar auch schon Ordnungswidrigkeiten, bei Ordnungswidrigkeiten. Und dann wird gesagt, naja, das Ganze
30:40
hat doch ein Richtervorbehalt. Wie funktioniert das, wenn ein richterlicher Beschluss gefasst wird? Der Ermittlungsrichter bekommt also seinen Antrag von der STA auf den Tisch gelegt und kriegt eine Akte dazu und dann hat er zwei Möglichkeiten. Entweder er oder sie zeichnet das ab. Oder sagt, naja, das finde ich alles komisch und jetzt fange ich mal
31:00
in der Akte zu lesen und jetzt steige ich mal in die Prüfung ein und dann komme ich vielleicht, sage ich vielleicht, ne, den Erlass dieses Beschlusses lehne ich ab. Das ist mit viel Aufwand verbunden und man kann es, meine ich, unseren Ermittlungsrichterinnen und Richtern nicht nachsehen, wenn da stapelweise Anträge reingetragen werden, dass sie die irgendwie lesen, schauen, ist das schlüssig, klingt das vernünftig
31:22
und das dann abzeichnen. Und wenn hier gesagt wird, bei einer Software, die selbst, das LKA, ganz klar sagt, es ist keine reine Schadsoftware, ich sage dann, es ist automatisch dual use und damit fällt es nicht unter 2 und 2C. In dem Richter mitgeteilt wird, dient erkennbar diesen Zwecken und zu nichts anderem
31:41
als kriminellen Straftaten kann ich zumindest in gewisser Weise verstehen, wenn das abgezeichnet wird. Umkehrschluss, wenn wir hier gerade eine aktuelle Diskussion haben, ob nicht Passwörter herausgegeben werden sollen und dann heißt es, ja, aber da haben wir doch einen Richtervorbehalt, das wird doch kontrolliert, muss man deutlich sagen, diese
32:01
Kontrolle ist eine sehr niederschwellige Kontrolle und absolut kein ernstzunehmender Schutz für die Rechte des einzelnen Bürgers und der Bürgerinnen. Kurz nur zur Hausdurchsuchung,
32:20
so als, sozusagen, wie sowas abläuft. Die Beamten kamen in zivil mit mehreren Fahrzeugen, kamen in zivil mit einem Paket unter der Hand, wollten mein Mandant sprechen, der nicht selber an die Tür gegangen ist, sagten, na nee, das müssten sie dem schon selber übergeben. Es waren wohl drei Leute anwesend im Haus oder in dem Objekt, was durchsucht wurde.
32:43
Nachdem sich also alle ausgewiesen hatten und alle wussten, wer ist der andere, konnten sich, haben sich die Beamten nicht nehmen lassen, dann ihre Westen anzuziehen, mit der sie als Polizisten zu erkennen sind, sodass sozusagen alle Nachbarn in dem Dorf, als sie dann angefangen haben, dort alles rauszutragen, was es rauszutragen gab,
33:01
sofort gesehen haben, nicht sich nur gewundert haben, wieso sind da so viele Autos, sondern haben dann auch noch gesehen, oh, das ist die Polizei. Völlig unnötig, hatten bleibenden Eindruck hinterlassen im Dorf. Das sind dann so die kleinen Nebenerscheinungen von solchen Veranstaltungen.
33:20
Meine Mandanten wurden alles beschlagnahmt, was man irgendwie wegtragen konnte. Alle Computer und die braucht er zum Arbeiten. Alle Speichermedien, die bei ihm zu Hause gefunden wurden, USB Platten, Speicherkarten, USB-Sticks, alles. Alle Mobiltelefone.
33:40
Haufenweise Schriftstücke wurden rausgetragen. Es wurden beschlagnahmt, weil das im Vorfeld ermittelt wurde. Welches Server hat der Mann registriert? Es wurden 12 Server beschlagnahmt bei Drittanbietern. Es wurden E-Mail-Postfächer beschlagnahmt, weil vorher ein bisschen geguckt wurde. Was gibt es also für E-Mail-Adressen?
34:01
Und dann wurde, weil es Zahlungen gab über PayPal, auch da diese ganzen Sachen überall mit den korrekten, vollständigen Daten angemeldet. Gab es einen Vermögensarrest und im Rahmen des Vermögensarrests wurde dann Zersicherung der Vermögenswerte,
34:21
sämtliche Bankkonten gepfändet, alles Geld mitgenommen, was bei ihm gefunden wurde und selbst eine Armbanduhr eingesammelt. Dazu muss man sagen, es gilt natürlich die Unschuldsvermutung. Wir sind immer im Ermittlungsverfahren. Das sind Maßnahmen, die jeden, der nicht jemand hat, der ihn
34:42
da auffängt, jeder normale Mensch, der nicht Solidarität hat, ist schlichtweg ruiniert. Die Krankenkasse wird nicht mehr bezahlt, die Miete wird nicht mehr bezahlt oder alternativ die Rate fürs Haus oder für die Eigentumswohnung. Wenn man ein Fahrzeug hat und die Versicherung muss
35:00
abgebucht werden zum Jahreswechsel, dann geschieht das nicht. Kfz-Steuer wird nicht mehr abgebucht. Wenn man ein Leasingfahrzeug hat, dürfte da sofort die Kündigung kommen. Größtmögliche Schlammgericht haben tatsächlich
35:20
die Beschlagnahmen bestätigt, haben auch noch ausgeführt, ja, wir haben zwar nach langer Zeit, wissen wir immer noch nicht sicher, ob diese Computer tatsächlich Tatmittel sind, aber sie kommen ja immer noch als Wertersatzeinziehungsgegenstände in Betracht, nämlich wenn sie angeschafft wurden
35:42
durch die Tat erlangtem Geld. Und es geht hier ja darum, letztendlich es ist sozusagen ja subjektiv festzustellen, was hat sich jemand gedacht, der diese Software entwickelt hat, oder der sie vertreibt oder verkauft. Und um diese Subjektive festzustellen,
36:03
braucht man Dinge wie beispielsweise Kommunikation mit möglichen Kunden oder möglichen Interessenten. Problem war, sämtliche digitale Kommunikation war beschlagnahmt und dann bin ich da auch nicht mehr in der Lage besonders irgendwas vorzulegen, was mich entlastet.
36:20
Es gab dann aber irgendwann einen Auswertevermerk, in dem es heißt, es ist zu erkennen, dass sowohl Person 1 als auch Person 2, also sozusagen Leute, die wie sehr der Strafverfolgungsbehörden waren, legale Verkaufsabsichten führt, das waren also Unterlagen, meine Mandanten
36:41
standen gar nicht zur Verfügung. Da hatte jemand ein Jahr vorher, Mitte 2017, also angefragt, hey, I'm looking to hack certain accounts. Can this get accounts that people have saved as login, because as you know, if they don't have to enter their info anymore, how will I keylog it, understand?
37:01
Also es fragte jemand, ich will hier Computer hacken, wo wahrscheinlich die Passwörter nicht mehr eingegeben werden, kann ich die da irgendwie aus dem System generieren? Und mein Mandant schrieb zurück, sorry, but you mentioned you would like to hack certain accounts, our legal guidelines do not allow to communicate further on this basis.
37:21
Er hat also ganz klar gesagt, solche Anfragen beantworten wir nicht, das ist hier nicht unser Geschäft, sowas wollen wir nicht. Und hat dann einer anderen Person auch noch geschrieben, sozusagen im Nachgang, I wonder what some users think, was denken die sich eigentlich da draußen, was wir machen. Das war dann schon mal schön, dass zumindest in einem
37:42
Bericht, oder in einem Auswertbericht vom LKA steht es erkennbar, dass die legale Verkaufsabsichten verfolgen, gab auch ein paar andere Dinge. Gleichwohl der Abschlussbericht des LKA sagt dann, aber sozusagen diese legalen Verkaufsabsichten widerlegen,
38:00
jedoch nicht, dass es sich nicht doch um ein nicht reines Dual Use Tool handelt, also hier auch diese abstruse Unterscheidung, reines Dual Use Tool und nicht reines Dual Use Tool, die aus meiner Sicht nach dem Bundesverfassungsgericht nicht zulässig ist.
38:21
Es war dann auch so, dass es eben um viele andere, es ging da um bestimmte Dinge, die das Gerät kann, beispielsweise Silent Installation, das hat die da sehr gestört, den war aber auch nicht bekannt, dass beispielsweise TeamViewer auch eine Silent Installation hat und ähnliches. Letztendlich läuft es immer so, die Polizei schließt das Ermittlungsverfahren ab, gibt's
38:42
dann an die Staatsanwaltschaft und die Staatsanwaltschaft hat tatsächlich nach sieben Monaten eingestellt, nach 170 Absatz 2. Zum Glück meines Mandanten, der tatsächlich überaus glücklich war, den dieses Verfahren ganz erheblich belastet hat und er durfte dann seine Sachen abholen und hier sieht man mal, wie ein Mobiltelefon aussieht,
39:02
wenn es also das LKA hatte, um die Daten auszuwerten, auseinander gerupft, oben sieht man irgendwie einen Chip, der raus gelötet oder entfernt wurde und hier eine Festplatte, man sieht, die wurde aus dem Gehäuse geschraubt und da gab's wohl keine Kapazitäten, dass man
39:22
die wieder reinschraubt, passend hier zum Motto des Kongresses Resource Exhaustion, da hatten sie scheinbar keine Kapazitäten, das musste mein Mandant machen. Der Spuk war sozusagen fast zu Ende, es läuft noch
39:42
ein Entschädigungsverfahren nach dem Strafrechtsentschädigungsgesetz, da sind wir noch nicht ganz am Ziel. Ich bin sehr knapp hier mit der Zeit, ich will das Ganze abschließen, weil das sicher eine Frage ist, die Leute sich stellen, die mit Software hantieren, schreiben, entwickeln, testen, die letztendlich sagen, ich bin hier vielleicht in einem Bereich,
40:02
da mache ich mich aus meiner Sicht nicht strafbar, aber das eine oder andere Landes-LKA sieht das vielleicht ein bisschen anders, so wie hier in unserem Fall. Also was sind Schutzmaßnahmen für alle, die mit solchen Dingen umgehen? Ich meine das ernst, nicht im falschen Forum posten,
40:21
man hält sich am besten von allem fern, wo irgendeine LKA-Beamte denken könnte, wenn irgendwas Hackforums heißt, dann sind das da alles nur Kriminelle, auch wenn ich das hochgradig abwegig finde. Man sollte nach Möglichkeit ausschließlich illegale Nutzungsmöglichkeiten darstellen und am besten gar nicht auf illegale Nutzungsmöglichkeiten eingehen und selbst bei der Formulierung von
40:42
Warnhinweisen gibt es strafrechtliche Literatur, die sagt äußerste Vorsicht da, damit einem das nicht ausgelegt wird, dass jemand durch seine Warnhinweise in Wirklichkeit dieses Produkt für illegale Nutzungen
41:02
bewerben will. Ulrich, die Zeit ist leider vorbei, wir haben auch keine Zeit für Q&A. Vielen, vielen Dank für deinen Vortrag und ich glaube, das ist dein Applaus.
41:23
Vielen Dank. Wenn jemand Fragen hat im Nachgang, kann ich mir gerne eine E-Mail schreiben, ich kann die nicht immer in voller Länge vielleicht beantworten, aber das kann ich mir immer in die E-Mail schreiben, aber das kann ich mir nicht immer in also wenn dieses Thema weiter interessiert, wer selber betroffen ist, wer sich noch mal vergewissern will
41:41
über irgendetwas, wer weitere Literaturhinweise braucht, kann sich gerne an mich wenden, bin im Internet zu finden, nicht mit dem gleichnamigen Rechtsanwalt aus Hannover verwechseln, der macht nur Arbeitsrecht. Ulrich Kärner, Berlin.
Recommendations
Series of 4 media