Käufer der angeblichen Hackersoftware „Blackshades“ müssen in Deutschland mit einer Hausdurchsuchung rechnen. Seit einigen Tagen läuft die bundesweite Durchsuchungsaktion, die das Bundeskriminalamt steuert. Bei den Durchsuchungen wird die gesamte Hardware des Betroffenen sichergestellt.
Die Polizeiaktionen richten sich allerdings nicht gegen Nutzer, die Blackshades nachweislich illegal eingesetzt haben. Vielmehr knüpfen die Behörden laut den Durchsuchungsbeschlüssen des Amtsgerichts Gießen, die ich kenne, lediglich an den Erwerb der Software an. Verdächtig sind also alle Käufer der Software, schon weil sie diese gekauft haben.
So viel ist klar: Blackshades, bis vor kurzem online zu erwerben, ist ein Tool, das für vielerlei Angriffe auf fremde Rechner geeignet ist. Es kann die Kontrolle über fremde Computer übernehmen. Ebenso ist Blackshades unter anderem in der Lage, als Keylogger zu dienen, die Webcam zu steuern, Screenshots des Bildschirms über die Fernsteuerung zu machen. Es eignet sich also durchaus zum Diebstahl digitaler Identitäten.
Außerdem verfügt Blackshades über eine „Ransomware“-Funktion, die den Rechner des Nutzers blockieren kann. Diese soll ausgenutzt worden sein, um von den Eigentümern gekaperter Systeme Lösegeld für die Freigabe der Daten zu fordern.
Allerdings gibt es eine Vielzahl von Software, die gleiche oder ähnliche Funktionen hat. Viele der Softwarekomponenten von Blackshades sind gängiges Arbeitswerkzeug von Administratoren, Nerds, nichtkriminellen Hackern und stinkormalen PC-Schraubern.
Dennoch bejahen die Durchsuchungsbeschlüsse, erlassen vom Amtsgericht Gießen, einen Anfangsverdacht wegen bloßen Besitzes der Software. Nach Auffassung des Gerichts handelt es sich bei Blackshades nämlich nicht um eine „dual-use“-Software, die für legale wie illegale Zwecke eingesetzt werden kann.
Die Beantwortung dieser Frage ist aber juristisch weichenstellend. Denn für die Anwendung des seit langem umstrittenen „Hackerparagrafen“ reicht es nach höchstrichterlicher Rechtsprechung eben nicht aus, dass eine Software Schaden anrichten kann. Vielmehr fordert das Bundesverfassungsgericht eine strenge Auslegung der sehr weit gefassten Vorschrift. In ihrer Grundsatzentscheidung zu dem Thema betonen die Richter, dass zumindest bei einer „dual-use“-Software nicht automatisch ein strafbares Hackertool vorliegt.
Das Amtsgericht Gießen verneint nun den „dual use“. Allerdings ohne nachvollziehbare Begründung. In dem Beschluss wird behauptet, die Software diene ausschließlich zur Begehung krimineller Handlungen, sie enthalte nämlich keinerlei „legitime Funktionalitäten“. Wie die Abgrenzung erfolgt – darüber kein Wort.
Überdies hat das Bundesverfassungsgericht auch klar gemacht, dass es auch auf den Vorsatz des Softwarenutzers ankommt. Ein Hackertool wird also erst ein Hackertool, wenn der Betreffende den hierfür erforderlichen Willen hat.
Es ist klar, dass der bloße Kauf von Software kein ausreichendes Indiz dafür ist, dass diese auch strafbar genutzt werden soll.
Das Gericht bejaht dennoch den Anfangsverdacht. Dies geschieht mit einer Begründung, wie wie wir sie zuletzt im Fall Edathy gehört haben. Laut Gericht begründet „kriminalistische Erfahrung im Phänomenbereich Cybercrime“ den Verdacht, der Käufer von Blackshades werde das Programmpaket nutzen, um fremde digitale Identitäten auszuspähen. Primärer Nutzen sei es, dann auf Webportalen wie Amazon und Ebay und / oder via Kreditkarte betrügerisch Waren oder Dienstleistungen entgegenzunehmen.
Das Amtsgericht Gießen sieht sogar einen konkreten Anreiz für jeden Blackshades-Käufer, die Software strafbar zu nutzen. Immerhin, so die Argumentation in den mir bekannten Fällen, habe der User Geld für das Programm gezahlt. Ihm komme es also geradezu darauf an, diese Ausgabe durch entsprechende Einnahmen aus dem betrügerischen Einsatz von Opferdaten zu kompensieren.
In den mir bekannten Fällen haben die Beschuldigten stolze 27,95 Euro für Blackshades bezahlt.
Wie im Fall Edathy wird hier mit nebulöser kriminalistischer Erfahrung, beim Kaufpreis sogar mit absurd hochgebauschten Unterstellungen gearbeitet.
Da überrascht es nicht, dass die Ermittlungen im Fall Edathy und Blackshades beide an gleicher Stelle geführt werden. Zuständig ist die Cybercrime-Schwerpunktstaatsanwaltschaft ZIT in Gießen, die auch für den Sitz des Bundeskriminalamtes zuständig ist. Interessanterweise ist es auch der gleiche Richter, welcher die Beschlüsse in den Fällen Edathy (Operation SPADE) und nun Blackshades erlassen hat. Über das BKA in Wiesbaden kamen die Ermittlungen ins Rollen, denn dieses erhielt laut dem Gerichtsbeschluss seine Informationen vom amerikanischen FBI.