 Ulrich Kerner, der uns über ein seit 2007, also zwölf Jahre altes Gesetz berichten wird. Wie die Rechtslage da drin ist, habe ich bis heute nicht kapiert. Ich bin aber selbst von Betroffenen und ich denke immer, Hilfe, ich habe N-Map. Halt, halt, halt, halt, halt, halt, halt, halt, halt, halt, halt. Den Hashtag hätte ich gerne noch mal in da oben drauf, wenn ihr Fragen aus dem Internet habt, Twitter und ARC. Und jetzt... Einen Applaus für Uli. Hallo zusammen. Ich freue mich, dass so viele Leute gekommen sind. Ich freue mich auch, dass ich wieder hier sein darf, nachdem ich vor drei Jahren schon mal in Hamburg auf dem Kongress war. Heute geht es um den Hackerparagrafen. 202 IC-STGB, Cybercrime-Ermittlungen, Vorsicht vor der Polizei oder nicht im falschen Forum-Posten. Das wird sich nachher erklären, warum dieser Titel. Was möchte ich heute hier vorstellen? Einmal eine kurze Einleitung, wo wir uns befinden. Dann den 202 C in der Gesetzgebung und bis in den Meinungsstand, was darunter zu verstehen ist. Dann, wie sieht das in der Realität aus? Was hat der für eine Relevanz? Wie wird er ermittelt? Und zum Schluss ein bisschen Ausblick und Fragen beantworten. Grundsätzlich ist der... Also, wenn wir reden hier von Internetstrafrecht und Gesetzgebung, da müssen meine ich zwei Dinge gesagt werden. Erstens, im juristischen Bereich, da ist immer noch normal, dass wir Faxe schreiben. Wir schicken also Faxe an die Gerichte, an die Behörden und die uns genauso. Wir sind sozusagen noch ein bisschen in der Entwicklung hinterher. Und das ist nicht nur in der Justiz und in der Strafrechtspflege, sondern aus meiner Sicht auch ein Fall in der Gesetzgebung, dass im Bundestag zwar regelmäßig Aktivitäten entfaltet werden, die aber häufig ein bisschen am Ziel vorbeischießen. Kleines Beispiel dazu. Als vor etwa einem Jahr unter dem Namen Orbit jemand Daten von Politikern und von Prominenten ins Netz gestellt haben, war so der schreilauten Cyberangriff auf Politiker, auf Bundestagsabgeordnete. Beim genaueren Hinsehen sah man dann, dass da wenig, sage ich mal, echte Cyberkriminalität dahinter war. Es war ein Fall von Doxing, die meisten Daten fanden sich frei im Netz und da zumindest nach meinem Wissensstand, wo vielleicht tatsächlich der eine oder andere Account übernommen wurde, passierte das nicht mit sozusagen hoher technischer oder IT-technischem Geschick, sondern einfach mit dem Erraten von Passwörtern, die einfach zu einfach waren. Und die Reaktion der Bundesregierung war, dass Innenstaatssekretär Stefan Meyer erklärte, dass jetzt ein Cyberabwehrzentrum Plus in Aktion treten soll. Was daraus geworden ist, ist mir nicht so klar, aber wenn wir Cyberabwehrzentrum hören, dann findet man schnell, wenn man sucht, aus 2014, beispielsweise, das ist jetzt hier von der Tagesschau, ein Bericht über einen vertraulichen Bericht des Bundesrechnungshofes, der also sagt, dass das NCAZ, das nationale Cyberabwehrzentrum, eigentlich nicht gerechtfertigt sei, Zitat, es wäre, der einzige vorgegebene Arbeitsablauf wäre die tägliche Lagebesprechung und eine Handlungsempfehlung auf politisch strategischer Ebene im Jahresbericht. Das ist sozusagen, was die Bundesregierung tut, um unsere Rechte zu schützen. Es ist also ein nicht ganz einfaches Verhältnis und das, meine ich, sieht man hier auch an dem 202C. Der 202C ist durch die Cybercrime Convention auf den gesetzgeberischen Plan gekommen. Ich will gleich ein bisschen das Gesetzgebungsverfahren darstellen und dann die Klage, die beim Bundesverfassungsgericht, die verfassungsbeschwerden, die beim Bundesverfassungsgericht anhängig waren. Also beginnen wir mal mit der Cybercrime Convention. Das sind hier zwei Übereinkommens des Europarates und einen Rahmenbeschluss des Rates der EU, der den Ziel hatte, die Ziele hatten, Mindeststandards über bestimmte schwere Formen der Computerkriminalität im europäischen Raum zu verwirklichen und außerdem die Zusammenarbeit und die Rechthilfe unter den Staaten zu verbessern. Und ein Teil davon, nur ein Teil, der in Artikel 6 der CCC zu finden ist, ist also das Anliegen, dass jeglicher Umgang mit Computerprogrammen, die zur Begehung einer solchen Straftat dienen sollen und da Strafe gestellt werden sollen. Ich habe hier mal den englischen Text. Man muss noch dazu sagen, dass Artikel 6 ein Absatz 3 hat, der den Vorbehalt einer Vorbehaltsregelung hat, sodass die einzelnen Nationalstaaten sagen konnten, diesen Artikel 6, den Inhalt wollen wir gar nicht umsetzen. Die Bundesrepublik hat tatsächlich in Ansätzen davon Gebrauch gemacht, aber war eben der Meinung, dass, was wir hier finden, also Devices, including Computerprograms, dass die, die entweder für illegalen Zugang, illegales Abhören oder Abfang von Daten für Eingriffe und Störungen von Daten dafür geschrieben wurden oder adapted primarily, also dafür konfiguriert wurden, dass die unter Strafe gestellt werden sollen. Es gab dann ein Gesetzesvorschlag der Bundesregierung. Das Ganze wurde durchaus schon kontrovers diskutiert. Der Bundesrat hatte Bedenken, sagte, das ist alles zu weit gefasst, dann ist sozusagen der übliche Ablauf. Es gibt eine Gegenäußerung, gab eine öffentliche Anhörung und dann wurde das Ganze in den Rechtsausschuss verwiesen und der Rechtsausschuss hat dann mit Stimmen eigentlich aller Parteien bis auf die Linkspartei dem Bundestag empfohlen, diesen Gesetzesentwurf anzunehmen. Und also jetzt, Sinn des 202 ist nach der Bundesregierung und nach der Bundestagsdrucksache nach der hier zitierten, dass mit dem neuen 202 C-Strafgesetzbuch sollen bestimmte besonders gefährliche Vorbereitungshandlungen selbstständig unter Strafe gestellt werden. Damit hier alle das Konzept verstehen, wenn Strafbarkeit auf Vorbereitungshandlungen ausgedehnt wird, möchte ich das mal kurz erläutern. Grundsätzlich ist es so, wenn wir ein Tatablauf haben, dann haben wir Vorbereitung dies in der Regel straflos. Wir haben dann die Situation, wo der Täter in den Versuch, mit dem Versuch beginnt, in das Versuchsstadio eintritt und wenn der Erfolg ist, dann haben wir irgendwann eine Vollendung und dann haben wir bei bestimmten Delikten noch eine B-Endigung. Vorbereitungshandlungen sind in der Regel nicht strafbar. Ich nehme ein Beispiel, wenn also jemand sich überlegt, ich möchte jemanden anders kräftig treten, sozusagen nicht strafbar. Wenn sich die Person jetzt ihre schweren Bergstiefel anzieht, damit es auch richtig weh tut, dann ist das auch noch nicht strafbar. Dann sind wir noch in der Vorbereitungshandlung und bei der Körperverletzung ist die Vorbereitungshandlung eben straffrei. Wenn dann die Person tritt und aber nicht trifft beispielsweise, dann werden wir im Versuch beginnt, wenn nach der Sicht des Täters das Unmittelbare jetzt geht es los, überschritten ist. Also wenn ich aushole, um zu treten und ich trete daneben oder Fall hin oder was auch immer, dann bin ich also im Versuch und der ist bei der Körperverletzung auch strafbar und der Strafe gestellt. Wenn jetzt jemand beispielsweise gegen ein Auto treten will, um da eine Beule reinzumachen und das Auto fährt rechtzeitig weg und er tritt daneben, dann wäre das auch ein Versuch, aber der Versuch ist bei der Sachbeschädigung nicht strafbar, gesetzgeberische Wertung. Wir haben also die Wertung, dass der Versuch bei allen Verbrechen strafbar ist, das sind Taten, die mindestens mit einem Jahr bedroht sind und ansonsten nur, wenn es der Gesetzgeber ausdrücklich geregelt hat und alles was in den Vorbereitungshandlungen ist, ist nicht von Strafe, ist nicht strafbar. Also wer in den Großshop geht, um sich Pflanzen, Pflanzen, Bewässerungsanlagen und all sowas zu kaufen um nachher Cannabis anzubauen beispielsweise, der macht sich durch den Erwerb dieser Sachen noch nicht strafbar. Da mussten erst weitere Akte hinzukommen. Hier aber explizites Interesse des Gesetzgebers eben schon Vorbereitungshandlungen unter Strafe zu stellen. Und so sieht der heutige 202C aus. Da heißt es auch, wer eine Straftat nach 202A oder 202B vorbereitet und jetzt kommen zwei mögliche Tat, Alternativen, erstens Passwörter oder ähnliches oder hier Nummer zwei und das ist worum es hier mir heute geht, Computerprogramme deren Zweck die Begehung einer solchen Tat ist und jetzt kommen die einzelnen Tatmodalitäten, Tathandlungsmodalitäten herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht. Der wird also mit Geldstrafe oder mit Freiheitsstrafe bis zu zwei Jahren bestraft. So, diese Ausweitung der Strafbarkeit versteht man nur, wenn man auch den 202A und den 202B deren sozusagen auf die die Tat abzielen muss, wenn man da kurz reingeschaut hat. 202A ist das Ausspähen von Taten. Es ist also das Zugang verschaffen zu besonders gesicherten Daten und zwar unberechtigt im Zugang, auch so digitaler Haus Friedensbruch genannt und tatsächlich schon durch das zweite Gesetz zur Bekämpfung der Wirtschaftskriminalität Mitte 86 ins Gesetz gekommen, damals allerdings noch mit ein bisschen anderen Wortlaut und hat seine heutige Fassung durch das 41. Strafrechtsänderungsgesetz mit dem auch der 202C der Heckerparagraf erlassen wurde. Also, wir haben sozusagen als Taten, auf die ich jemand diese Programme herstellen oder Ähnliches muss, einmal das Ausspähen von Daten 202A und 202B, das Abfangen von Daten. Hier ist also nicht nötig, dass besondere Sicherungsmaßnahmen vorhanden sind oder umgangen werden. Hier reicht es ab des Daten, die übermittelt werden. Wir haben mittelstechnischer Mittel abgefangen werden. Und nur als kleiner Hinweis, wir haben ähnliche Vorbereitungshandlungen, die unter Strafe gestellt sind, auch woanders in dem Computer oder IT-Delikten, einmal bei der Datenveränderung, wo es im Absatz heißt, für die Vorbereitung einer Straftat nach Absatz 1 gilt der 202C entsprechend und wir haben das nochmal in der sogenannten Computersabotage 303B. Wen das interessiert, kann sich das mal in Ruhe anschauen, auch da über ein Verweis auf entsprechende Anwendung von 202C, sozusagen Vorfeldkriminalisierung von Vorbereitungshandlungen, die sonst nicht strafbar werden. Zurück zum Paragrafen 202C, zum Heckerparagraf. Das Problem ist hier, dass also Computerprogramme deren Zweck die Begehung einer Tat des Ausspellens oder Abfangs von Daten ist, jeglicher Umgang damit unter Strafe gestellt ist. Und es fragt sich ein bisschen, was man darunter verstehen soll oder was man darunter nicht verstehen soll. Hier kam eben sozusagen eine Moderation, die Frage, ich habe Nmap, ein durchaus mächtiges Tool, mache ich mich schon strafbar, wenn ich das auf meiner Linux-Distribution habe oder nicht, das Gesetz verlangt, dass der objektive Zweck des Programmes eine Straftat des Ausspellens oder Abfangs von Daten ist. Problem, Programme oder Gegenstände haben kein objektiven Zweck. Programme und auch Gegenstände haben Eigenschaften um Beispiel zu nennen, eine Pistole hat die Eigenschaft, dass sie also ein Projektil sehr schnell mit hoher Energie aus dem Lauf schießen kann. Und ob damit jemand auf eine Zielscheibe aus sportlichen Gesichtspunkten oder aber auf Menschen schießt, ist nicht Zweck dieser Pistole, sondern das liegt eben, das Zweck gibt eine Person diesem Gegenstand oder dem Programm, was an sich nur Eigenschaften hat, die eben für bestimmte Zwecke gebraucht werden können. Insofern etwas unklar, was hier erfasst ist und was nicht erfasst ist nach den Verlautbarungen der Bundesregierung, sollen also klassische oder typische Hacker-Tools erfasst sein. Es sollen aber nicht erfasst werden Programme, die auch anderen Zwecken dienen können, sogenannte Dual-Use-Tools oder Dual-Use-Programme. Und das heißt, dass dieser objektive Tatbestand der Strafbarkeit, der Zweck dieses Programmes, also doch subjektiv bestimmt werden muss. Und genau an dieser Stelle liegt das Problem. Das Ganze war, meine ich, wenig überraschend, Gegenstand von verfassungsbeschwerden, individual verfassungsbeschwerden vom Bundesverfassungsgericht, die mit einem, dieses Verfassungsgericht nicht angenommen hat. Und ich habe hier die Aktenzeichen aufgeschrieben, wer das nachlesen will, findet das gleich im Internet. Das Bundesverfassungsgericht hat gesagt, die drei Beschwerdeführer sind nicht gegenwärtig, selbst gegenwärtig und unmittelbar beschwert. Ich möchte kurz erklären, auch was das Bundesverfassungsgericht dazu ausgeführt hat. Geklagt hatten oder verfassungsbeschwerden oben hatten drei Personen. Das eine war ein Hochschullehrer, der gesagt hat, er nutzt also viele Tools, die ja seinen Studenten, Studentinnen zur Verfügung stellt, die man zum Teil auf seiner Webseite runterladen kann. Unter anderem auch das Programm N-Map. Und der hat, ist davon ausgegangen, er macht sich schon strafbar. Zweiter Beschwerdeführer war der Geschäftsführer einer Sicherheitsfirma, die Penetrationstests durchgeführt haben und dafür auch Hacker Software oder Software aus anonymem Hackerforen verwendeten. Und ich war der dritte Beschwerdeführer, weil ich gesagt habe, ich benutze Linux und ich habe hier eine Menge Tools auf jeder Linux-Distribution, wie beispielsweise N-Map, wo ich doch eigentlich davon ausgehen kann. Das kann man für kriminelle Zwecke verwenden. Ich weiß auch nicht, wie es mit welchem Hintergedanken das geschrieben wurde. Und ich fühle mich hier letztendlich auch bedroht davon. Das Bundesverfassungsgericht verlangt selbst, dass der Beschwerdeführer selbst unmittelbar und gegenwärtig betroffen sind. Und das liegt insbesondere vor, wenn also bei einer möglichen nicht fernliegenden Auslegung dieses Tatbestandes das Risiko gegeben ist, dass man sich strafbar macht. Dem hat das Bundesverfassungsgericht aber letztendlich eine Absage erteilt. Und zwar hat das ausgeführte Dual Use Tools grundsätzlich nicht erfasst sind, hat weiter ausgeführt. Der Zweck ist eben nichts Objektives letztendlich, was dem Programm inne wohnt, sondern beschreibt Beweggrund und Ziel einer Handlung und nicht das Programm selber. Und das ist dann jetzt wieder natürlich subjektiv festzustellen und muss aber, muss sich äußerlich feststellbar manifestieren. An der Gestaltung des Programmes selbst, was auch immer ich mir jetzt darunter vorstellen soll, oder eben an einer eindeutig auf illegale Verwendung abzählenden Werbung oder Vertriebsweise. Gleichwohl meine ich es auch, das weiterhin recht unbestimmt. Was macht daraus so die Literatur, wenn wir in die juristische Kommentierung gucken, ich zitiere mal aus schön geschröder, da heißt es dann eigentlich entsprechend bei Programmen, deren funktionaler Zweck nicht eindeutig kriminell ist und die erst durch ein missbräuchlicher Anwendung zu einem Tatwerkzeug werden, klammer auch vor allem Dual Use Tools wie Passwort Scanner und Netzwerksniffer, klammer zu, ist der Tatbestand nicht verwirklicht und dann mit Verweis auf verschiedene Bundestagsdrucksache und verschiedene andere Gerichtsentscheidungen. So, in der Praxis macht das allerdings immer noch, das finde ich äußerst unbestimmt und macht Schwierigkeiten und wir wollen uns jetzt nach diesem kurzen, sage ich mal, juristischen Teil mal anschauen, wie sieht es hier in der Praxis aus? In der Praxis hat der 202c tatsächlich eine geringe Bedeutung. Ich habe hier zur Vorbereitung mal bei Juris, das ist eine juristische Entscheidungsdatenbank, weil die Gerichtsurteile veröffentlicht werden geschaut, was es denn da gibt und war erstaunt, dass Juris insgesamt, für die es seit 12 Jahren, vor 12 Jahren erlassene Gesetz, 8 Entscheidungen kennt. Davon ist natürlich eine Entscheidung, die Entscheidungen des Bundesverfassungsgerichtes, eine Entscheidung ist vom Verwaltungsgericht Hannover, da ging es um Pressefreiheit und Äußerung eines Oberbürgermeisters. Und dann haben wir sechs Zivilurteile, also von Zivilgerichten, da geht es zum Beispiel um die fristlose Entlassung eines GmbA-Geschäftsführers wegen Falschabrechnung von Auslagen und Herunterladen von Hacker-Software auf sein Dienstlaptop. Und es gibt tatsächlich nur eine einzige Entscheidung aus dem strafrechtlichen Bereich, ein Beschluss des ONG Kölns und da ging es nicht um die Verurteilung jemanden, der mit solchen Programmen gehandhabt hat, umgegangen ist, sondern das ist ein Beschluss in einem Klagererzwingungsverfahren. Klagererzwingungsverfahren ist ein Verfahren, wenn ich verletzt seiner Straftat bin und ich zeige die an und die Staatsanwaltschaft stellt ein, dann gibt es Klagererzwingungsverfahren, die in so einem Vorschalt beschweren. Ich beschwere mich erst mal und sage, liebe Staatsanwaltschaft, das müsst ihr doch verfolgen. Und wenn dann die Beschwerde auch, wenn der nicht abgeholfen wird durch die Generalstaatsanwaltschaft, dann kann ich mich ans Gericht wenden im Klagererzwingungsverfahren und sagen, liebes Gericht, das muss doch verfolgt werden. Weiß bitte mal sozusagen die Verfolgungsbehörden, anders zu tun. Also die einzige strafrechtliche Entscheidung ist eine solche, sozusagen bringt uns da auch nicht weiter. Was kann man noch sagen zur, sozusagen, Relevanz, die polizeiliche Kriminalstatistik für 2018 gibt für den Ganzen für die vierdelikte Ausspänen, Abfangen von Daten, einschließlich Vorbereitungshandlung, 202 C und die Datenhehlerei, 8762 Fälle an, also für vier verschiedene Strafnormen. Mal im Vergleich, Körperverletzungs-Taten haben wir ein bisschen mehr als 554.653 Fälle. Um sozusagen klar zu sagen, die Gefahr, Opfer einer Körperverletzung zu werden, ist also ungleich größer als hier, Opfer von Ausspänen oder Abfangen von Daten zu werden. Und ich habe lange gewartet, tatsächlich, dass auch sich jemand mal an mich meldet und sagt, ich habe hier ein Ermittlungsverfahren 202 C STGB und ich habe letztes Jahr ein Fall gehabt, der dieses Jahr erledigt hat und den möchte ich hier ein bisschen vorstellen. Da geht es um eine Software, die heißt WebMonitor von RevCode. Und Ermittlungsbehörde war die Zentralstelle Cybercrime Bayern, ZCB in Bamberg bei der Generalstaatsanwaltschaft angesiedelt. Das ist also eine spezielle Abteilung, die personell ziemlich gut ausgestattet ist. Vier Oberstaatsanwälte, vier Staatsanwälte als Gruppenleiter, zwei weitere Staatsanwälte und Geschäftsstellen. Und nach Selbstverständnis auf der Webseite ist diese Zentralstelle Bayernweit zuständig für die Bearbeitung herausgehobener Ermittlungsverfahren im Bereich der Cyberkriminalität. Was war hier das Problem? Ein Beamter fand also in einem Forum, und zwar bei Hackforums.net, ein Thread über den WebMonitor, der dort als Fernwartungssoftware, Remote Administration Tool Red angeboten wurde. Und hier heißt es dann zum Anlass der Ermittlungen, dass dort diese Software in einem nicht-öffentlich zugänglichen Forum angeboten wurde. Das ist das Erste, was schlichtweg falsch ist. Hackforums hat etwa 3 Millionen Nutzer, zumindest nach der Wikipedia. Und da, man muss sich registrieren, sozusagen jeder kann sich registrieren, wenn man die Nutzungsbedingungen akzeptiert. Und dann kann auch sich jeder diesen Thread anschauen und lesen, was da gepostet wurde. Ich bin hier ein bisschen zu weit, dann muss noch mal zurückgehen. So, hier war ich. Also ein Remote Administration Tool. Dann hat sich da wohl jemand gedacht, da muss ich mal weitersuchen und fand einen Blockeintrag, aus meiner Sicht aus einem nicht unbedingt seriös, anzusehenden Block, in dem ziemlich reißerisch behauptet wird, dass also diese Software bei einem CEO-Fraud genutzt worden wäre, ohne irgendwelche Beweise zu bringen. Und sagt, das wäre also Mailware, die sich als legale Software tarnet. Auch dafür keine Beweise. Es geht letztendlich in erster Linie darum, wie ist sie programmiert, ist sie gut programmiert, ist sie sehr programmierbar, ist sie programmiert und ähnliches. Darauf wurden Ermittlungen eingeleitet. Und zwar vom Bayerischen Landeskriminalamt, Sachgebiet 542, unter der Leitung der Generalstaatsanwaltschaft Bamberg, Zentralstelle Cybercrime Bayern. Die haben sich also diese Software gekauft, haben sie in ihrem eigenen Mailware-Labor untersucht, oder das, was man da wohl Untersuchung nennt, und kommen dann dazu, ich zitiere mal, da es sich in diesem Fall in erster Linie nicht umreines, ein reines Hackertool gemäß Paraf 202C, Absatz 1 Nummer 2, STGB handelt, wird von der Sachbearbeitung anschließend rechtlich geprüft, ob es sich hierbei um ein legitimes Computerprogramm oder um eine kriminelle Schadsoft-Werklammer auf, Englisch-Mail-Werklammer zuhandelt. Hier steht schon drin, es ist kein reines Hackertool. Dann ist es wohl automatisch ein Dual-Use-Tool und wie Bundesverfassungsgericht zumindest die Auffassung vertritt und viele andere auch, dann ist es kein taugliches Tatobjekt. Aus meiner Sicht hätte hier eigentlich gesagt werden müssen, wir klappen die Akte zu und wenden uns einem anderen Fall zu. Nicht aber hier so, die haben also festgestellt, es gibt noch offizielle Webseite, die hat lautet auf eine EU-Domain und dann war sich das bayerische LKA, war dann der Meinung, dass hier die Leute, die dahinter stehen, ihre wahre Identität verschleiern würden. Und zwar, hierfür spricht Folgendes, das wäre auf dem nicht öffentlich zugänglichen Hackforums net beworben wurden, das ist schlichtweg falsch, das ist öffentlich. Die wahre Identität des Anbieters wäre verschleiert worden. Keine Begründung kommt nachher noch. Fehlendes Impressum auf der Webseite, das ist wohl ein Verstoß gegen fünf Telemediengesetz, aber dient nicht der Verschleierung, denn die Webseite war offiziell registriert, die hatten auch sofort Name, Adresse, der Person, die registriert hatte, also der WHOIS-Eintrag war vollständig und korrekt. Haben Sie auch festgestellt, gut, die Domain wurde bei einem russischen Registrar registriert, das fanden die sehr merkwürdig, wie gesagt, sie wurde mit dem richtigen Namen der richtigen Anschrift registriert. Der Hoester war in der Ukraine, der hatte wohl ein gutes Angebot gemacht, nach Auffassung des bayerischen Landeskriminalamts, also dient es der Verschleierung. Und dann schreiben Sie eingebettete Links zu Facebook, Twitter und YouTube führen auf nicht existente Webseiten, das ist auch falsch, die war also auf der Webseite schon die Buttons, aber es gab noch keine Registrierung, sodass die auf die Startseiten jeweils von Facebook, Twitter und YouTube führten. Und so liest sich das hier munter weiter. Die Staatsanwaltschaft hat sich einen Hausdurchsuchungsbeschluss geholt, in dem es dann schon heißt, dass hier so ziemlich sicher ist, dass also die vertriebene Software, eine Schadsoftware ist und erkennbar nur zum Zweck entwickelt wurde, dass der Verwender unbemerkt die Kontrolle über fremde Rechner bekommt und daraufhin wurde durchsucht. Ich muss ein bisschen auf die Zeit schauen, aber da möchte ich kurz was sagen. Richtervorbehalt, richterlicher Durchsuchungsbeschluss, wir haben zurzeit mal wieder große Diskussion, sollen nicht Ordnungswidrigkeiten, Behörden, Zugangsdaten, Passwörter bekommen, neueste Idee der Bundesregierung, und zwar auch schon Ordnungswidrigkeiten bei Ordnungswidrigkeiten. Und dann wird gesagt, naja, das Ganze hat doch ein Richtervorbehalt. Wie funktioniert das, wenn ein richterlicher Beschluss gefasst wird? Der Ermittlungsrichter bekommt also seinen Antrag von der STA auf den Tisch gelegt und kriegt dann eine Akte dazu, und dann hat er zwei Möglichkeiten. Entweder er oder sie zeichnet das ab. Oder sagt, naja, das finde ich alles komisch, und jetzt fange ich mal an in der Akte zu lesen, und jetzt steige ich mal in die Prüfung ein, und dann sage ich vielleicht, nee, den Alas dieses Beschlusses lehne ich ab. Das ist mit viel Aufwand verbunden, und man kann es, meine ich, unseren Ermittlungsrichterinnen und Richtern nicht nachsehen, wenn da stapelweise Anträge reingetragen werden, dass sie die irgendwie lesen schauen. Das Schlüssel, ich klingte es vernünftig, und das dann abzeichnen. Und wenn hier gesagt wird bei einer Software, die selbst das LKA ganz klar sagt, es ist keine reine Schadsoftware, ich sage dann, es ist automatisch Dual Use, und damit fällt es nicht unter 2 und 2 C. Wenn ein Richter mitgeteilt wird, dient erkennbar diesen Zwecken und zu nichts anderen als kriminellen Straftaten, kann ich zumindest in gewisser Weise verstehen, wenn das abgezeichnet wird. Umkehrschluss, wenn wir hier gerade eine aktuelle Diskussion haben, ob nicht Passwörter herausgegeben werden sollen, und dann heißt es ja, ja, da haben wir doch ein Richtervorbehalt, das wird auch kontrolliert. Muss man deutlich sagen, diese Kontrolle ist eine sehr niederschwellige Kontrolle und absolut kein ernstzunehmender Schutz für die Rechte des einzelnen Bürgers und der Bürgerinnen. Kurz nur zur Hausdurchsuchung, wie so was abläuft. Die Beamten kamen in Zivil mit mehreren Fahrzeugen, kamen in Zivil mit einem Paket unter, der hatten wollten, meinen Mandant sprechen, der nicht selber an die Tür gegangen ist, sagten dann, nee, das müssten sie dem schon selber übergeben. Es waren wohl drei Leute anwesend im Haus oder in dem Objekt, was durchsucht wurde. Nachdem sich also alle ausgewiesen hatten und alle wussten, wer ist der andere, konnten sich, haben sich die Beamten nicht nehmen lassen, dann ihre Westen anzuziehen, mit der sie als Polizisten zu erkennen sind. So, dass sozusagen alle Nachbarn in einem Dorf, als sie dann angefangen haben, dort alles rauszutragen, was es rauszutragen gab, sofort gesehen haben, nicht sich nur gewundert haben, wie so sind da so viele Autos, sondern haben dann auch noch gesehen, oh, das ist die Polizei. Völlig unnötig hatten, bleiben einen Eindruck hinterlassen im Dorf, das sind dann so die kleinen Nebenerscheinungen von solchen Veranstaltungen. Meine Mandanten wurden alles beschlagnahmt, was man irgendwie wegtragen konnte, alle Computer und die Braucher zum Arbeiten, alle Speichermedien, die bei ihm zu Hause gefunden wurden, USB-Platten, Speicherkarten, USB-Sticks, alles, alle Mobiltelefone, haufenweise Schriftstücke wurden rausgetragen, es wurden beschlagnahmt, weil das im Vorfeld ermittelt wurde, welches Server hat der Mann registriert, es wurden 12 Server beschlagnahmt, bei Drittanbietern, es wurden E-Mail-Post-Fächer beschlagnahmt, weil vorher ein bisschen geguckt wurde, was gibt es da so für E-Mail-Adressen? Und dann wurde, weil es Zahlungen gab, über PayPal auch da, die ganzen Sachen überall mit den korrekten, vollständigen Daten angemeldet, gab es ein Vermögensarrest und im Rahmen des Vermögensarrests wurde dann Zersicherung der Vermögenswerte sämtliche Bankkonten gepfändet, alles Geld mitgenommen, was bei ihm gefunden wurde und selbst eine Armbanduhr eingesammelt. Dazu muss man sagen, es gilt natürlich die Unschuldsvermutung, wir sind immer Mittlungsverfahren und das sind Maßnahmen, die jeden, der nicht jemand hat, der ihn da aufhängt, jeder normale Mensch, der nicht Solidarität dann erfährt ist, würde ich sagen, schlichtweg ruiniert. Die Krankenkasse wird nicht mehr bezahlt, die Miete wird nicht mehr bezahlt oder alternativ, dann sage ich mal, die Rate fürs Haus oder für die Eigentumswohnung, wenn man ein Fahrzeug hat und die Versicherung muss abgebucht werden zum Jahreswechsel, dann schied das nicht. Kfz-Steuer wird nicht mehr abgebucht, also wenn man ein Leasing-Fahrzeug hat, dürfte da sofort die Kündigung kommen, größtmögliche Katastrophe. Amtsgericht und Landgericht haben tatsächlich die Beschlagnahmen bestätigt, haben auch noch ausgeführt, ja, wir haben zwar nach langer Zeit, wissen wir immer noch nicht sicher, ob diese Computer tatsächlich Tatmittel sind, aber sie würden ja kommen ja immer noch an die Einzelungsgegenstände, Wertersatz-Einzelungsgegenstände in Betracht, nämlich wenn sie angeschafft wurden, aus rechtswidrig, aus durch die Tat erlangtem Geld. Und es geht hier ja darum, letztendlich, es ist sozusagen, ja, subjektiv festzustellen, was hat sich jemand gedacht, der diese Software entwickelt hat oder der sie vertreibt oder verkauft? Und um diese subjektive festzustellen, braucht man Dinge wie beispielsweise Kommunikation mit möglichen Kunden oder möglichen Interessenten. Problem war, sämtliche digitale Kommunikation war beschlagt und dann bin ich da auch nicht mehr in der Lage, besonders irgendwas vorzulegen, was mich entlastet. Es gab dann aber irgendwann einen Auswertevermerk, in dem es heißt, es ist zu erkennen, dass sowohl Person 1 als auch Person 2, also sozusagen Leute, die wie Sie der Strafverfahrensbehörden waren, legale Verkaufsabsichten führt. Das waren also Unterlagen, meine Mandanten standen die gar nicht zur Verfügung. Da hatte jemand ein Jahr vorher Mitte 2017. Also angefragt, hey, I'm looking to hack certain accounts. Can this get accounts that people have saved as login, because as you know, if they don't have to enter their info anymore, how will I key log it? Understand? Also fragt jemand, ich will hier Computer hacken, wo wahrscheinlich die Passwörter nicht mehr eingegeben werden, kann ich die da irgendwie aus dem System generieren. Und mein Mandant schrieb zurück, sorry, but you mentioned you would like to hack certain accounts. Our legal guidelines do not allowed to communicate further on this basis. Er hat also ganz klar gesagt, solche Anfragen beantworten wir nicht. Das ist hier nicht unser Geschäft, so was wollen wir nicht. Das hat an einer anderen Person auch noch geschrieben, sozusagen im Nachgang, I wonder what some users think. Was denken die sich eigentlich da draußen, was wir machen? Das war dann schon mal schön, dass zumindest in einem Bericht oder in einem Auswertbericht vom LKA steht es erkennbar, dass die legale Verkaufsabsichten verfolgen. Gab auch ein paar andere Dinge. Gleichwohl der Abschlussbericht des LKA sagt dann, aber sozusagen diese legalen Verkaufsabsichten widerlegen jedoch nicht, dass es sich nicht doch um ein nicht reines Dual Use Tool handelt. Also hier wieder auch diese abstruse Unterscheidung, reines Dual Use Tool und nicht reines Dual Use Tool, die aus meiner Sicht nach dem Bundesverfassungsgericht nicht zulässig ist. Es war dann auch so, dass es eben um viele andere, es ging dann um bestimmte Dinge, wie die Installation, das hat die da sehr gestört. Den war aber auch nicht bekannt, dass beispielsweise TeamViewer auch eine Silent Installation hat und ähnliches. Letztendlich läuft es immer so, die Polizei schließt das Ermittlungsverfahren ab, gibt es dann an die Staatsanwaltschaft und die Staatsanwaltschaft hat tatsächlich nach sieben Monaten eingestellt, nach 170 Absatz 2. Zum Glück meines Mandanten, der tatsächlich überaus glücklich war, ganz erheblich belastet hat und er durfte dann seine Sachen abholen und hier sieht man mal, wie ein Mobiltelefon aussieht, wenn es also das LKA hatte, um die Daten auszuwerten, auseinandergerupft, oben sieht man irgendwie einen Chip, der raus gelötet oder entfernt wurde und hier eine Festplatte. Man sieht, die wurde aus dem Gehäuse geschraubt und da gab es wo keine Kapazitäten, passend hier zum Motto des Congresses Resource Exhaustion, da hatten sie scheinbar keine Kapazitäten, das musste man dann machen. Der Spuk war sozusagen fast zu Ende, es laufen noch, es läuft noch ein Entschädigungsverfahren nach dem Strafrechtsentschädigungsgesetz, da sind wir noch nicht ganz am Ziel. Ich bin sehr knapp hier mit der Zeit, ich will das Ganze abschließen, weil das sicher eine Frage ist, die Leute sich stellen, die mit Software hantieren, schreiben, entwickeln, testen, die letztendlich sagen, ich bin hier vielleicht in dem Bereich, da mache ich mich aus meiner Sicht nicht strafbar, aber das eine oder andere Landes-LKA sieht das vielleicht ein bisschen anders, so wie hier in unserem Fall. Also was sind Schutzmaßnahmen für alle, die mit solchen Dingen umgehen? Ich meine das ernst, nicht im falschen Forum posten, man hält sich am besten von allem fern, wo irgendein LKA-Beamter denken könnte, wenn irgendwas Heckforums heißt, dann sind das da alles nur Kriminelle, auch wenn ich das hochgradig abwege, ich finde. Man sollte nach Möglichkeit ausschließlich legale Nutzungsmöglichkeiten darstellen und am besten gar nicht auf illegale Nutzungsmöglichkeiten eingehen und selbst bei der Formulierung von Warnhinweisen gibt es strafrechtliche Literatur, die sagt äußerste Vorsicht da, damit einem das nicht ausgelegt wird, dass jemand durch seine Warnhinweise in Wirklichkeit dieses Produkt für illegale Nutzungen bewerben will. Ulrich, die Zeit ist leider vorbei, wir haben auch keine Zeit für Q&A. Vielen, vielen Dank für dein Vortrag und ich glaube, das ist dein Applaus. Ja, ist klar. Ein Satz hier. Okay, vielen Dank. Wenn jemand Fragen hat im Nachgang, kann mir gerne eine E-Mail schreiben, ich kann die nicht immer in voller Länge vielleicht beantworten, aber das ein oder andere versuche ich immer einzuschieben. Also wen dieses Thema weiter interessiert, wer selber betroffen ist, wer sich nochmal vergewissern will über irgendwas, wer weitere Literaturhinweise braucht, kann sich gerne an mich wenden, bin im Internet zu finden, nicht mit dem gleichnamigen Rechtsanwalt aus Hannover verwechseln, das ist das erste Satz. Danke schön. Ulrich Kerner Berlin.