Montag, 10. Oktober 2011

Staatstrojanische Straftaten?

Auch wenn mir derzeit leider nicht die notwendige Zeit bleibt, meinen Blog hinreichend mit Beiträgen zu versehen, an der aktuellen Diskussion um den vom CCC analysierten Staatstrojaner kann ich nicht kommentarlos vorbeigehen.

Aktuell scheint festzustehen, dass jedenfalls das LKA Bayern diese Schnüffelsoftware eingesetzt hat, bei der - werkseitig sozusagen - weit mehr ausspioiert wird, als dies von Gesetzes und den verfassungsrechtlichen Vorgaben des Bundesverfassungsgerichts wegen zulässig wäre. In der „Leistungsbeschreibung“ des Herstellers DigiTask sollen gar alle Spionage-Funktionen detailliert erläutert sein, die jetzt beim Staatstrojaner als rechtswidrig gebrandmarkt werden, wie etwa die „Live-Ausleitung“, des Sprach-, Video-, und Chatverkehrs sowie der kompletten Dateiübertragung. Ebenso die Möglichkeit des heimlichen Hochladens weiterer Programme auf den Rechner des Überwachten. Dies soll aus Schriftwechsel zwischen Ministerium, Oberlandesgerichtspräsidenten und Generalstaatsanwälten hervorgehen.

Quer durch Blogs und Presse ist die Empörung groß und das völlig zu Recht. Bemerkenswerter Weise habe ich jedoch fast ausschließlich Überlegungen zu notwendigen politischen Konsequenzen vernommen, bis hin zu Rücktrittsforderungen in Richtung verantwortliche Behördenleiter oder Minister.

Wenig beleuchtet habe ich bislang aber die strafrechtliche Seite des Vorganges gefunden. Dabei liegt das meiner Ansicht nach sehr nahe. Unterstellen wir also den Einsatz des Trojaners in der vom CCC beschriebenen Weise und werfen dann einen Blick auf §§ 202a, c StGB.
§ 202a Ausspähen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.
Hierzu heißt es im Tröndle/Fischer, dem Standardkommentar zum StGB: "Sichverschaffen ist gegeben bei Infizierung mit sog. Trojanern, also versteckten Programmen zur Erlangung von Informationen über Vorgänge und zur Ausspähung von Daten." Das dürfte also unproblematisch erfüllt sein.

Weiter müssen diese Daten gegen unberechtigten Zugriff besonders gesichert sein. Die besondere Sicherung kann eine solche mechanischer Art zur Außensicherung sein, wie z. B. verschlossene Räume. Dazu wissen wir nun nichts Konkretes, doch dürfte zu erwarten sein, dass die im Fall eines Trojanereinsatzes betroffenen Rechner nicht in unverschlossenen Räumen oder auf der Straße stehen dürften. Auf Basis kriminalistischer und Lebenserfahrung, die Strafjuristen bei der Frage nach dem hinreichenden Tatverdacht regelmäßig als ausreichend erachten, kann man also davon ausgehen, dass die besondere Sicherung gegen unberechtigten Zugriff vorhanden gewesen war. Zumal man sonst kaum aufwändig einen Trojaner hätte installieren müssen.

Schließlich muss der Täter unbefugt handeln. Da sich beim Einsatz eines solchen Staatstrojaners in der vom CCC beschriebenen Weise die Ermittlungsbehörden eindeutig außerhalb sie legalisierender, sprich: rechtfertigender Grenzen bewegen, handelten sie unbefugt.

In staatsanwaltschaftlicher Manier lässt sich weiter konstatieren: Der Täter handelt bewusst und gewollt. Und schon ist der Tatbestand erfüllt.

Doch auch ohne konkreten Einsatz scheinen mir strafrechtliche Erwägungen angebracht:
§ 202c Vorbereiten des Ausspähens und Abfangens von Daten
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
(2) § 149 Abs. 2 und 3 gilt entsprechend.
Dass der Einsatz des Trojaners vermutlich unter § 202a fallen würde, haben wir gerade geklärt. Bereits das Sichverschaffen eines solchen Programmes wird hier nun ebenfalls unter Strafe gestellt, wie auch das Überlassen an einen anderen, Verkaufen oder sonst Zugänglichmachen.

Und schon wird es sowohl für die Herstellerfirma ("verkauft") aber auch für die involvierten Mitarbeiter des Ministeriums, die Oberlandesgerichtspräsidenten und Generalstaatsanwälte sowie die LKA-Beamten ziemlich eng. Gerade auch die in der Presse in Bezug genommene Leistungsbeschreibung erlangt hier im Hinblick auf den Vorsatz besondere Bedeutung. Wenn dort gerade die außerhalb der Legalität liegenden Fähigkeiten des Programms angepriesen werden, fällt es doch eher schwer, ein "Wissen und Wollen" zu verneinen. Ein Jurastudent, der dies in einer Arbeit umfassender problematisieren würde, müsste sich höchst wahrscheinlich Punktabzüge gefallen lassen. Ich kenne aus meiner Praxis Fälle, in denen Strafverfolger und Gerichte auf wesentlich dünnerer Indizenlage sogar dringenden Tatverdacht für den Erlass von Haftbefehlen erkannt haben.

Nun ist natürlich einzuräumen, dass wir bislang nicht sicher feststellen können, ob dieser Staatstrojaner von DigiTask konkret eingesetzt wurde. Das festzustellen ist jedoch Aufgabe staatsanwaltschaftlicher Ermittlungen. Aufgrund der vorliegenden Erkenntnisse ist jedenfalls zumindest ein Anfangsverdacht gegeben. Und der richtet sich gegen die Verantwortlichen bei DigiTask, dem bayerischen Innenministerium, den Präsidenten der und den Generalstaatsanwälten bei den Oberlandesgerichten Bamberg, München und Nürnberg sowie dem Präsidenten des LKA Bayern.

Leider bin ich nicht wirklich zuversichtlich, dass etwas geschieht. Dagegen steht die Erkenntnis vom Sozialverhalten der Krähen. Und auch die tragen bekanntlich schwarz...

30 Kommentare:

  1. Danke für diese interessante und lehrreiche Beleuchtung! Ein solcher Kommentar hat in der Tat bis jetzt gefehlt. Ich hoffe auch, dass die Konsequenzen sich nicht wieder nur auf Bauernopfer beschränken. Aber da diese Situation andauert, denke ich nicht, dass der CCC da Ruhe geben wird – solange gibt es die leise Hoffnung, dass das Früchte trägt.

    AntwortenLöschen
  2. Die werden das unter den Tisch kehren und KEIN Verantwortlicher würd zur Rechenschaft gezogen werden!!! :-(
    Aber wehe ich weigere mich das nächste mal meinen Strafzettel zu bezahlen.

    Kann man als Bürger nicht einfach eine Anzeige bei der örtlichen Polizei gegen die Verantwortlichen stellen?

    AntwortenLöschen
  3. DAS ist natürlich ein gefundenes Fressen für begabte Strafrechtler. Da werden Straftaten quasi mit Splitterbomben-Wirkung verwirklicht, da nicht nur die Rechnerinhaber betroffen sind, sondern alle Kommunikationsteilnehmer.

    Bandenmäßige Computersabotage ? Der entdeckte Trojaner verfügt über reichliche Mittel, Systeme komplett umzukrempeln ( derartiges ist übrigens auf dem Schwarzmarkt billig zu haben, um etwa Bankdaten / Geld abzufischen ).

    Im übrigen machen Trojanereinsätze vor allem dann Sinn, wenn sie flächenmäßig erfolgen, etwa gegen soziale Netzwerke, politische Vereinigungen u.a.., und dies verdeckt erfolgt.

    Es ist sehr leicht, dem technisch zu entgehen, wenn man damit rechnen muss, beobachtet zu werden.

    AntwortenLöschen
  4. @Anonym
    Soweit ich das als Laie verstehe, sind die Delikte aus § 202 Antragsdelikte, es müssten also die Betroffenen Anzeige erstatten. Im Fall von § 202a und b kann die Staatsanwaltschaft aber bei besonderem öffentlichen Interesse auch so ermitteln. Das Interesse besteht IMHO ziemlich sicher aber ich vermute dass die Staatsanwaltschaften das anders sehen könnten.

    Ich vermute aber, dass es nicht schaden könnte, einfach selbst eine Anzeige bei der örtlichen Polizei zu stellen. Aber da sollte mal einer der hier anwesenden Rechtsanwälte mal besser was zu sagen.

    AntwortenLöschen
  5. Was mich interessieren würde, wäre was denn auf Verfassungsbruch steht. Denn auch wenn die Behörden sicherlich nicht die techn. versiertesten Leute unter Vertrag haben, so mag ich doch nicht glauben, dass _niemandem_ aufgefallen sein soll, dass die Leistungsbeschreibung sich nicht mit den Anforderungen des BVerfG deckt (mal ganz davon abgesehen, dass ich es für technisch unmöglich halte einen solchen Trojaner zu programmieren).

    P.S.: Ich glaube ja nicht mehr daran, dass irgendeiner der Verfassungsbrecher vor Gericht landet und wenn bestenfalls ein Bauernopfer aus einer unteren Ebene einer Landesbehörde, der es dann ganz alleine gewesen sein soll.

    AntwortenLöschen
  6. Was ist mit zivilrechtlichen Ansprüchen? Den Mist zu entfernen, kostet Zeit und den Normal-DAU, der das von einer Fachfirma machen lassen muß, auch Geld. Allein die Suche ... a) wurde gegen mich ermittelt? und b) falls ja: wie kriege ich jetzt raus, ob auch gegen mich der "Trojaner" rechtswidrig eingesetzt wurde?
    Fragen über Fragen, und der Antwort eines Innenministers würde ich dazu nicht weiter trauen als ich ein Klavier werfen kann.

    AntwortenLöschen
  7. Dabei geht es nicht nur um die Krähen in schwarz. Obendrauf kommt ja noch, dass die StA eine Behörde der Landesregierung ist. Und die müsste hier gegen Leute aus dem Apparat *derselben* Landesregierung ermitteln.

    Da kann man sich doch vorstellen, wie bereit die dazu sein werden. Und wenn sich da tatsächlich ein Staatsanwalt hinterklemmen möchte, gibt es immer noch die Weisungsbefugnis des Justizministeriums. Die werden schon verhindern, dass ihre eigenen Leute ihnen ans Bein pinkeln. Wenn der Druck zu groß wird, trifft es halt ein oder kleine Leuchten aus dem LKA als Sündenböcke.

    AntwortenLöschen
  8. Da haben Sie Recht. Ich stimme Ihnen zu!

    AntwortenLöschen
  9. lol behörden die gegen sich selber ermitteln sollen - das sind ja zustände wie bei berlusconi...

    AntwortenLöschen
  10. http://www.daniel-schwerd.de/strafanzeige-gegen-unbekannt-wegen-bundestrojaner/

    AntwortenLöschen
  11. Man muss hier aber doch unterscheiden. Der CCC hat den Trojanercode, also das Element, was in den Zielrechner eingeschleust wird, untersucht.

    Dieser Code ermöglicht allerlei gesetzwidiger Unverschämtheiten, das ist alles soweit bekannt.

    Die Behörden argumentieren aber mit Blick auf ihre Fernsteuersoftware. Und weil die da keinen Button hat, auf dem steht "illegales Feature nutzen", schließen die, dass dieses Feature nicht nutzbar ist. Es ist aber nutzbar, nur müssten sie eine andere EXE starten, um sie bequem nutzen zu können - das infizierte System stellt die Funktion nämlich bereit!

    D.h. hier muss man schon sehr genau hingucken, um zu sehen, welche Bedingungen für eine Strafbarkeit zumindest deutlich erfüllt sind.

    Unstreitig (LG Landshut) ist die rechtswidrige Ausleitung von "Fenster-Screenshots", die nicht zur laufenden Kommunikation zu zählen sind (Erstellungsphase einer Email).

    Dies ist, denke ich, der zunächst einzige handefeste Anhaltspunkt.

    Ich denke, es ist praktisch nicht möglich zu zeigen, welche der vom Trojanercode ermöglichten Maßnahmen auch wirklich genutzt wurden. (Gefühlt sollte hier die Beweislast umgekehrt werden, denn wenn solche rechtswidrigen Möglichkeiten programmtechnisch explizit vorgehalten werden, sollte die einsetzende Behörde schon darlegen, warum das überhaupt passiert und schlüssig darlegen/beweisen, dass man davon keinen Gebrauch gemacht hat - das kann im Prinzip nur ein verlässliches und unumgehbares Komplett-Log der gesamten Kommunikation zwischen Trojaner und C&C-Server leisten).

    Ein weiterer Ansatz ist die durch den Trojaner sabotierte Systemsicherheit des Zielrechners. Vorhandene Sicherungen, Windows-Firewall, ggf. Virenscanner usw werden durch den Trojaner umgangen. Beim vom CCC untersuchten Code ist das Resultat katastrophal, jeder Interessierte hätte leicht Zugang zu einem derart präparierten System, Könnte belastendes Material plazieren, Dateien löschen, bei auch betrieblich genutzem Gerät Industriespionage tätigen usw.

    AntwortenLöschen
  12. In wie weit ist hier eigentlich §89 StGB (Verfassungsfeindliche Einwirkung auf Bundeswehr und öffentliche Sicherheitsorgane) anwendbar? Für mich als Laie sieht das wie ein Volltreffer aus.

    AntwortenLöschen
  13. Ich denke, Sie verkennen die Tragweite des § 202c StGB, der nicht darauf abstellt, dass eine Straftat bereits begangen wurde, sondern bereits die Vorbereitung durch Herstellung und Verschaffung des Programms unter Strafe stellt. Dass das Programm Straftaten nach § 202a StGB begehen kann, dürfte unstreitig sein.

    Hier rächt sich meiner Ansicht nach die seit Jahren herrschende Tendenz, das Strafrecht auf "Gesinnungstaten" auszuweiten, also die Strafbarkeit deutlich vor die Grenze zum Versuch (unmittelbares Ansetzen zur Tatverwirklichung) zu verlagern. § 202c StGB ist ein solcher Tatbestand und greift daher meines Erachtens gerade bei denjenigen, die die Entscheidungen im Zusammenhang mit Entwicklung und Erwerb des Trojaners getroffen haben.

    AntwortenLöschen
  14. Sollte durch das Aufspielen eines Trojaners nicht auch §303b StGB (1) 3. (Computersabotage) hinzukommen?

    Sind DigiTask bzw. die entsprechenden Abteilungen der LKAs dann nicht terroristische Vereinigungen nach §129b (2) 2. ?

    AntwortenLöschen
  15. Zu § 89 StGB: "...sich dadurch absichtlich für Bestrebungen gegen den Bestand oder die Sicherheit der Bundesrepublik Deutschland oder gegen Verfassungsgrundsätze einsetzt". Das wird man kaum ernsthaft als Absicht der Verantwortlichen unterstellen können. ;)

    Zu § 303b StGB: Da lässt sich zumindest über die "wesentliche Bedeutung" der Datenverarbeitung streiten. Im Zusammenhang mit der Strafbarkeit von DDoS-Attacken und der dort gängigen Argumentation zur Wesentlichkeit aber ein bedenkenswerter Ansatz.

    AntwortenLöschen
  16. Ich bin weit davon entfernt Jurist zu sein, aber lese ich das falsch dass es reicht eines der Kriterien
    a)gegen den Bestand
    b) gegen die Sicherheit
    der Bundesrepublik oder
    c) gegen Verfassungsgrundätze
    absichtlich zu verstoßen?
    Oder ist absichtlich etwas anderes als bewusst?
    Dass bei der Beschreibung noch jemand glaubt, damit wäre der Trojaner gemäß dem Urteil des Verfassungsgerichts konzipiert, glaube ich nicht.

    AntwortenLöschen
  17. Um eine sachliche Diskussion zu ermöglichen sollte meiner Meinung nach ein Schwerpunkt des Beitrags auf einer Prüfung der möglichen Rechtfertigung anhand Normen der StPO liegen. So "eindeutig" ist das eben nicht.

    Beispielsweise kommt es doch auch darauf an, ob die vom CCC kritisierte Update-Funktion das Telefonüberwachungs-Programm generell rechtswidrig macht oder es auf den konkreten Einsatz (=wurde die Funktion tatsächlich für eine Raumüberwachung genutzt) ankommt.

    AntwortenLöschen
  18. Ich finde ihre Ausführungen sehr interessant, bzgl. § 202a ist aber zumindest in einem Fall bekannt geworden, dass dem Betroffenen, unter dem Vorwand einer Sprengstoffkontrolle, am Flughafen das Notebook abgenommen wurde und dann im Hinterzimmer der Trojaner aufgespielt wurde. Kann hier auch von einer besonderen Sicherung gegen unberechtigten Zugang gesprochen werden? Ist die simple aber unmittelbare Aufsicht des Besitzers da schon genug?

    AntwortenLöschen
  19. @ Anonym (19:07 Uhr):
    Die Vorgaben des BVerfG werden schon dadurch verletzt, dass diese Funktionen in der Software auch nur vorhanden sind. Bereits das ist ein Verfassungsverstoß. Damit fällt dann auch jede Rechtfertigung im Rahmen von Ermittlungsmaßnahmen weg.

    AntwortenLöschen
  20. Das ist ja nun bestimmt nicht der erste Fall in dem Beweise illegal erlangt wurden.
    Wie oft kommt da schlimmeres als ein Verwertungsverbot vor? Es müssten doch am laufenden Band Ermittler, Anwälte oder auch Richter verknackt werden. Hört man aber so gut wie nie was davon.

    AntwortenLöschen
  21. zusatz: Man könnte ja in solchen Fällen eigentlich immer mit mindestens Diebstahl argumentieren

    AntwortenLöschen
  22. Hier kam der Autor bereits am Montag zu einem ähnlichen Schluss: http://www.lto.de/de/html/nachrichten/4513/vorwuerfe-wegen-spaeh-software-trojaner-kann-fuer-ermittler-zum-bumerang-werden/

    AntwortenLöschen
  23. Danke für diesen gelungenen, informativen Blog–Eintrag!

    PS: Sie wurden in fefe's Blog erwähnt: http://blog.fefe.de/?ts=b0683011

    AntwortenLöschen
  24. Glaubt denn hier irgendjemand ernsthaft daran, das diese Sache für einen der Beteiligten aus diesen Behörden Konsequenzen haben wird?
    Behörden die gegen sich selbst ermitteln, lächerlich! Wie gut das funktioniert kann man an den vielen eingestellten Verfahren gegen Polizisten sehen.
    Rechtstaat? Wo fängt denn dann der Unrechtsstaat an?

    AntwortenLöschen
  25. Was fehlt ist eine Gruppe ambitionierter Strafrechtler, die ähnlich wie Wikileaks oder Vroniplag zusammenarbeiten und Missstände direkt angehen. Als Normalo ohne entsprechendes Fachwissen kommt man hier nicht weiter. In gewisser Hinsicht haben Strafrechtler hier eine gesellschaftliche Verantwortung.
    Meistens sind es tatsächlich Politiker aus Oppositionsparteien, die in solchen Fällen Klagen einreichen.

    AntwortenLöschen
  26. Als das mit dem Trojaner bekannt wurde, dachte ich auch spontan an den "Hackerpraragrafen". Aber ich schätze mal, man wird dann eher den Ausspionierten unter wildesten Konstruktionen einen Strickdaraus drehen, sind sie doch im Besitz einer Spionagesoftware ( dass die sich auf ihrer Festplatte versteckt und sie selbst ausspioniert ist ja egal ).

    AntwortenLöschen
  27. Vielen Dank für Ihre Auffassungen, aber vertreten lassen würde ich mich jetzt von Ihnen nicht mehr !

    AntwortenLöschen
  28. ist die Verbreitung der Programmteile auf der Webseite des CCC denn eine Verbreitung von Hackersoftware? Verstehe ich das richtig, dass man damit dem CCC ans Bein pinkeln koennte? Und am besten man beschlagnahmt deren Server, um die Personen zu ermitteln, die die Dateien heruntergeladen haben (Beschaffung)...

    AntwortenLöschen
  29. Vielen Dank für wertvolle Informationen. Nizza Post. Ich war sehr erfreut, diesen Beitrag. Das ganze Blog ist sehr schön fand einige gute Sachen und gute Informationen hier Danke .. Besuchen Sie auch meine Seite schach online spielen

    AntwortenLöschen