Persönlich. Hochwertig. Keine Chatbots. — Bei uns kümmert sich ein persönlich erreichbar Mensch.
Anwaltskanzlei Ferner Alsdorf - Kanzlei für moderne Strafverteidigung & IT-Recht

Anwaltskanzlei Ferner Alsdorf (Rechtsanwalt für Strafrecht & IT-Recht)

Kategorie: Cybercrime Blog

Cybercrime Blog mit Beiträgen zu Cybercrime, Technologiestrafrecht und Computerstrafrecht von Rechtsanwalt Jens Ferner, der Fachanwalt für IT-Recht und Fachanwalt für Strafrecht ist. Kurze Beiträge, die für den Blog zu kurz sind, erscheinen zudem im Linked-In-Profil von RA JF. 

Gebloggt wird hier speziell in den typischen Cybercrime-Bereichen, vom Ausspähen von Daten, Urheberstrafrecht, Datensabotage über Computerbetrug bis hin zur Wirtschaftsspionage und Wettbewerbsstrafrecht. Im Folgenden finden Sie ausgewählte Beiträge und Urteile zum Thema Cybercrime in unserem Cybercrime Blog.

  • BVerfG thematisiert Auskunftsanspruch bei IP-Adressen

    Das Bundesverfassungsgericht (2 BvR 1124/10) hat sich mit dem Auskunftsanspruch der Strafverfolgungsbehörden hinsichtlich IP-Adressen geäußert. In der Sache wurde die Beschwerde zwar nicht zur Entscheidung angenommen, aber das BVerfG hat sich dennoch grundlegend zu einigen Fragen geäußert.

    Zum einen wird klargestellt, dass IP-Adressen dem Schutzbereich des Art. 10 GG unterfallen:

    Das Fernmeldegeheimnis gewährleistet die Vertraulichkeit der individuellen Kommunikation, wenn diese wegen der räumlichen Distanz zwischen den Beteiligten auf eine Übermittlung durch andere angewiesen ist und deshalb in besonderer Weise einen Zugriff Dritter – einschließlich staatlicher Stellen – ermöglicht. Die Beteiligten sollen weitgehend so gestellt werden, wie sie bei einer Kommunikation unter Anwesenden stünden. Das Grundrecht ist entwicklungsoffen und umfasst nicht nur die bei Entstehung des Gesetzes bekannten Arten der Nachrichtenübertragung, sondern auch neuartige Übertragungstechniken (BVerfGE 46, 120 <144>; 115, 166 <182>). Der Schutzbereich erfasst neben den Kommunikationsinhalten alle näheren Umstände des Fernmeldeverhältnisses und bezieht sich sowohl auf die Tatsache der Kommunikation als auch auf die Verbindungsdaten über Teilnehmer, Anschlüsse und Nummern, unter welchen die Teilnehmer miteinander in Kontakt treten (BVerfGE 107, 299 <312>; 113, 348 <364 f.>; 115, 166 <183>; 120, 274 <307>; 124, 43 <54>; BVerfG, Urteil vom 2. März 2010 – 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 -, juris, Rn. 189). Hierzu zählen auch IP-Adressen.

    Nun muss die Natur des Art. 10 GG verstanden werden. Der Art. 10 GG schützt – verkürzt ausgedrückt – den „Kommunikationsvorgang als solchen“. Wer sich auf eine Verletzung des Art. 10 GG beruft, der muss daher klarstellen, dass auch der Kommunikationsvorgang betroffen ist. Wenn Daten außerhalb des Kommunikationsvorgangs erhoben werden, ist der Art. 10 GG nicht mehr betroffen – deswegen scheiterte hier auch die Beschwerde, weil die Beschwerdeführer genau das nämlich nicht hinreichend dargelegt haben.

    Das BVerfG sieht sich aber auch das Wesen der „IP-Adresse“ genauer an und wiederholt im Kern seine Ausführungen aus der Entscheidung zur Vorratsdatenspeicherung:

    Die Abfrage von Verbindungsdaten aus einem Datensatz, der aufgrund einer anlasslosen systematisch über einen längeren Zeitraum vorgenommenen Speicherung erstellt wurde, stellt einen intensiveren Eingriff dar als die Abfrage von Daten, die ein Telekommunikationsanbieter in Abhängigkeit von den jeweiligen betrieblichen und vertraglichen Umständen – etwa zu Abrechnungszwecken gemäß §§ 96, 97 TKG – kurzfristig aufzeichnet.

    Will heißen: Erhobene Telekommunikationsdaten sind auch im Gesamtbild zu werten. Eine IP-Adresse für sich, einmalig erhoben, ist etwas anderes als eine fortlaufend – im Zusammenhang mit anderen Daten – erhobene IP-Adresse. Damit sehe ich erneut die Tendenz beim BVerfG, dass IP-Adressen sich hinsichtlich der Schutzwürdigkeit einer pauschalen Bewertung entziehen. Ob man damit aber Rückschlüsse auf die Frage des Personenbezugs nach §3 BDSG ziehen kann, bezweifle ich.

    Interessant für Webseitenbetreiber ist, dass das BVerfG sich zur Frage äußert, auf welcher Rechtsgrundlage IP-Adressen von Dienstebereibern erhoben werden dürfen (es ging um einen Dienstleister, der ein Bankingportal betreibt):

    Als Rechtsgrundlage für eine Speicherung der IP-Adressen kommen sowohl die Vorschriften des Telekommunikations- als auch des Telemediengesetzes in Betracht. Nach § 96 Abs. 2 TKG dürfen Verkehrsdaten über das Ende der Verbindung hinaus nur verwendet werden, wenn dies zum Aufbau weiterer Verbindungen oder für die in §§ 97, 99, 100 und 101 TKG genannten Zwecke – Abrechnungszwecke, Störungsbeseitigung und Missbrauchsbekämpfung – erforderlich ist; im Übrigen sind sie nach Beendigung der Verbindung unverzüglich zu löschen. […] Soweit die Speicherung der IP-Adresse allein für die Herstellung einer verschlüsselten Verbindung unter Nutzung fremder Telekommunikationsdienste erforderlich wäre, kommen als Rechtsgrundlage §§ 14, 15 TMG in Betracht.

    Das ist verdient durchaus Beachtung, da das BVerfG hier m.E. ausdrücklich feststellt, dass IP-Adressen auch von Webseiten auf Grund der §§96ff. TKG erhoben werden dürfen. Gerade die Möglichkeit der Erhebung zur Störungsbeseitigung bzw. Missbrauchsbekämpfung sollte hierbei nicht untergehen.

    Aus strafrechtlicher Sicht sollte man ein Auge darauf richten, dass das BVerfG (im Umkehrschluss) klar stellt, dass Ermittlungsbehörden sich auf den §161 I StPO stützen können, um einzelne IP-Adressen zu ermitteln. Erst wenn im Gesamtbild ein erhöhter Schutzbedarf festzustellen ist, ist auch zwingend ein Richter zu fragen. Mit der hiesigen Begründung des BVerfG ist das keinesfalls zwingend oder automatisch der Fall.

  • Niederlande: Surfen im gehackten WLAN nicht strafbar (?)

    Gulli berichtet über ein interessantes Urteil aus den Niederlanden (dazu auch ein niederländischer Bericht): Dort surfte jemand über ein fremdes WLAN, allerdings hatte er zuvor die WLAN-Verschlüsselung umgangen. Das niederländische Gericht erkannte in der Umgehung der Verschlüsselung des WLAN keine Strafbarkeit, denn – so Gulli –

    Der Gesetzgeber erfasse lediglich Computer. Das Eindringen in einen Router um das Funksignal nutzen zu können sei hierfür nicht gedacht.

    Ein Anlass, sich mit der niederländischen Thematik zu befassen.
    (mehr …)

  • Urteil im Internetbetrugsfall: 4 Jahre Haft

    Beim Landgericht Bauzen (1 KLs 330 Js 7106/08) wurde über einen Internetbetrugsfall verhandelt, der insgesamt eine etwas grössere Dimension erhalten hat. Es ging u.a. um die „Kaufs’ein GmbH“ (dazu hier eine Dikussion von Käufern). Im Ergebnis finde ich, bei einem abgegeben vollumfänglichen Geständnis, die Gesamtstrafe von 4 Jahren durchaus beachtenswert, weswegen ich hier die Pressemitteilung des Gerichts zitieren möchte:

    Die 1. Strafkammer des Landgerichts Bautzen verurteilte den 38-jährigen gelernten Koch Enrico F. wegen Betruges in 298 tateinheitlichen Fällen (buy 24 Ltd.) in Tatmehrheit mit Betrug in 151 tateinheitlichen Fällen (Kauf`s ein GmbH) zu der Gesamtfreiheitsstrafe von vier Jahren.
    Der Verurteilung ging am gestrigen Tage eine Verständigung zwischen Verteidigung, Staatsanwaltschaft und Gericht voraus.
    Für den Fall eines umfassenden Geständnisses kündigte das Gericht an, keine Strafe über vier Jahre zu verhängen.
    Der Angeklagte gestand umfassend für die jeweiligen Firmen als Verantwortlicher agiert zu haben. Die Aussagen konnten heute durch die gehörten Polizeibeamten sowie durch die Anhörung einer Gutachterin des LKA und durch die Anhörung eines Wirtschaftsprüfers verifiziert werden.
    Im Ergebnis stand fest, dass der Angeklagte seine Firmen zum gewerbsmäßigen Betrug im o.g. Umfange nutzte.
    Das Geständnis, die deutlich dadurch abgekürzte Beweisaufnahme und die bisher erlittene Untersuchungshaft von ca. 12 Monaten führten zu der moderaten Gesamtfreiheitsstrafe von vier Jahren.
    Das Strafverfahren gegen Frau Inge K. wurde bereits gestern eingestellt, da diese lediglich als Strohfrau für ihren Sohn als Geschäftsführerin aufgetreten war, ein strafrechtlich relevantes Verhalten allein darin jedoch nicht gesehen werden kann.
    Das Urteil ist noch nicht rechtskräftig und kann noch mit dem Rechtsmittel der Revision zum Bundesgerichtshof – trotz der Verständigung – angegriffen werden.
    Urteil vom 01.03.2011, Az.: 1 KLs 330 Js 7106/08

  • Gepäck im Auge behalten!

    Wer am Flughafen sein Gepäck unbeaufsichtigt lässt und es sodann gestohlen wird, der bleibt auf einem ordentlichen Teil der Kosten sitzen. Das LG Hannover (13 O 153/08) stellte diesbezüglich fest, dass ein Abzug von 40% hinzunehmen ist, wenn jemand sein Kamerazubehör ohne Blickkontakt am Flughafenschalter abstellt und es infolge dessen gestohlen wird. Allerdings waren es schon sehr spezielle Umstände, wenn man liest, was das Landgericht festgestellt hat:

    Damit hat der Kläger die im Verkehr erforderliche Sorgfalt in ungewöhnlich hohem Maße verletzt und dabei unbeachtet gelassen, was in dieser Situation jedem hätte einleuchten müssen. Denn es ist nicht nachzuvollziehen, warum der Kläger die Tasche mit dem Kamerazubehör, deren Neuwert er selbst mit 43 981,90 € beziffert hat, sich nicht umgehängt hat, was bei dem Kläger angegebenen Gewicht mit ca. 8 – 10 kg möglich und zumutbar gewesen wäre, oder sich nicht zwischen die Beine gestellt oder vor sich abgestellt hat, so dass Blick- und Körperkontakt bestanden hätte.

    Dem ist nichts mehr hinzuzufügen.

  • Deutsche Spionagesoftware fürs Ausland: Strafbar?

    Deutsche Spionagesoftware fürs Ausland: Strafbar?

    Die Aufregung ist gross: Ein deutsches Unternehmen soll ägyptischen Sicherheitsbehörden eine „Spionagesoftware“ angeboten haben. Und natürlich ist gleich die Frage da: Ist das strafbar, wenn ein deutsches Unternehmen eine solche Software für ausländische Staaten erstellt?
    (mehr …)

  • Datenunsicherheit bei SSDs?

    Datenunsicherheit bei SSDs?

    Neue Technik, neue Probleme – aber eine derartige Unsicherheit ist doch noch mal was neues: Es geht um SSDs, die neue Speichertechnik, die einen technologischen Sprung verspricht (sobald die Medien auch preislich Massenware sind). Interessant finde, ich dass ich bei Heise das hier lese:

    Viele SSDs und USB-Sticks lassen sich nicht sicher löschen

    Während dagegen Gulli das hier berichtet:

    Als gelöscht markierte Daten auf SSDs sind oftmals nicht wiederherstellbar.

    Hopp oder Top: Lassen sich SSDs nun sicher löschen? Die Lösung findet man bei einem genauen Blick bei Heise – es kommt darauf an, ob der Befehl „ATA Secure Erase“ von dem Medium umgesetzt wird. Falls ja, trifft das zu, was Gulli.com berichtet, nämlich:

    Die Bereiche auf den verwendeten NAND-Transistor-Chips lassen sich erst wiederverwenden, wenn sie tatsächlich elektronisch gelöscht werden. Dies wird daher von der Firmware meist automatisch im Hintergrund erledigt, sobald Dateien zur Löschung markiert sind.

    Der Bericht bei Heise spricht aber eben jene SSD-Medien an, bei denen das nicht der Fall ist.

    Das Ergebnis bleibt damit: Es ist ein enormes Risiko, genutzte Datenträger an Dritte zu geben – gelöscht ist eben nicht immer gelöscht. Und mit SSD muss man darauf achten, das mit der neuen Technik auch wieder neue Feinheiten dazu kommen, die zu beachten sind. Ich denke, es wird nur eine Frage der Zeit sein, bis entsprechende Tools auf dem Markt sind, die „ATA Secure Erase“ prüfen und notfalls auch von Hand die Durchführung erlauben.

  • Vorsicht vor offenen WLAN

    Bei der WELT findet sich eine Warnung vor „kostenlosen Hotspots“, die nur zu unterstreichen ist: Wer einen fremden, unbekannten Hotspot findet und nutzt, muss sich des Risikos bewusst sein, dass der darüber abgewickelte Datenverkehr abgehört werden kann. Wer dann z.B. ohne vernünftige Verschlüsselung seine Mails abholt, riskiert nicht nur, dass die Mails an sich – ja sogar die Zugangsdaten zum Postfach vom WLAN-Betreiber abgefangen werden können. Der technische Aufwand hierzu ist, um es nett auszudrücken, minimal.

    Auch scheinbar vertrauenswürdige WLAN sind da kein Orientierungspunkt: Jeder kann sein Netz nennen wie er möchte, z.B. „T-Online Hotspot“. Daneben kann man sogar noch weiter gehen und anfangen Zahlungsdaten abzufragen. Etwa dass man seine Kreditkartendaten angeben soll, um 1h zu surfen – mit einem lokalen Proxy lässt sich das geschickt gestalten. Naives Vertrauen kann an dem Punkt richtig teuer werden.

    Fazit: Offene WLAN nutzen um Mails abzuholen? In der Theorie ja, in der Praxis bitte nur wenn man weiss, was man tut. Der Mail-Client muss so eingerichtet sein, dass Zugangsdaten und Mails nur verschlüsselt transportiert werden. Und wer Webseiten aufruft um dort Login-Daten etc. einzugeben, der sollte eine https-Übertragung zwingend nutzen.

  • Das Urteil: „Webcam-Hacker“ aus Aldenhoven ist schuldig

    Den Fall, in dem jemand bei Teenies via ICQ eine Schadsoftware verbreitete und damit deren Webcams fernsteuerte um sie auszuspionieren hatte ich von Anfang an begleitet. Da inzwischen auch Heise berichtet hat, setze ich die Kenntnis des Vorfalls hier schlicht voraus und schreibe zum bisher bekannten nichts Weiteres. Allerdings hatte ich beim Amtsgericht Düren das Urteil angefordert, welches mir inzwischen vorliegt. Eigentlich wollte ich dazu nun etwas schreiben, kann es aber leider nicht.
    (mehr …)

  • LG Kiel zur Besitzerlangung von Daten und Strafbarkeit von Links

    Als das OLG Hamburg (2-27/09) Anfang dieses Jahres feststellte, dass schon beim Betrachten von Bildern aus dem Internet – ohne dass diese dauerhaft gespeichert werden, auch nicht im Browser-Cache – Besitz vorliegt, gab es heftige Diskussionen dazu. Auch ich habe mich mit dem Urteil sehr ausgiebig beschäftigt und sagte dem Begriff des „normativen Besitzes“ eine gefährliche Zukunft voraus. Das LG Kiel (8 Kls 2/10) demonstriert nun, wie gefährlich.

    Wir verteidigen beim Vorwurf Kinderpornografie – seriös, hart und mit einem Ziel: Ihre Existenz zu sichern!

    (mehr …)

  • Wikileaks: Kein Geheimnisverrat nach §94 StGB

    War das Leaken der Wikileaks-Dokumente strafbar? Ist das „Spiegeln“ der Wikileaks-Dokumente eine Straftat nach deutschem Recht?

    In meinem ersten Artikel zum Thema Wikileaks habe ich kurz am Rande erwähnt, dass ich durch die Veröffentlichung von (mehr oder minder) geheimen Bortschafts-Depeschen den Tatbestand des §94 StGB („Landesverrat / Geheimnisverrat“) nicht betroffen sehe. In den letzten Tagen hat sich nun gezeigt, dass diese Frage hin und wieder aber sehr wohl zu Diskussionen führte – Stadler hat u.a. ein paar Zeilen mehr zu der Frage geschrieben. Daher lege ich hier kurz mit einigen Informationen zum Thema nach.
    (mehr …)

  • Keine gesetzliche Handhabe gegen Wikileaks?

    Mit Verwunderung habe ich heute auf Heise unsere Justizministerin gelesen, die dort angeführt wird:

    Nach den Enthüllungen der Internet-Plattform Wikileaks hat Bundesjustizministerin Sabine Leutheusser-Schnarrenberger (FDP) Behörden und Unternehmen dringend aufgefordert, ihre Daten besser gegen Missbrauch zu sichern. Eine Handhabe des Gesetzgebers gegen Wikileaks sieht die Ministerin nicht.

    Keine gesetzliche Handhabe? Im konkreten Fall mag ich das genauso sehen – aber grundsätzlich ist das keinesfalls ausgeschlossen. Wenn etwa ein Landesverrat (§94 StGB) im Raum steht, ist das nach §5 Nr.4 StGB auch bei ausländischen taten in Deutschland verfolgbar. Freilich sehe ich im aktuellen Leak keine „schwere Gefahr für die äußere Sicherheit der BRD“, wie es §94 StGB verlangt. Aber man sieht, dass Wikileaks hier durchaus schnell dünnen Boden begehen kann. Und auch wenn es um betriebliche Geheimnisse geht erstreckt §5 Nr.7 StGB das deutsche Strafrecht weit über nationale Grenzen hinaus.

    Also: Keine gesetzliche Handhabe? Wohl eher doch – nur eben muss nicht jeder Leak gleich strafbar sein. Vielmehr muss auch eine gewisse Relevanz vorhanden sein. Dass man quasi die Diplomaten-Gala nun für jedermann zugänglich macht mag unangenehm sein, ist aber keine Gefährdung staatlicher Interessen, also auch nichts, was das Strafrecht zu interessieren hat. Interessant wird es aber durchaus, wenn – wie angekündigt – Betriebsgeheimnisse (wie etwa für 2011 angekündigt von einer Bank) publiziert werden. Sollten hier deutsche Unternehmen einmal betroffen sein, dürfte das deutsche Strafrecht durchaus Anwendung finden können. Für den „Verräter“ ohnehin (§17 UWG), für den Verbreiter nach §17 II Nr.2 UWG, bei internationalen Helfern in Verbindung mit §5 Nr.7 StGB. Letztlich, bei gemeinschaftlichem Handeln, wird dann auch keine Relevanz mehr haben, wer was genau im technischen Prozess gemacht hat: Das Wiki-Prinzip dürfte hier wie eine Fallgrube wirken. An diesem Punkt zeigt sich die Bedeutung der Anonymität für die Mitarbeiter des Wikileaks-Projektes.

  • Amtsgericht Nürtingen zum SIM-LOCK entfernen

    Vor einiger Zeit schon hat Heise darauf aufmerksam gemacht, dass Staatsanwälte gegen einige ermitteln, die SIM-LOCKs aus ihren Handys entfernt haben. Nun gibt es bei denjenigen, die gewerbsmäßig SIM-LOCKs entfernen, kein Problem eine Strafbarkeit anzunehmen, bewegt man sich doch im Dunstkreis des §17 II Nr.2 UWG. Aber eine Strafbarkeit des Einzelnen, der einen SIM-LOCK durch einfache Eingabe eines Freischaltcodes beseitigt? Undenkbar. Oder?

    (mehr …)

  • Vorsicht: Leere Verpackungen bei eBay verkaufen?

    Der Verkauf von (leeren) Originalverpackungen (OVP) bei eBay erfreut sich einiger Beliebtheit. Und das nicht ohne Grund: Es gibt auf dem Markt durchaus Nachfrage nach solchen Verpackungen, speziell weil ein gebrauchtes Gerät, das man mit (gut erhaltener) OVP verkauft spürbar mehr Gebote erhält, als eines ohne. Aber: Bei dem Verkauf einer solchen Verpackung sollte man mit Bedacht vorgehen, ein kleiner Fehler kann schon fatale Konsequenzen haben, wie ein Angeklagter vor dem Amtsgericht Aachen nun erfahren musste.

    (mehr …)

  • Erstmals deutsches Urteil: Virtueller Diebstahl strafbar?

    Erstmals deutsches Urteil: Virtueller Diebstahl strafbar?

    Die Augsburger-Allgemeine berichtet von einem Urteil aus Augsburg, das erstmals den virtuellen Diebstahl behandelt (Über die Sache wurde schon Anfang 2009 berichtet). Der Sachverhalt ist verkürzt so darzustellen: Spieler A „stiehlt“ den Spielern B und C (nachdem er diesen ihre Zugangskennungen „abgeluchst“ hat) im Rahmen eines Computerspiels „Items“ ihrer Charaktere. Als die Spieler B und C ihre Charaktere nach einer Spielpause wieder sahen, waren sie sprichwörtlich halbnackt. Der Richter befand diesbezüglich auf eine strafbare Handlung.

    (mehr …)

  • BVerfG zur Vorratsdatenspeicherung

    Das Bundesverfassungsgericht (1 BvR 256/08) hat sich zur Vorratsdatenspeicherung geäußert und klar gestellt, dass sie in der im Jahr 2007 geplanten Version nicht rechtmäßig ist und – aber dass eine solche Datenspeicherung durchaus möglich sein kann.
    (mehr …)