Vorgestern hatte die Generalstaatanwaltschaft Frankfurt am Main 13 Wohnungen in Deutschland (und weitere im Eurpoäischen Ausland) durchsuchen lassen. Den Wohnungsinhabern werden Verstöße nach §§ 263a Abs.1, Abs. 4, 202a Abs.1, 202c Abs. 1 StGB vorgeworfen:
- Computerbetrug,
- Ausspähen von Daten und
- Vorbereiten des Ausspähens und Abfangens von Daten.
Verschiedene Agenturen, hier zitiert vom SPON, haben darüber berichtet, ich habe hier eine erste Stellungnahme dazu geschrieben. Auch die Strafrechts-Blogger Andreas Jede und Udo Vetter haben sich dazu geäußert.
Anlaß für die Einleitung des Ermittlungsverfahrens war der Kauf von „DroidJack“, eine Software, die es ermöglichst, die Kontrolle über ein Smartphone zu übernehmen: Ein „Remote Administration Tool“ (RAT).
Allein der Ankauf, von dem die Ermittler erfahren hatten, löste diese bundesweite Razzia aus.
Mir liegt nun der Durchsuchungsbeschluß des Amtsgerichts Gießen vom 14.10.2015 vor. Er trägt die typischen Merkmale dafür, daß der komplette Text nicht vom unterzeichnenden Richter, sondern vielmehr vom Staatsanwalt formuliert wurde, der den Erlaß dieses Beschlusses beantragt hat. Das ist ein übliches Vorgehen in der Jusitz: Die Ermittler sind in den Sachverhalt ein- und der Ermittlungsrichter überarbeitet. Die vom Gesetzgeber installierte Kontrolle der Exekutive durch das Gericht wird auf diesem Wege ins Leere geführt.
Was wollten die Ermittlungsbehörden erreichen?
Das formulierte Ziel der Ermittler war und ist die Sicherstellung von IT-Hardware, also
- Computer,
- Laptops,
- Mobiltelefone,
- Server,
- externe Festplatten und
- sonstige elektronische Speichermedien.
Von Bedeutung ist selbstredend die Kopie bzw. Installation von „DroidJack“ selbst. Aber auch die unter „Nutzung der Schadsoftware ausgespähte persönliche Daten der Opfer“. Auch schriftliche und elektronische Dokumente zum Erwerb und Einsatz von „DroidJack“, sowie Passworte und Hinweise auf beweiserhebliche Daten in der Cloud.
Nebenbei gesagt:
Die Behörden gehen also an dieser Stelle schon fest davon aus, daß es „Opfer“ gibt. Das ist das Niveau, auf dem üblicherweise der Boulevard berichtet. Hey, Herr Staatsanwalt! Opfer gibt es nur, wenn es Täter gibt. Und das stellt ein Richter irgendwann nach einer Beweisaufnahme vielleicht einmal fest. Die Verwendung des Begriffs „Geschädigte“ an dieser Stelle des Verfahrens, hätte signaliesert, daß Sie ihre Aufgaben ernst nehmen und professionell arbeiten.
Was steht nun drin in dem Beschluß, dessen Text auf zwei Seiten paßt?
Es sollen Anhaltspunkte dafür vorliegen, daß der Beschuldigte 2014 das Tool „Droidjack“ für 200 $ gekauft hat. (Liebe Zivilrechtler: Steht damit eigentlich auch schon fest, daß er es auch erhalten hat? #Abstraktionsprinzip)
DroitJack soll eine Schadsoftware sein, ein sogenanntes Remote Administration Tool (RAT).
Die Feature dieses Tools seien
- FileVoyager,
- SMS-Trekker,
- Call Manager,
- Contacts Browser,
- Remote Ears,
- Remote Eyes,
- GPSLocator
- Message Toaster und
- App Manager.
Diese Funktionen werden mit jeweils einem kappen Satz beschrieben.
In drei Zeilen wird beschrieben, wie DroidJack auf das Smartphone gelangt, also wir die „Infektion“ und „Injektion“ erfolgen sollen.
Mitgeteilt wird auch, daß DroidJack konspirativ konzepiert sei: Selbst versierte Smartphone-Nutzer sollen nichts merken, wenn sie gehackt worden sind. (Woher wissen die das? Dazu unten mehr …)
Wie lautet der konkrete Tatvorwurf?
Behauptet wird, daß Droidjack kein sog „dual-use“-Tool sei, was legal und illegal eingesetzt werden kann. Ausschließlich (!) die Vorbereitung und Begehung von kriminellen Handlungen sei damit möglich.
Gegründet auf diese unsinnige Behauptung wird eine Wahrscheinlichkeitsrechnung aufgemacht: Wer eine „only-bad-use“-Schadsoft kauft, mit der man ausschließlich (!) Straftaten begehen kann, der begeht damit sehr wahrscheinlich auch diese Straftaten.
Doch, einen Beleg für diese Behauptung hat die Staatsanwaltschaft gefunden: Im Zusammenhang mit dem Übertragen der Software auf das entfernte Smartphone wird der Begriff „victim“, also Opfer, genutzt. Na gut, das ist natürlich ein schlagender Beweis; wenn das so in der Bedienungsanleitung steht …
Wie sieht die Beweislage aus?
Hauptgrundlage des Verdacht sind nicht etwas konkrete Belege eine Inbetriebnahme der Software durch den Beschuldigten. Sondern – tätäääh –
- die Berücksichtigung kriminalistischer Erfahrungswerte im Phänomenbereich Cybercrime.
Wenn der Beschuldigte die Schadsoftware, die geeignet ist zur Vorbereitung von Computerbetrugsstraftaten und Datenausspähungen besitzt, dann beabsichtigt er auch, sie dazu einzusetzen, „um Daten, insbesondere fremde digitale ldentitäten, auszuspähen und Computerbetrugsdelikte mittels Einsatz des infizierten Systems zu begehen.“
Übrigens:
Das wichtigste Intrument der kriminalistisch Erfahrenen steht auch bei uns in der Kanzlei.
Motivation für die weiteren Ermittlungen
Im letzten Absatz der Fake-Begründung des Durchsuchungsbeschlusses setzt noch einmal eine Motivationsphase an. Der Autor (Staatsanwalt? Richter? S.o.) beschreibt den „primären Nutzen“ fremder Zugangsdaten und was man damit alles in „Webportalen wie Amazon, Ebay“ anstellen könnte. Beschrieben wird, welche Möglichkeiten man mit Kreditkartendaten hätte: „Unter fremder Identität betrügerisch Waren und Dienstleistungen entgegen zu nehmen, ohne die Gegenleistung aus eigenem Vermögen erbringen zu müssen“. Abfangen von TANs, „um Phishing-Delikte im Online-Banking zu begehen“.
Mit schlecht angespitzten Buntstiften gemalte Stimmungsmache ohne jede rechtliche Relevanz für den massiven Eingriff in Grundrechte.
Doch noch ein „Beleg“ für die kriminelle Energie des Beschuldigten?
Er hat den Wahnsinnsbetrag von 200 Dollar ausgegeben. Diese Investion muß sich amortisieren. Und weil es keine Anhaltspunkt für den Erwerb der Schadsoftware zu legalen Zwecken gäbe, will der Beschuldigte ausspähen und betrügen. Nein, kein Beleg, sondern ein Zirkelschluß.
That’s all, Folks!
Was steht nicht drin?
Es gibt keinen konkreten Anhaltspunkt dafür, ob der Beschuldigte die Software überhaupt bekommen hat und sie besitzt, ob er sie installiert und in Betrieb genommen hat, ob er fremde Smartphones damit angegriffen hat, ob ein Schaden entstanden ist, ob es „Opfer“ (korrekt: Geschädigte, s.o.) gibt.
Nichts Konkretes weiß man nicht. Und trotzdem nimmt man dem Beschudigten seine Hardware weg und – wenn es sich um einen IT’ler handelt, der seinen Lebensunterhalt mit den beschlagnahmten Rechner verdient – zerschießt ihm seine wirtschaftliche Existenz.
Und bevor die nun in den Katakomben des Landeskriminalamts lagernden Speichermedien analysiert wurden, hat Bill Gates sich auf seinen Altersruhesitz in Kalifornien zurück gezogen und züchtet dort Orchideen. Es sei denn, es kommt ein Verteidiger und macht den hessischen Ermittlern ein wenig Feuer unter ihre häßischen Kunststoffledersessel.
Besteht Hoffnung, dass die Verantwortlichen für diesen Schwachsinn ihre Jobs verlieren?
Wollen wir wetten, dass unter den 13 Personen, bei denen jetzt durchsucht worden ist, kein einziger braver IT-Sicherheits-Anbieter ist, der sich nur fortbilden oder „im Kundenauftrag“ irgendwas testen will?
Ich habe gestern ein Messer gekauft. Im Discounter. Mit Kartenzahlung…
Und wo das gelandet ist, da finden sich noch einige mehr.
Wenn dir mir nun also die Küche abholen, melde ich mich kurzfristig bei Ihnen.
PS: Fängt der Name des StA mit „S“ an und ist er kürzlich umgezogen?
[…] Carsten Hoenig und wir verfolgen als Strafverteidiger die Durchsuchungen im Zusammenhang mit DroidJack mit wachsendem Entsetzen. […]
„Die Behörden gehen also an dieser Stelle schon fest davon aus, daß es „Opfer“ gibt. Das ist das Niveau, auf dem üblicherweise der Boulevard berichtet. Hey, Herr Staatsanwalt! Opfer gibt es nur, wenn es Täter gibt. Und das stellt ein Richter irgendwann nach einer Beweisaufnahme vielleicht einmal fest. Die Verwendung des Begriffs „Geschädigte“ an dieser Stelle des Verfahrens, hätte signaliesert, daß Sie ihre Aufgaben ernst nehmen und professionell arbeiten.“
Na ja. Das Wort Opfer kommt durchaus auch im Bereich des Ermittlungsverfahrens vor. Schauen Sie mal in § 153a Abs. 1 StPO. Da ist auch von Täter und Tat die Rede. Der Gesetzgeber scheint die Verwendung des Begriffs also nicht so schlimm zu finden. Zudem könnten Sie genauso schreiben: Geschädigte gibt es nur, wenn es Schädiger gibt. Und das stellt ein Richter irgendwann nach einer Beweisaufnahme vielleicht einmal fest.
An den rechtschaffenen Bürger: Ich hatte keine Zeit zur Evaluierung dieses Tools, daher hab ich nochmal Glück gehabt. Da ich beruflich u.a. für den sicheren Betrieb von ein paar hundert Mobiltelefonen verantwortlich bin wäre eine solche Untersuchung aber sehr im Bereich des Möglichen gewesen.
Aus praktischen Gründen wäre der Kauf mit der privaten Kreditkarte bezahlt und vom Arbeitgeber erstattet worden – so braucht man wegen einem Einzelstück keine langwierigen Verhandungen darüber, ob die AGB von meinem AG überhaupt akzeptiert werden dürfen.
Somit habe ich nochmal Glück gehabt, daß hier nicht das SEK morgens zum Kaffee eingeladen werden wollte.
Es bleibt die Frage: Wie kann man diesen Staat auf demokratische Weise so verändern, daß solche Fehlleistungen nicht für den Verantwortlichen folgenlos bleiben?
Mir stellt sich die Frage, wie man denn eine etwaige Straftat mit Droidjack nachweisen möchte.
Haben die vermeintlich „Kriminellen“ die Software auf dem eigenen (beschlagnahmten) Handy, dann dürfte das legal sein. Das eigene Gerät kann man überwachen und manipulieren wie man möchte.
Die Geräte – möglicherweise betroffener – Dritter dürften bei einer solchen Durchsuchung wohl eher nicht einkassiert worden sein. Und wenn doch, kann die StA doch nicht einfach die Geräte Dritter, die offenkundig als Verdächtige nicht in Frage kommen, forensisch untersuchen.
Wie, zum Teufel, sollen mi der Beschlagnahme/Durchsuchung also Beweise gefunden werden? Etwa indem man darauf spekuliert der Angreifer habe die Zugangsdaten beim Webportal der Software in seinem Browser ungesichert gespeichert? Und will man die dann nutzen, um das Webportal auf Beweise auszuspähen?
Mir ist echt nicht klar, was man bei so einer Hausdurchsuchung finden will. Zumal: Leute die sowas benutzen sind nicht die üblichen User, sondern eher solche, die wissen wie man Daten verschlüsselt oder löscht.
Ich bin wirklich verwundert.
@IT-Leiter
Ein Anwalt argumentiert so wie oben geschehen. Er übertreibt eben masslos und wirft im gleichen Atemzug ebendies anderen, mit Vorliebe Strafverfolgungsbehörden, Finanzämtern, Verwaltungen pp., vor.
Ein IT-Leiter dürfte mit etwas mehr Sachverstand, mindestens aber mit etwas mehr Abstand argumentieren. Traurig finde ich, dass sie die einschlägigen Strafvorschriften überhaupt nicht kennen. Da sie ja so wichtig sind, dürften sie sich eigentlich täglich am Rande der einschlägigen Vorschriften bewegen.
Wie oft war das SEK schon bei ihnen?
Kennt jemand eine legale Verwendungsmöglichkeit dieser Software?
Oder noch besser: Kennt jemand jemanden, der sie tatsächlich legal verwendet?
Außerdem: Die kriminalistische Erfahrung ist nach gefestigter Rechtsprechung eine zu berücksichtigende Tatsache bei Erlass einer Durchsuchungsanordnung. Und sicher gibt es bereits »Opfer« bzw. »Geschädigte« oder von mir aus auch »Zeugen«, sonst wüsste man nichts davon. Wir sind im Stadium des frühen Ermittlungsverfahrens, das scheint übersehen zu werden. Der Zweck der Ermittlungen ist die Ausforschung, ob mögliche Straftaten begangen wurden, nicht nur die Verfolgung bereits solcher, die bewiesen sind.
Das Problem bei Strafverteidigern ist häufig, dass sie glauben, klüger zu sein als Staatsanwälte und Richter, das merkt man schon am Ton (nicht bei dem, der seinen Beitrag als Polemik bezeichnet); dem ist aber nicht allzu häufig so ;-) Es sind nicht nur die grundätzlich schlechteren Juristen, die Richter und Staatsanwälte werden.
Hast Du mal versucht, einen Schadensersatzanspruch in einem Fall durchzusetzen, in dem die Rechtswidrigkeit einer Durchsuchung und einer Beschlagnahme nachträglich festgestellt wurde? Wer bezahlt eigentlich den Verteidiger für seine erfolgreiche Arbeit im Ermittlungsverfahren, wenn das Verfahren eingestellt wurde? Der Durchsuchte, dem man seine EDV weggenommen hat. Einen Erstattungsanspruch gibt es – jedenfalls in praxi – nicht.
Und meist haben die Mandanten nach so einer Aktion gar nicht mehr die Mittel dazu, allein den Gerichtskostgenvorschuß ans Landgericht zu überweisen. crh
Bisher ist es nach meiner Kenntnis nur dem Herrn Magnus Gäfgen gelungen für staatlichen Terror so etwas wie eine Entschädigung zu erhalten.
Möglicherweise ist das der Weg um solches zumindest etwas einzubremsen. Es müsste sich allerdings erstmal ein Anwalt finden der dazu in der Lage ist ;)
@ Karsten Koch
Unzweifelhaft handelt es sich hierbei um eine Schadsoftware, deren Bestimmung ziemlich sicher nicht legal ist.
Wie schützen Sie sich gegen diese Software ? Und viel dringender: wie schützen sich Polizei und Justiz gegen diese Software ?
Vermutlich werden Sie einer weiteren Software vertrauen, die Schutz vor eben dieser Software verspricht. Solche Software sind Virenscanner oder Firewalls (je nach Angriffspunkt der Schadsoftware). Solche schützende Software muss entwickelt werden und jetzt kommt die krux: Dafür *muss* die Schadsoftware bekannt sein und getestet werden können.
Es gibt also Menschen, von deren Arbeit Sie profitieren, die Polizei und auch die Justiz, die genau solche Schadsoftware analysieren um sie unschädlich zu machen. Und wie sollen jetzt diese Menschen legal an eine solche Version der Schadsoftware kommen ?
Um es klar zu machen: ich kenne jede Menge Menschen, die Schadsoftware beruflich genau aus diesem Grunde „sammeln“.
[Angriffe ad persona sind nicht hier nicht erwünscht und werden – wie hier jetzt zumindest teilweise – zensiert. Halten Sie sich bitte zurück, wenn Sie hier weiter kommentieren möchten. crh]
Schöne Grüße,
Hend
Normalerweise sind Rechtsbehelfe gegen Durchsuchungsbeschlüsse ja sinnlos. Wenn Durchsuchungen allerdings mit Kampagnen kombiniert werden, um politische Aktionen durchzuführen, dann sollte man vielleicht doch etwas machen.
Das inkriminierte Tool war zunächst sogar im Google Play Store erhältlich, wenn auch unter anderem Namen. Danach scheint der Code geknackt worden zu sein, und seitdem geistern verschiedene Hacker- Tools durch das Internet, die alle völlig umsonst sind.
Fernwartungtools mit dem Funktionsumfang des inkriminierten Tools gibt es zuhauf. Gratis ! Sie finden sich in fast jedem größeren Netzwerk. Ein legaler Einsatz wäre zum Beispiel die Überwachung von Angestellten, mit dem Ziel, die Privatnutzung des Netzwerks zu unterbinden, etwa für den Download von
Schmuddelware.
Da die Internet – Mafia mittlerweile weit mehr Gewinne generiert als durch den Drogenhandel erzeugt werden, erscheint die dargestellte Aktion eher wie eine gut gemeinte, aber etwas in Irre führende Propagandaaktion.
Wie hoch ist denn das eventuelle zu erwartende Strafmaß für den Kauf und Download und die Nutzung einer Software, die zu viel Geld kostet? Wenn nicht ein paar 100.000 $ oder Euro von fremder Leute Bankkonten gezogen werden, dann geht es ja ohnehin nur um einen Geldstrafen – Tatbestand. Wenn überhaupt.
Befremdend ist auch, dass das angebliche Hackertool umsonst zu haben ist, und dass es Leute gibt, die tatsächlich hunderte von Dollar dafür bezahlen. Dies spricht eher dafür, dass sie lautere Absichten hegen. Wollten Sie cracken und Geld ziehen, dann hätten Sie das Tool wahrscheinlich möglichst geheim und möglichst konspirativ umsonst gezogen. Dann hätte es natürlich auch niemand bemerkt.
@6: Im theoretischen Modell ist das sogar de lege lata möglich: Wenn jemand wegen der Zerstörung seiner Existenzgrundlage aufgrund (wie hier) offensichtlich haltloser Durchsuchungen und Beschlagnahmen erfolgreich einen SE-Anspruch durchsetzt (schwierig genug), kann bei grober Fahrlässigkeit des Amtswalters die Anstellungskörperschaft Rückgriff nehmen. In der Praxis kommt das nie vor – und die Staatsanwaltschaft wird sich im Zweifel hinter dem gerichtlichen Beschluss (Richterprivileg!) verstecken können.
Anders natürlich bei Rechtsanwälten: Die haften auch bei falschen gerichtlichen Entscheidungen.
Ich hab mir jetzt mal durchgelesen, was dieses DroidJack so können soll. Wieso soll man das nicht aus „dumdiedeldei“ für sein(e) eigenen Handies benutzen können? Ach, wozu sind diese Dinger (Handies) eigentlich gut? Man kann ordnungswidrigkeitshalber SMS während des Autofahren schreiben, man kann sich aber auch zu Straftaten verabreden, oder ander Leute stalken… Alle konfiszieren! Dann brauchts DroidJack auch nicht mehr…
Was sind denn die „typischen Merkmale dafür, daß der komplette Text nicht vom unterzeichnenden Richter, sondern vielmehr vom Staatsanwalt formuliert wurde, der den Erlaß dieses Beschlusses beantragt hat“?
Rein interessehalber.
>Einen kompetenten Rechtsanwalt, der imstande ist, einen Schadensersatzanspruch
>zu formulieren und subtantiiert zu begründen, dürfte kein großes Problem sein.
>Das Ganze scheitert regelmäßig jedoch an der finanziellen Leistungsfähigkeit
>bzw. -bereitschaft des Auftraggeber.
Das kann ich ausschließen. Allerdings ist die Bereitschaft sich mit „der Justitz“ anzulegen überwiegend gering und die Erfolgsaussicht wird durchgehend negativ beurteilt.
Das zuständige LG hat bereits darüber entschieden daß die Durchsuchung rechtswidrig war. Wenn Sie es können gibt es hier ein Mandat von einem Mandanten der auch bezahlt. Mail-Adresse haben Sie ja..