Sonntag, 10. Oktober 2010

"Zufalls"-Funde?

Bei der Jagd nach den Herstellern und Verbreitern von Schadsoftware gewähren die Ermittlungsbehörden immer weniger Pardon. Dass sie dabei zuweilen über das eigentliche Ziel hinaus schießen, müssen sogar die eigentlich Geschädigten dieser Malware erfahren. So wie mein Mandant.

Dabei wähnte er sich bis dahin eigentlich auf der Seite der "Guten". Gezielt macht er im Internet Jagd auf solche Dateien, die er analysiert und an die Hersteller von Antivirenprogrammen weiterleitet. Genau dies wurde ihm zum Verhängnis.

Die Geschichte begann damit, dass er sich auf Anregung eines "Kollegen" eine solche Schaddatei zwecks Analyse herunterlud. Offensichtlich parallel hierzu waren auch die Ermittler der Polizei dieser Datei auf der Spur und identifizierten meinen Mandanten und 15 weitere Personen als Geschädigte. Dass er sich die Datei gezielt zur Analyse beschafft hatte war ihnen dabei nicht bekannt. In dem Bestreben, "den genauen Infektionsweg und den genauen Wirkungsbereich der Schaddateien festzustellen", erwirkte man sodann einen Durchsuchungsbeschluss bei meinem Mandanten. Darin heißt es:

"Gesucht wird der Rechner, mit dem die geschädigte Person sich ins Internet zum vorgenannten Zeitpunkt einwählte. Gesucht werden auch Vorrichtungen (Datenstifte) sowie Kennwörter, die zum Betrieb des Rechners und zur Entschlüsselung von Recluierdaten erforderlich sind; deshalb ist erforderlichenfalls auch die Person zu durchsuchen (Datenstifte u.a.)."

Einfache Gemüter wie ich verfallen nun leicht auf Fragen wie: Würde nicht eine simple Anfrage an den Geschädigten genügen? Man glaubte ja, er habe sich die Malware versehentlich eingefangen. Würde er nicht gerne die fragliche Datei zu Ermittlungszwecken herausgeben?

Das sah das Amtsgericht schon im Durchsuchungsbeschluss indes anders:

"Von der vorherigen Anhörung des Geschädigten wird abgesehen, weil sie den Zweck der Durchsuchung gefährden könnte (§ 33 Abs. 4 StPO), insbesondere die Löschung von Daten zu besorgen wäre."

Also nahm man in einer bundesweit koordinierten Durchsuchungsaktion am frühen Morgen bei meinem Mandanten gemäß des amtsgerichtlichen Beschlusses vorsorglich alle auffindbaren Rechner und Datenspeicher mit, um diese sämtlich - wie ebenfalls im Beschluss vorgesehen - einer physikalischen Datensicherung zuzuführen. Wohlgemerkt: Angeblich um eine zum Zeitpunkt des Beschlusses bereits identifizierte und bekannte Datei untersuchen zu können. Ein Schelm, der vermutet, hier habe man Zufallsfunde provozieren wollen.

Aber auch nach längerem Nachdenken wollte mir partout kein anderer Beweggrund für diese Maßnahme einfallen. Also legte ich im Auftrag des Mandanten Beschwerde ein. Die widerum vermochten nun weder Amtsgericht noch Staatsanwaltschaft nachzuvollziehen. Letztere führte u.a. aus:

"Der vom Rechtsanwalt gerügte Verstoß gegen das Übermaßverbot liegt nicht vor. (...) Auf die freiwillige Mitarbeit von Zeugen kann dabei nicht gesetzt werden: Im Internetdezernat wurde mehrfach die Erfahrung gemacht, dass Datenträger nicht freiwillig herausgegeben wurden oder aber erst nach vorheriger Löschung von Daten (privaten Bildern, privaten Texten, Dateien, bei denen der Zeuge befürchtete, sich der Strafverfolgung auszusetzen wie z.B. Tauschbörsenprogrammen)."

Ach so. Mit anderen Worten: Genau auf diese privaten Daten bzw. Programme hat man es abgesehen. Warum sonst würde deren Löschung den Ermittlungszweck gefährden können?

Zum Glück sah es das Landgericht im Ergebnis ähnlich. Der Beschluss wurde aufgehoben und die Herausgabe der sichergestellten Gegenstände sowie die Löschung sämtlicher Daten angeordnet. Sogar meine Gebühren muss die Staatskasse tragen.

Wie das bei den anderen "Geschädigten" des gegen Unbekannt gerichteten Ermittlungsverfahren gelaufen ist, weiß ich natürlich nicht. Vermutlich haben sich aber die wenigsten gewehrt. Ob es dabei auch "Zufallsfunde" gab?

Kommentare:

  1. Was mich jetzt brennend interessieren würde:
    Wie wurde der Mandant als "Downloader" der Datei überhaupt ermittelt ?

    1) Überwachung seines Datenverkehrs ? Ziemlich illegal, oder ?

    2) Überwachung des Servers, auf dem die Datei liegt ? Das würde bedeuten, dass die Polizei die Verbreitung in Kauf nimmt, um "den genauen Infektionsweg und den genauen Wirkungsbereich der Schaddateien festzustellen". Dürfen die das ??

    AntwortenLöschen
  2. @ Hieronimus:

    Da kann ich leider auch nur spekulieren. Der Durchsuchungsbeschluss legt nahe, dass man beim Versender angesetzt hat. Immerhin sollen ja bundesweit vergleichbare Aktionen gelaufen sein, alle wegen der gleichen Schaddatei. Wieso dann aber das Verfahren gegen Unbekannt lief?

    Dass die Polizei Straftaten während laufender Überwachungen geschehen lässt, kommt immer wieder vor. Sie dürfen ja sogar bislang unbescholtene Bürger in Straftaten "hineinreden". Daher haben die Gerichte mit einer Inkaufnahme der Verbreitung von Schaddateien keine ernstlichen Probleme.

    AntwortenLöschen
  3. "Daher haben die Gerichte mit einer Inkaufnahme der Verbreitung von Schaddateien keine ernstlichen Probleme."

    Wenn man hier für Schaddateien z.B. Waffen oder Kampfstoffe einfügt, wird einem erst klar was dieser Satz im Zweifelsfall bedeuten kann.
    Clever programmierte Schaddateien sind Waffen, Herrgott!

    AntwortenLöschen