Vorgestern hatte die Generalstaatanwaltschaft Frankfurt am Main 13 Wohnungen in Deutschland (und weitere im Eurpoäischen Ausland) durchsuchen lassen. Den Wohnungsinhabern werden Verstöße nach §§ 263a Abs.1, Abs. 4, 202a Abs.1, 202c Abs. 1 StGB vorgeworfen:

• Computerbetrug,
• Ausspähen von Daten und
• Vorbereiten des Ausspähens und Abfangens von Daten.

Verschiedene Agenturen, hier zitiert vom SPON, haben darüber berichtet, ich habe hier eine erste Stellungnahme dazu geschrieben. Auch die Strafrechts-Blogger Andreas Jede und Udo Vetter haben sich dazu geäußert.

Anlaß für die Einleitung des Ermittlungsverfahrens war der Kauf von „DroidJack“, eine Software, die es ermöglichst, die Kontrolle über ein Smartphone zu übernehmen: Ein „Remote Administration Tool“ (RAT).

Allein der Ankauf, von dem die Ermittler erfahren hatten, löste diese bundesweite Razzia aus.

Mir liegt nun der Durchsuchungsbeschluß des Amtsgerichts Gießen vom 14.10.2015 vor. Er trägt die typischen Merkmale dafür, daß der komplette Text nicht vom unterzeichnenden Richter, sondern vielmehr vom Staatsanwalt formuliert wurde, der den Erlaß dieses Beschlusses beantragt hat. Das ist ein übliches Vorgehen in der Jusitz: Die Ermittler sind in den Sachverhalt ein- und der Ermittlungsrichter überarbeitet. Die vom Gesetzgeber installierte Kontrolle der Exekutive durch das Gericht wird auf diesem Wege ins Leere geführt.

Was wollten die Ermittlungsbehörden erreichen?
Das formulierte Ziel der Ermittler war und ist die Sicherstellung von IT-Hardware, also

• Computer,
• Laptops,
• Mobiltelefone,
• Server,
• externe Festplatten und
• sonstige elektronische Speichermedien.

Von Bedeutung ist selbstredend die Kopie bzw. Installation von „DroidJack“ selbst. Aber auch die unter „Nutzung der Schadsoftware ausgespähte persönliche Daten der Opfer“. Auch schriftliche und elektronische Dokumente zum Erwerb und Einsatz von „DroidJack“, sowie Passworte und Hinweise auf beweiserhebliche Daten in der Cloud.

Nebenbei gesagt:
Die Behörden gehen also an dieser Stelle schon fest davon aus, daß es „Opfer“ gibt. Das ist das Niveau, auf dem üblicherweise der Boulevard berichtet. Hey, Herr Staatsanwalt! Opfer gibt es nur, wenn es Täter gibt. Und das stellt ein Richter irgendwann nach einer Beweisaufnahme vielleicht einmal fest. Die Verwendung des Begriffs „Geschädigte“ an dieser Stelle des Verfahrens, hätte signaliesert, daß Sie ihre Aufgaben ernst nehmen und professionell arbeiten.

Was steht nun drin in dem Beschluß, dessen Text auf zwei Seiten paßt?

Es sollen Anhaltspunkte dafür vorliegen, daß der Beschuldigte 2014 das Tool „Droidjack“ für 200 $ gekauft hat. (Liebe Zivilrechtler: Steht damit eigentlich auch schon fest, daß er es auch erhalten hat? #Abstraktionsprinzip)

DroitJack soll eine Schadsoftware sein, ein sogenanntes Remote Administration Tool (RAT).

Die Feature dieses Tools seien

• FileVoyager,
• SMS-Trekker,
• Call Manager,
• Contacts Browser,
• Remote Ears,
• Remote Eyes,
• GPSLocator
• Message Toaster und
• App Manager.

Diese Funktionen werden mit jeweils einem kappen Satz beschrieben.

In drei Zeilen wird beschrieben, wie DroidJack auf das Smartphone gelangt, also wir die „Infektion“ und „Injektion“ erfolgen sollen.

Mitgeteilt wird auch, daß DroidJack konspirativ konzepiert sei: Selbst versierte Smartphone-Nutzer sollen nichts merken, wenn sie gehackt worden sind. (Woher wissen die das? Dazu unten mehr …)

Wie lautet der konkrete Tatvorwurf?

Behauptet wird, daß Droidjack kein sog „dual-use“-Tool sei, was legal und illegal eingesetzt werden kann. Ausschließlich (!) die Vorbereitung und Begehung von kriminellen Handlungen sei damit möglich.

Gegründet auf diese unsinnige Behauptung wird eine Wahrscheinlichkeitsrechnung aufgemacht: Wer eine „only-bad-use“-Schadsoft kauft, mit der man ausschließlich (!) Straftaten begehen kann, der begeht damit sehr wahrscheinlich auch diese Straftaten.

Doch, einen Beleg für diese Behauptung hat die Staatsanwaltschaft gefunden: Im Zusammenhang mit dem Übertragen der Software auf das entfernte Smartphone wird der Begriff „victim“, also Opfer, genutzt. Na gut, das ist natürlich ein schlagender Beweis; wenn das so in der Bedienungsanleitung steht …

Wie sieht die Beweislage aus?
Hauptgrundlage des Verdacht sind nicht etwas konkrete Belege eine Inbetriebnahme der Software durch den Beschuldigten. Sondern – tätäääh –

• die Berücksichtigung kriminalistischer Erfahrungswerte im Phänomenbereich Cybercrime.

Wenn der Beschuldigte die Schadsoftware, die geeignet ist zur Vorbereitung von Computerbetrugsstraftaten und Datenausspähungen besitzt, dann beabsichtigt er auch, sie dazu einzusetzen, „um Daten, insbesondere fremde digitale ldentitäten, auszuspähen und Computerbetrugsdelikte mittels Einsatz des infizierten Systems zu begehen.“

Übrigens:
Das wichtigste Intrument der kriminalistisch Erfahrenen steht auch bei uns in der Kanzlei.

Motivation für die weiteren Ermittlungen
Im letzten Absatz der Fake-Begründung des Durchsuchungsbeschlusses setzt noch einmal eine Motivationsphase an. Der Autor (Staatsanwalt? Richter? S.o.) beschreibt den „primären Nutzen“ fremder Zugangsdaten und was man damit alles in „Webportalen wie Amazon, Ebay“ anstellen könnte. Beschrieben wird, welche Möglichkeiten man mit Kreditkartendaten hätte: „Unter fremder Identität betrügerisch Waren und Dienstleistungen entgegen zu nehmen, ohne die Gegenleistung aus eigenem Vermögen erbringen zu müssen“. Abfangen von TANs, „um Phishing-Delikte im Online-Banking zu begehen“.

Mit schlecht angespitzten Buntstiften gemalte Stimmungsmache ohne jede rechtliche Relevanz für den massiven Eingriff in Grundrechte.

Doch noch ein „Beleg“ für die kriminelle Energie des Beschuldigten?
Er hat den Wahnsinnsbetrag von 200 Dollar ausgegeben. Diese Investion muß sich amortisieren. Und weil es keine Anhaltspunkt für den Erwerb der Schadsoftware zu legalen Zwecken gäbe, will der Beschuldigte ausspähen und betrügen. Nein, kein Beleg, sondern ein Zirkelschluß.

That’s all, Folks!

Was steht nicht drin?
Es gibt keinen konkreten Anhaltspunkt dafür, ob der Beschuldigte die Software überhaupt bekommen hat und sie besitzt, ob er sie installiert und in Betrieb genommen hat, ob er fremde Smartphones damit angegriffen hat, ob ein Schaden entstanden ist, ob es „Opfer“ (korrekt: Geschädigte, s.o.) gibt.

Nichts Konkretes weiß man nicht. Und trotzdem nimmt man dem Beschudigten seine Hardware weg und – wenn es sich um einen IT’ler handelt, der seinen Lebensunterhalt mit den beschlagnahmten Rechner verdient – zerschießt ihm seine wirtschaftliche Existenz.

Und bevor die nun in den Katakomben des Landeskriminalamts lagernden Speichermedien analysiert wurden, hat Bill Gates sich auf seinen Altersruhesitz in Kalifornien zurück gezogen und züchtet dort Orchideen. Es sei denn, es kommt ein Verteidiger und macht den hessischen Ermittlern ein wenig Feuer unter ihre häßischen Kunststoffledersessel.