IT-Strafrecht: BGH stärkt Bedeutung von Sachverständigen

Dann doch mit einiger Überraschung muss ich beim Bundesgerichtshof (1 StR 412/16) nachlesen, wie blind man in IT-Strafsachen den Ausführungen von Sachverständigen folgen darf:

Die Wirkungsweise der vom Computernutzer unbewusst installierten Schadsoftware hat das Landgericht auf der Grundlage der nachvollziehbar dargelegten Erläuterungen der Sachverständigen hinreichend genau festgestellt.

Das mag auf den ersten Blick wenig spektakulär erscheinen, allerdings muss man dazu wissen, dass der Bundesgerichtshof für Sachverständigengutachten, die bei bedeutenden Fragen hinzugezogen werden – insbesondere wenn es um DNA-Bewertungen aber auch forensisch-psychiatrische Fragen geht – von den Kammern erwartet, dass man sich im Urteil mit den Gutachten auseinandersetzt. Insbesondere gibt es bestimmte Kriterien, an Hand derer das Gutachten im Urteil darzustellen ist. Dass man hier nun mit einem Satz dem Sachverständigen schlicht folgt und der BGH dazu sonst nichts anzumerken hat – insbesondere keine Kriterien für die Instanzrechtsprechung – ist bei einer schuldrelevanten Frage dann doch überraschend. Safferling in NStZ 7/2018 spricht auf Seite 405 vollkommen zu Recht von einem “vorschnellen Folgen” der Ausführungen des Sachverständigen. Deutlich wird dies, wenn man sich vor Augen hält, dass nicht einmal ein Satz zur Methodik des Sachverständigen dargestellt werden muss – gerade bei der Frage der “Wirkungsweise einer Schadsoftware”.

Es sind nur wenige Zeilen, die erst im Umkehrschluss deutlich machen, dass Strafgerichte jedenfalls derzeit recht freie Hand bei dem Umgang mit IT-Sachverständigen haben. Es dürfte nicht allzu lange dauern, bis erste Kriterien entwickelt werden, an Hand derer ein Gericht sich in seinem Urteil mit einem IT-Sachverständigengutachten auseinander zu setzen hat. Insgesamt zeigt diese Entscheidung (die ich gesondert noch weiter besprechen werde), allerdings dass man sich auf dünnem Boden in Deutschland bewegt, wenn etwa pauschale Abzüge bei der Schätzung der Anzahl von Geschädigten in IT-Strafsachen mit Schadsoftware ermöglicht werden. 

StPO: Überprüfung der Verwertbarkeit von Erkenntnissen aus Telekommunikationsüberwachungsmaßnahmen

Der BGH (3 StR 400/17) hat einige strafprozessuale Ausführungen zur Überprüfung der Verwertbarkeit von Erkenntnissen aus Telekommunikationsüberwachungsmaßnahmen. Dabei zeigt sich in der Praxis gerne später die Frage, ob die Anordnung übereilt oder auf unsicherer Basis erfolgte und es gibt Streit dahingehend, ob die Ergebnisse überhaupt zu verwerten sind. Bekanntlich ist das deutsche Recht hier anders als das angelsächsische sehr liberal und lässt viel Spielraum. Der BGH betont insoweit regelmässig dass dem Ermittlungsrichter bei der Prüfung der Voraussetzungen des § 100a StPO hinsichtlich der Frage, ob ein auf bestimmte Tatsachen gestützter Tatverdacht gegeben ist und der Subsidiaritätsgrundsatz nicht entgegensteht, ein Beurteilungsspielraum zusteht. Die spätere Nachprüfung der Anordnung der Ermittlungsmaßnahme durch den Tatrichter hinsichtlich Rechtmäßigkeit und Verwertung der Ergebnisse ist darauf beschränkt den Maßstab der Vertretbarkeit heranzuziehen:

Ist die Darstellung der Verdachts- und Beweislage im ermittlungsrichterlichen Beschluss plausibel, kann sich der erkennende Richter in der Regel hierauf verlassen. Fehlt es jedoch an einer ausreichenden Begründung oder wird die Rechtmäßigkeit der Maßnahme konkret in Zweifel gezogen, hat der erkennende Richter die Verdachts- und Beweislage, die im Zeitpunkt der Anordnung gegeben war, anhand der Akten zu rekonstruieren und auf dieser Grundlage die Verwertbarkeit zu untersuchen. War die Überwachung der Telekommunikation in einem anderen Verfahren angeordnet worden, hat er hierzu in der Regel die Akten dieses Ver- fahrens beizuziehen (BGH, Beschluss vom 1. August 2002 – 3 StR 122/02, BGHSt 47, 362, 367)

BGH: Rechtsgrundlage für das Versenden “stiller SMS”

Stille SMS: Der Bundesgerichtshof (3 StR 400/17) konnte in einem Beschluss nunmehr klären, dass § 100i Abs. 1 Nr. 2 StPO eine geeignete Rechtsgrundlage für das Versenden sogenannter “stiller SMS” durch Ermittlungsbehörden ist und somit die Nutzung “stiller SMS” zulässig ist. Damit ist die Ermittlung von Standort-Daten durch “stille SMS” durch Ermittlungsbehörden letztlich geklärt worden.
“BGH: Rechtsgrundlage für das Versenden “stiller SMS”” weiterlesen

BVerfG zum Schutz der Internetnutzung: Ermittlungsbehörden dürfen mitsurfen

Eine Entscheidung des Bundesverfassungsgerichts (2 BvR 1454/13) verdient Beachtung. Angesichts der Entscheidung, mit der festgestellt wurde, dass die praktizierte weite Auslegung des Begriffs “Telekommunikation” entsprechend § 100a StPO keinen verfassungsrechtlichen Bedenken begegnet und die Überwachung des gesamten Internetverkehrs eines Beschuldigten durch Ermittlungsbehörden möglich ist, ist es umso überraschender, dass diese bis heute etwas “unterging”. Die Entscheidung dürfte auch hinsichtlich der ausdrücklichen Schaffung einer Quellen-TKÜ im Jahr 2017 eine gewisse Relevanz entfalten.
“BVerfG zum Schutz der Internetnutzung: Ermittlungsbehörden dürfen mitsurfen” weiterlesen

Überwachung: Telekommunikationsüberwachung obliegt Behörde und darf nicht delegiert werden

Man ist ja manchmal Fassungslos, auf welche Ideen Staatsanwaltschaften so kommen und wozu sich der BGH äußern muss. In einem aktuellen Beschuss zum Thema Überwachung klärt der BGH (StB 7/15) wenig überraschend, dass man nicht als Staatsanwaltschaft originäre Ermittlungstätigkeit auf den Provider verlagern darf.

Der Staatsanwaltschaft ging es um die Besucher einer bestimmten Internetseite. Um diese zu ermitteln wurde ein Provider angewiesen, die IP-Adressen der Besucher einer Webseite zu erfassen. Dazu sollte der Provider als erstes Anfragen an von ihm betriebene DNS-Server erfassen, die sich auf die Domain bezogen haben. Wer die Domain aufrief, sollte auf einen speziell eingerichteten Proxy-Server umgeleitet werden. Sodann im zweiten Schritt sollte der Provider so simit nunmehr zielgerichteten umgeleiteten und damit zu bearbeitenden Daten auf weitere Merkmale – Sub-URL sowie Browserversion – untersuchen. Die dann letztlich durch den Provider gewonnenen Daten sollten gesammelt an die Staatsanwaltschaft herausgegeben werden.

Dass das nicht angehen kann drängt sich schnell auf, wenn man sich vor Augen hält, dass hier eine Telekommunikationsüberwachung unmittelbar durch den Provider erfolgt, der Zugriff auf grundrechtlich geschützte Daten nimmt. Das sah der Provider auch so, befremdlicher Weise die Staatsanwaltschaft aber nicht. Der BGH hat klar gestellt: So geht es nun wirklich nicht. Wenn Daten erfasst werden, dann ist es Aufgabe der Staatsanwaltschaft diese zu sichten, zu filtern etc.

Allerdings: Die konkrete Ermittlungsmaßnahme wurde vom BGH ausdrücklich abgesegnet. Es dürfte also nunmehr davon auszugehen sein, dass verstärkt Zugriffe auf Internetkommunikation im Zuge der Abfrage von DNS-Zugriffsdaten durch Ermittlungsbehörden erfolgt. Die damit verbundenen Risiken, gerade im Hinblick auf Verdachtsmomente gegen Unschuldige, liegen auf der Hand.
“Überwachung: Telekommunikationsüberwachung obliegt Behörde und darf nicht delegiert werden” weiterlesen

Vorratsdatenspeicherung: Die Gesetzessystematik der Datenabfrage

Die Vorratsdatenspeicherung wurde am 16. Oktober 2015 vom Bundestag beschlossen, wobei auf Grund des doch sehr plötzlichen “Hau-Ruck-Durchwinkens” in kurzer Zeit kein brauchbarer Zeitrahmen bestand, um in Ruhe im Vorhinein die geplante Vorratsdatenspeicherung inhaltlich aufzubereiten. Entsprechend hektisch ist die Berichterstattung nun im Nachhinein. Ich möchte das Thema langsam aufarbeiten und beginne mit der Darstellung der Systematik der Datenabfrage.
“Vorratsdatenspeicherung: Die Gesetzessystematik der Datenabfrage” weiterlesen

Zunehmende Dauer bei der Auswertung von Hardware

Seit einiger Zeit muss ich feststellen, dass die ohnehin recht lange zeitliche Dauer bei der Auswertung von beschlagnahmter Hardware durch Ermittlungsbehörden noch weiter angestiegen ist. Während man früher von 6 Monaten bis zu 12 Monaten ausgehen konnte, hat sich dies rapide verschlechtert:

  • In einem sehr einfachen Fall, der keine Haftsache ist, wo es aber u.a. um Kinderpornographie geht, dauert die Auswertung eines Mobiltelefons aktuell 2 Jahre – und ein Abschluss ist nicht in Sicht.
  • In einem weiteren Fall dauerte das einfache analysieren einer Festplatte ein gutes Jahr, in einem weiteren Fall gar 1,5 Jahre. Beides war zwar keine Haftsache, allerdings wurde am Ende nur die übliche Analyse mit forensischer Software ohne Sichtprüfung durchgeführt.
  • Zum Vergleich: Selbst in einer Serie von Kapitalverbrechen, wo jemand in Haft ist und es lediglich um den Abgleich von 5 DNA-Funden geht, dauert die Analyse bereits 5 Monate an.

Es zeigt sich im gesamtbild, dass man aktuell bei der Auswertung von Hardware ganz erhebliche Zeit einplanen muss. Jedenfalls wo der Mandant nicht in Haft ist, läuft die Uhr insoweit eher für als gegen den Mandanten je länger es dauert. Dabei muss bei unberechtigter Beschlagnahme dann geprüft werden, ob eine Entschädigung für veraltete zurückgegebene Hardware zu leisten ist.

Technische Kompetenz im Strafverfahren: Zeitstempel bei Anrufen

Im Rahmen eines Betäubungsmittelverfahrens wurde plötzlich relevant, wann von einem Handy Anrufe (in die Niederlande) getätigt wurden. Bei solchen Fragen wird dann gerne auf einen von der Polizei bzw. dem Zoll angefertigten “Datensicherungsbericht” zurückgegriffen. Zum Einsatz kommt dabei gerne die forensische Software “XRY” von MSAB, mit der eine vollständige Kopie von Handy und SIM Karte erzeugt und sodann ausgewertet wird. Das Problem nur in diesem Fall: Die ausgewertete Zeit des Handys wich vermutlich von der tatsächlichen Zeit ab – und es war sodann fraglich, ob zum relevanten Tatzeitpunkt wirklich ein telefonischer Kontakt stattgefunden hat. Wie so oft war der Verfasser des Berichts nicht vom Gericht geladen, er wurde sodann kurzerhand telefonisch dazu befragt, wie es sich mit den Zeitangaben im Bericht handelt (prozessual war das Vorgehen nicht tragbar, ich lasse das hier dahin gestellt).

Von diesem war dann zu vernehmen, dass er mitteilte, die Systemzeit des Handys spiele keine Rolle, da sich die Zeitangaben in der Anrufliste des Telefons an Zeitstempeln des Providers orientieren und somit unabhängig von der Systemzeit des Telefons sind. Dass das schlichtweg Unsinn ist kann jeder mit seinem Handy/Smartphone im Handumdrehen nachprüfen – das Gericht übernahm diese Auskunft gleichwohl. Die Berufungsinstanz darf sich nun mit dem Thema “Technische Kompetenz im Strafverfahren” beschäftigen.

Hinweis: Es ist ein häufiges Problem bei Strafverfahren mit IT-Fragen, dass Ermittler auf der einen Seite Standard-Software verwenden, um deren Ergebnisse dann schlicht wiederzugeben; auf der anderen Seite werden bei Detailfragen dann aber auch noch falsche Informationen gegeben, die selbst bei Offenkundigkeit von Gerichten gerne übernommen werden.

Einzug von Hardware: Vorzugsweise sind Dateien zu löschen

In IT-Strafsachen spielt der Einzug von Hardware eine herausragende Rolle – die Staatsanwaltschaften und Gerichte sind hier häufig sehr interessiert, entsprechende Hardware dem Betroffenen zu entziehen; nicht selten hat man dabei das Gefühl, dass auf dem Weg noch eine zusätzliche Strafwirkung erzielt werden soll.

Tatsächlich aber ist die Einziehung keineswegs ohne weiteres Möglich, insbesondere ist regelmäßig die Verhältnismäßigkeit zu wahren. Da geht es dann darum, um nicht eine (teilweise) Löschung ausreicht oder ob man aus einem PC nicht lediglich die Festplatte ausbauen kann.

Auch beim Bundesgerichtshof (4 StR 128/14) ging es – wieder einmal, hier als Beispiel für weitere Rechtsprechung dieser Art – um eine Einziehung eines Laptops, diesmal nachdem auf dem Laptop rechtswidrig erzeugte Videos gespeichert wurden. Und wieder einmal muss der Bundesgerichtshofs daran erinnern, dass hier der Verhältnismäßigkeitsgrundsatz zu wahren ist.

“Einzug von Hardware: Vorzugsweise sind Dateien zu löschen” weiterlesen

Aus der Praxis: Die Suche nach einem Handy durch die Staatsanwaltschaft per IMEI

In einer Strafsache zeigt sich bei mir nochmals deutlich, wie leicht manche Dinge heute fallen: Im Kern ging es darum, dass die Staatsanwaltschaft ein bestimmtes Handy suchte, von dem u.a. die IMEI (das ist eine interne und einmalige Seriennummer des Handys) bekannt war. Mittels richterlichem Beschluss wurden die drei grossen Provider aufgefordert, in Ihren Datenbeständen zu forschen, ob es Verbindungen bei Ihnen gab, die mittels dieser IMEI zu Stande kamen. Tatsächlich meldete sich am Ende ein Provider, der alleine an Hand der IMEI, die in stattgefundener Kommunikation erfasst wurde, einen Vertragspartner benennen konnte. Dauer des ganzen Prozederes: Weniger als 1 Woche.

Bis heute ist wenig bekannt, was technisch möglich ist. Manche gehen immer noch davon aus, dass nur Handykarten “geortet” werden können. Tatsächlich bieten die Daten bei Providern regelmäßig umfassende Informationen, speziell die IMEI bietet einen guten Ansatzpunkt bei Ermittlungen, zumal sie bei jedem einzelnen Kommunikationsvorgang übermittelt wird. Speziell gestohlene Handys lassen sich auf dem Weg recht schnell wieder auffinden…