Der Pressesprecher der Generalstaatsanwaltschaft Frankfurt am Main hat eine Pressemitteilung herausgegeben, die den unscheinbaren Titel trägt:
„Europaweite Durchsuchungen gegen Abnehmer der Smartphone Schadsoftware „DroidJack“ wegen des Verdachts des Ausspähens von Daten und des Computerbetruges“
Dahinter steht allerdings viel mehr – wobei hier nicht nur das (wohl umfangreichere) Ermittlungsverfahren zu sehen ist, sondern vielmehr eine allgemeine Entwicklung, die vielleicht Anlass zur Sorge gibt.
Der „Vorwurf“
Laut Pressemitteilung stellt sich das vorgeworfene Szenario aus Sicht der Staatsanwaltschaft wie Folgt dar:
Den Beschuldigten im Alter zwischen 19 und 51 Jahren wird zur Last gelegt, in den Jahren 2014 und 2015 über das Internet die Smartphone Schadsoftware „DroidJack“ erworben und eingesetzt zu haben. Die Schadsoftware ist für Mobiltelefone mit dem Betriebssystem Android konzipiert und eröffnet die Möglichkeit, die Kontrolle über das infizierte Smartphone vollständig zu übernehmen. Mit der Schadsoftware können unter anderem der Datenverkehr überwacht, Telefongespräche und Umgebungsgespräche heimlich abgehört sowie mit der Smartphone Kamera heimlich Bildaufnahmen gefertigt werden. Des Weiteren können von dem infizierten Gerät Telefonate initiiert sowie SMS versandt, Daten eingesehen und verändert sowie der Standort des Smartphones loka lisiert werden. Die Schadsoftware ist insbesondere beim sog. „Phishing“ im Online Banking von erheblicher Bedeutung, da sie das Erlangen der „Mobile TAN“ ermöglicht.
Hintergründe
Das jetzige Vorgehen wird nicht aus dem Nichts gekommen sein. Ich vermute, dass der Hintergrund vielmehr bereits im Mai 2014 laufende Ermittlungen des BKA waren, seinerzeit hatte das BKA wegen des Abfangens von mTANs u.a. auf Android-Systemen ermittelt und auch später eine offizielle Warnung herausgegeben. Es wäre durchaus realistisch, dass sich im Zuge dieser Ermittlungen der Einsatz von Androidjack zum Abfangen von mTANs gezeigt hat und dann weitere Ermittlungen in Richtung Androidjack angestoßen wurden.
Mögiche Strafbarkeit
Die Frage der Strafbarkeit stellt sich bei zwei Verhaltensweisen:
- Ist bereits der Erwerb oder das spätere Besitzen der Software strafbar?
- Ist der Einsatz der Software strafbar?
Kauf oder Besitz der Software
Der reine Erwerb oder Besitz einer Software kann aus meiner Sicht – von Sonderfällen wie dem illegalen Beschaffen geschützter Software, §17 II UWG – vorwiegend im Bereich des §202c StGB, dem „Hackparagraphen“ eine Rolle spielen. Dieser hält fest
Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er (…) Computerprogramme, deren Zweck die Begehung einer solchen Tat ist (…)
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird (…) bestraft.
Das BVerfG hatte zwischenzeitlich klargestellt, dass so genannte Dual Use Tools von dieser Regelung nicht betroffen sein können. Dabei geht es um Software, die zwar kriminell genutzt werden kann, aber eben auch für ganz legale Aufgaben wie etwa Sicherheitstest oder Belastungstests. Es stellte kurzerhand fest
„Nach alledem ließe es sich nicht vertreten, im Rahmen des § 202c Abs. 1 Nr. 2 StGB für die Bestimmung des Zwecks eines Computerprogramms auf dessen Eignung oder auch spezifische Eignung abzustellen (…) lässt sich dem Rechnung tragen durch eine Auslegung, die zwar von den Absichten des Programmentwicklers ausgeht, aber zusätzlich eine äußerlich feststellbare Manifestation dieser Absichten fordert. Eine solche Manifestation mag in der Gestalt des Programms selbst liegen – im Sinne einer Verwendungsabsicht, die sich nunmehr der Sache selbst interpretativ ablesen lässt (…) oder auch in einer eindeutig auf illegale Verwendungen abzielenden Vertriebspolitik und Werbung des Herstellers“ – BVerfG, 2 BvR 2233/07
Es genügt mit dem BVerfG also nicht einmal eine spezifische (besondere) Eignung einer Software, sondern es muss eine konkrete deliktische Verwendungsabsicht erkannt werden. Hierzu äussert sich auch die GeSta in Ihrer Pressemitteilung:
Die Software ist kein sogenanntes „dual use“ Tool, welches beispielsweise von IT Sicherheitsfirmen zu Sicherheitstests eingesetzt wird, sondern dient ausschließlich da zu, kriminelle Handlungen zu begehen. Die Infektion von Smartphones durch die Schadsoftware kann unter anderem dadurch erfolgen, dass legale Programme, wie etwa Smartphone Computerspiele, mit einem Schadcode infiziert werden. Die Schadsoftware ist derart konzipiert, dass sie auch von versierten Smartphone Nutzern nicht ohne weiteres entdeckt werden kann.
Das überzeugt mich in dieser Form erst einmal nicht. Die Software wird offensiv als „Remote Administration Tool“ beworben. Dabei ist bekannt, dass Fernwartungssoftware automatisch ein Missbrauchsrisiko mit sich bringt, so dass alleine auf Grund des Funktionsumfangs nicht auf eine allein deliktische Verwendungsmöglichkeit geschlossen werden kann. Auch die Bewerbung als Fernwartungswerkzeug spricht gegen eine alleine und eindeutige deliktische Verwendung, insoweit sei daran erinnert, dass sich das BVerfG bei „nmap“ bereits daran störte, dass die Software als „Sicherheitsanalysewerkzeug“ betitelt war. Abschliessend ist zu sehen, dass es für die genannten Funktionen durchaus nachvollziehbaren Bedarf gibt – dass man etwa das eingebaute Mikro unerkannt einschaltet oder die Position unbemerkt trackt wird spätestens dann sinnvoll, wenn man sich einen Diebstahl des Smartphones vor Augen hält. Auch sonst macht ein umfassender Fernzugriff Sinn, etwa wenn man bedenkt, dass bis heute kaum brauchbare Dual-SIM-Handys auf dem Markt verfügbar sind. Einfacher ist es, eine zweite Sim in ein ferngesteuertes Handy einzulegen.
Abschliessend sei kurz angemerkt, dass der §202c StGB als „überschiessende Innentendenz“ fordert, dass der Nutzer solcher Software selbige mit dem Vorsatz besorgt hat, eine tat nach §§202a, 202b StGB zu begehen. Dies alleine aus einem Kauf rückschliessen zu wollen betrachte ich – höflich ausgedrückt – als sehr sportlichen Ansatz.
Verwendung der Software
Problematischer ist es, wenn nachgewiesen werden kann, dass die Software tatsächlich nicht nur im erlaubten Umfeld eingesetzt wurde. Wer damit andere ausspioniert hat kann sich ebenso strafbar gemacht haben wie jemand, der tatsächlich mTANs abgefangen hat um damit Vermögenswerte zu verschieben. Allerdings sei nochmals – ich werde diesbezüglich ja nicht müde – daran erinnert, dass man auch hier kritisch fragen muss, ob es sich wirklich um einen Computerbetrug handeln würde oder nicht vielmehr doch ein „normaler“ Betrug zu erkennen wäre.
Übereifrige Ermittlungsverfahren
Ich teile grossteils die schon geäußerte Kritik daran, dass hier sehr öffentlichkeitswirksam agiert wird und auch dass man Fakten verkürzt. Ich denke aber, dass wahrscheinlich oben benanntes BKA-Verfahren im Hintergrund gelaufen ist und man insoweit nicht alleine reinen Aktionismus vorwerfen muss. Gleichwohl stellt sich die Frage, inwieweit es angemessen ist, bei jedem neugierigen Käufer, der sonst nie aufgefallen ist und dessen Kauf über 1 Jahr her ist, gleich mit einem Durchsuchungsbeschluss anzurücken. Auch die generelle Kriminalisierung aller potentiellen Käufer solcher Software mag ich nicht teilen, die Wortwahl in der Pressemitteilung geht schlicht an der Realität vorbei.
Es mag sein, dass man hier auf einen gewissen Generalpräventiven Effekt setzt, was allerdings weder Aufgabe der Ermittlungsbehörden noch des Ermittlungsverfahrens ist. Auch weiss ich nicht, ob ich nicht inzwischen eine Art Wettbewerbs zwischen den wenigen im IT-Strafrecht spezialisierten Staatsanwaltschaften beobachten möchte dahin gehend, wer besonders spezielle Verfahren führt – es bleibt abzuwarten, ob sich ein derartiger Wettbewerb, dann auf Kosten der Betroffenen, entwickelt. Er wäre jedenfalls eine rechtsstaatswidrige Triebfeder bei solchen Pressemitteilungen.
Fazit zum Thema Droidjack
Den hier pauschal heraus zu lesenden Vorwurf, bereits der Kauf der Software Droidjack wäre strafbar, teile ich nicht. Auf Grund des nun einmal aber vorhandenen Missbrauchspotentials der Software sind Ermittlungen in diese Richtung eben nicht pauschal falsch; wohl aber Durchsuchungen bei Käufern alleine auf Grund der Tatsache des Kaufs an sich. Eine Strafbarkeit droht jedenfalls dort, wo Nutzer tatsächlich ausspioniert wurden und natürlich dort, wo man in betrügerischer Absicht die Software zum Einsatz gebracht hat.
Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht.