IT-Strafrecht: BGH stärkt Bedeutung von Sachverständigen

Dann doch mit einiger Überraschung muss ich beim Bundesgerichtshof (1 StR 412/16) nachlesen, wie blind man in IT-Strafsachen den Ausführungen von Sachverständigen folgen darf:

Die Wirkungsweise der vom Computernutzer unbewusst installierten Schadsoftware hat das Landgericht auf der Grundlage der nachvollziehbar dargelegten Erläuterungen der Sachverständigen hinreichend genau festgestellt.

Das mag auf den ersten Blick wenig spektakulär erscheinen, allerdings muss man dazu wissen, dass der Bundesgerichtshof für Sachverständigengutachten, die bei bedeutenden Fragen hinzugezogen werden – insbesondere wenn es um DNA-Bewertungen aber auch forensisch-psychiatrische Fragen geht – von den Kammern erwartet, dass man sich im Urteil mit den Gutachten auseinandersetzt. Insbesondere gibt es bestimmte Kriterien, an Hand derer das Gutachten im Urteil darzustellen ist. Dass man hier nun mit einem Satz dem Sachverständigen schlicht folgt und der BGH dazu sonst nichts anzumerken hat – insbesondere keine Kriterien für die Instanzrechtsprechung – ist bei einer schuldrelevanten Frage dann doch überraschend. Safferling in NStZ 7/2018 spricht auf Seite 405 vollkommen zu Recht von einem “vorschnellen Folgen” der Ausführungen des Sachverständigen. Deutlich wird dies, wenn man sich vor Augen hält, dass nicht einmal ein Satz zur Methodik des Sachverständigen dargestellt werden muss – gerade bei der Frage der “Wirkungsweise einer Schadsoftware”.

Es sind nur wenige Zeilen, die erst im Umkehrschluss deutlich machen, dass Strafgerichte jedenfalls derzeit recht freie Hand bei dem Umgang mit IT-Sachverständigen haben. Es dürfte nicht allzu lange dauern, bis erste Kriterien entwickelt werden, an Hand derer ein Gericht sich in seinem Urteil mit einem IT-Sachverständigengutachten auseinander zu setzen hat. Insgesamt zeigt diese Entscheidung (die ich gesondert noch weiter besprechen werde), allerdings dass man sich auf dünnem Boden in Deutschland bewegt, wenn etwa pauschale Abzüge bei der Schätzung der Anzahl von Geschädigten in IT-Strafsachen mit Schadsoftware ermöglicht werden. 

Cybercrime in NRW: Ermittler rüsten auf

Manchmal ist es die Wortwahl, die zeigt, woher der Wind weht: Wenn etwa in einer Pressemitteilung des Justizministeriums NRW von einer “Gefechtslage Cybercrime” gesprochen wird, dann wird deutlich, dass die Politik sich im Kampf, wenn nicht gar im Krieg, sieht wenn es um das IT-Strafrecht geht. Und tatsächlich wird zumindest auf Seiten der Ermittler aufgerüstet, wie der Pressemitteilung zu entnehmen ist:

Die ZAC NRW ist zum Mai 2018 erheblich personell verstärkt und vollständig neu organisiert worden. Bald werden 21 spezialisierte Staatsanwältinnen und Staatsanwälte in sechs thematisch differenzierten Dezernaten Cybercrime Verfahren bearbeiten. Unterstützt werden die Juristen durch ein Team aus Wirtschaftswissenschaftlern, Rechtspflegern und Justizbeschäftigten. 2017 wurden rund 270 neue Verfahrenskomplexe eingeleitet. Seit Januar 2018 sind es bis heute 563 neue Verfahrenskomplexe.

Diese Zahlen machen deutlich, dass die Angebote von Waffen, Rauschgift, Sprengstoff, Falschgeld und Kinderpornografie, aber auch kriminelle Dienstleistungen („Cybercrime-as-a-Service“) im Darknet weiter wachsen. Dem will Nordrhein-Westfalen entsprechend begegnen.

Tatsächlich entwickelt sich seit längerem die Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW) immer weiter, Ermittlungsverfahren können zielgerichtet und effektiv von Fachleuten im Bereich Cybercrime geführt werden – während die Strafgerichte weder spezialisiert sind noch spezialisierte Kammern bereit halten.

StPO: Überprüfung der Verwertbarkeit von Erkenntnissen aus Telekommunikationsüberwachungsmaßnahmen

Der BGH (3 StR 400/17) hat einige strafprozessuale Ausführungen zur Überprüfung der Verwertbarkeit von Erkenntnissen aus Telekommunikationsüberwachungsmaßnahmen. Dabei zeigt sich in der Praxis gerne später die Frage, ob die Anordnung übereilt oder auf unsicherer Basis erfolgte und es gibt Streit dahingehend, ob die Ergebnisse überhaupt zu verwerten sind. Bekanntlich ist das deutsche Recht hier anders als das angelsächsische sehr liberal und lässt viel Spielraum. Der BGH betont insoweit regelmässig dass dem Ermittlungsrichter bei der Prüfung der Voraussetzungen des § 100a StPO hinsichtlich der Frage, ob ein auf bestimmte Tatsachen gestützter Tatverdacht gegeben ist und der Subsidiaritätsgrundsatz nicht entgegensteht, ein Beurteilungsspielraum zusteht. Die spätere Nachprüfung der Anordnung der Ermittlungsmaßnahme durch den Tatrichter hinsichtlich Rechtmäßigkeit und Verwertung der Ergebnisse ist darauf beschränkt den Maßstab der Vertretbarkeit heranzuziehen:

Ist die Darstellung der Verdachts- und Beweislage im ermittlungsrichterlichen Beschluss plausibel, kann sich der erkennende Richter in der Regel hierauf verlassen. Fehlt es jedoch an einer ausreichenden Begründung oder wird die Rechtmäßigkeit der Maßnahme konkret in Zweifel gezogen, hat der erkennende Richter die Verdachts- und Beweislage, die im Zeitpunkt der Anordnung gegeben war, anhand der Akten zu rekonstruieren und auf dieser Grundlage die Verwertbarkeit zu untersuchen. War die Überwachung der Telekommunikation in einem anderen Verfahren angeordnet worden, hat er hierzu in der Regel die Akten dieses Ver- fahrens beizuziehen (BGH, Beschluss vom 1. August 2002 – 3 StR 122/02, BGHSt 47, 362, 367)

BGH: Rechtsgrundlage für das Versenden “stiller SMS”

Stille SMS: Der Bundesgerichtshof (3 StR 400/17) konnte in einem Beschluss nunmehr klären, dass § 100i Abs. 1 Nr. 2 StPO eine geeignete Rechtsgrundlage für das Versenden sogenannter “stiller SMS” durch Ermittlungsbehörden ist und somit die Nutzung “stiller SMS” zulässig ist. Damit ist die Ermittlung von Standort-Daten durch “stille SMS” durch Ermittlungsbehörden letztlich geklärt worden.
“BGH: Rechtsgrundlage für das Versenden “stiller SMS”” weiterlesen

IT-Forensic: osTriage 2

Ich konnte erstmals beim Live-Einsatz der von Ermittlungsbehörden genutzten Software “osTriage” im Rahmen einer Durchsuchungsmaßnahme dabei sein. Die Software ist praktisch auf einem USB-Stick installiert, kann von dort gestartet werden und analysiert ein laufendes Windows-System. In Österreich gab es hinsichtlich dieser Software eine gewisse Aufregung.

In der praktischen Verwendung stellt sich die Software recht unaufgeregt dar: Es scheint sich in erster Linie um ein Reporting-Tool zu handeln, das auf vorhandene Systeminformationen zurückgreift und diese strukturiert aufbereitet. So beispielsweise in einem Windows-System die Prefetch-Dateien, aus denen die Ermittler dann versuchen Rückschlüsse auf ausgeführte Software zu ziehen. Die Software soweit ich sie erlebt habe war übrigens nicht dazu bestimmt ein Image des Systems zu erstellen, sondern am Ende wird ein “Report” erstellt, der dann gespeichert wird. Insgesamt stellte es sich mir als Werkzeug dar, dass die vorhandenen Informationen sehr mächtig sammelt und äusserst transparent aufbereitet, letztlich aber ganz erheblich von dem Wissen lebt, dass sein Anwender mitbringt. Die Arbeitsgeschwindigkeit war dabei durchaus beeindruckend, auf einem Standard-System dauerte das Starten der Software und Auswerten des Systems wenige Minuten, insgesamt machte es den Eindruck eines für den mobilen Einsatz vor Ort durchaus sehr tauglichen Tools, das aber jedenfalls nach erstem Eindruck keinen Verdacht hinsichtlich rechtswidriger Möglichkeiten geweckt hat.

Finanzagent oder Warenagent

Bei einem Finanzagenten oder Warenagenten handelt es sich im Kern um einen Mittelsmann: Der Täter im Hintergrund versucht durch betrügerisches agieren an Gelder oder Waren zu kommen. Damit der Hintermann nicht direkt zu finden ist beauftragt er Dritte, für ihn Geld oder Waren anzunehmen und später an den Täter weiterzuleiten.

Bei den Finanzagenten handelt es sich nicht selten um gutgläubige Ausgenutzte, die eine kleine Provision erhalten oder die durch soziale Tricks – etwa eine vorgetäuschte Liebschaft – zur Weiterleitung verleitet werden. Hier drohen für solche gutgläubigen Agenten eigene Strafbarkeit, etwa wegen (leichtfertiger) Geldwäsche oder Beihilfe zur Tat des Täters.

Cybercrime as a Service

Unter dem Begriff “Cybercrime as a Service” wird das Angebot von Dienstleistungen zur Begehung von digitalen Straftaten gefasst. Zu solchen Dienstleistungen gehört insbesondere:

  • Die Fertigung individueller Malware inklusive Ransomware, gerne basierend auf bestehenden Bausätzen;
  • das Verteilen lassen von Malware inklusive „Infection on Demand“
  • die Möglichkeit der Anmietung von Botnetzen
  • das Durchführen lassen von DDoS-Attacken;
  • das Durchführen von Datendiebstahls-Szenarien oder gleich der Verkauf/Ankauf erlangter sensibler Daten;
  • die Vermittlung von Finanz- oder Warenagenten;
  • hochprofessionalisierte Anonymisierungs- und Hostingdienste zum Verschleiern eigener Identität (was nicht zwingend illegal sein muss!);
  • die Nutzung von Dropzones um illegal erlangte physische Waren auch zustellen zu lassen.

Digitaler Schwarzmarkt

Der Digitale Schwarzmarkt oder auch “Underground Economy” ist nur eine digitale Variante eines kriminellen Marktplatzes, der häufig aber nicht zwingend im Darknet beheimatet ist. Neben dem Verkauf von klassischen Waren wie Waffen oder Drogen werden dort auch digitale Güter (gestohlene Identitäten oder Zahlungsmittel, Software) und Dienstleistungen (“Cybercrime as a Service”) angeboten. Kinderpornographie ist regelmässig auf solchen Plattformen ausdrücklich verboten und wird daher in einschlägigen Handelsplätzen vertrieben, die vom Oberbegriff “Digitaler Schwarzmarkt” nicht mehr erfasst sind.

Advanced Persistent Threat – APT

Der Advanced Persistent Threat (“APT-Angriff”) ist ein Oberbegriff für Angriffe, bei denen das langfristige Infiltrieren einer IT-Infrastruktur angestrebt ist. Die Angreifer investieren sehr viel Energie und Aufwand und beabsichtigen eben nicht ein kurzfristiges Ziel, sondern die andauernde Infiltration und hierbei auch das Ausdehnen des Beherrschend bis in tiefste Strukturen der IT-Infrastruktur des Angegriffenen.

BVerfG zum Schutz der Internetnutzung: Ermittlungsbehörden dürfen mitsurfen

Eine Entscheidung des Bundesverfassungsgerichts (2 BvR 1454/13) verdient Beachtung. Angesichts der Entscheidung, mit der festgestellt wurde, dass die praktizierte weite Auslegung des Begriffs “Telekommunikation” entsprechend § 100a StPO keinen verfassungsrechtlichen Bedenken begegnet und die Überwachung des gesamten Internetverkehrs eines Beschuldigten durch Ermittlungsbehörden möglich ist, ist es umso überraschender, dass diese bis heute etwas “unterging”. Die Entscheidung dürfte auch hinsichtlich der ausdrücklichen Schaffung einer Quellen-TKÜ im Jahr 2017 eine gewisse Relevanz entfalten.
“BVerfG zum Schutz der Internetnutzung: Ermittlungsbehörden dürfen mitsurfen” weiterlesen