Das BKA zerschlägt die Infrastruktur von Emotet: Mit welcher Rechtsgrundlage?
von , veröffentlicht am 02.02.2021Dr. Dennis-Kenji Kipker/Michael Walkusz
Zahlreichen Berichten konnte man seit dem 27. Januar 2021 entnehmen, wie das BKA und die Generalstaatsanwaltschaft Frankfurt am Main in Kooperation mit ausländischen Strafverfolgungsbehörden die Schadsoftware „Emotet“ unbrauchbar gemacht hat. So überragend dieser Erfolg auch ist, stellt sich die Frage nach einer tauglichen Rechtsgrundlage für das Handeln des BKA. Denn als Eingriff in das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme (IT- bzw. Computer-Grundrecht) bedarf dieses Handeln einer verfassungsrechtlichen Rechtfertigung.
Grundsätzlich ist festzustellen: Beim Beseitigen einer Schadsoftware handelt es sich um eine Maßnahme der Gefahrenprävention, somit scheiden vorerst Rechtsgrundlagen für repressive Strafverfolgung, wie die der StPO oder der EU Europol-Verordnung, aus. Als taugliche Rechtsgrundlage kommt jedoch das BKA-Gesetz (BKAG) in Betracht.
Im BKAG finden sich zahlreiche, vor allem auf die Datenerhebung abzielende Befugnisnormen. Nur hat der vorliegend zu beurteilende Fall nicht wie so häufig die rechtmäßige Datenerhebung, sondern die Übernahme und die Zerschlagung der Infrastruktur einer Schadsoftware zum Gegenstand. Dabei muss nicht nur in IT-Systeme der Täter, sondern auch in Systeme der Opfer eingedrungen und die betreffenden Daten dergestalt verändert werden, bis diese unschädlich sind. Ein solches behördliches Handeln geht mithin weit über die bloße Datenerhebung hinaus, weshalb auch die entsprechenden Befugnisnormen wie z.B. §§ 9, 49 BKAG nicht als taugliche Ermächtigungsgrundlage herangezogen werden können.
Wird die Verbreitung und Verwendung der Schadsoftware Emotet unter Berücksichtigung, dass auch staatliche Stellen angegriffen wurden, unter den Begriff des „internationalen Terrorismus“ subsumiert, so steht dem BKA die allgemeine Generalklausel der Gefahrenabwehr gem. § 38 Abs. 1 BKAG zur Verfügung. Hiernach ist das BKA ermächtigt, alle „notwendigen Maßnahmen“ zu treffen, um eine Gefahr des internationalen Terrorismus abzuwehren. Für Eingriffe und Veränderungen in IT-Systemen des Täters ist diese Norm eine taugliche Rechtsgrundlage. Allerdings erfolgten auch Eingriffe in IT-Systeme der Opfer, um die Schadsoftware weltweit zu beseitigen. Hier stellt sich die Frage, ob die Opfer auch die richtigen Adressaten dieses Eingriffs sind. Zunächst wäre anzudenken, dass die Opfer gem. § 38 Abs. 1 S. 2 BKAG, § 18 BPolG Zustandsstörer sind, da aus ihren IT-Systemen, die mit der Schadsoftware infiziert sind, weiterhin eine Verbreitungsgefahr besteht. Sieht man die Opfer aber nicht als Zustandsstörer an, so ist hilfsweise auch ein Rückgriff auf die Inanspruchnahme des „Nicht-Störers“ aus § 20 Abs. 1 BPolG möglich. Die Vorschrift erlaubt es, bei erheblichen Gefahren auch in die Rechte der nicht verantwortlichen Personen einzugreifen, soweit eine effektive Inanspruchnahme anderer Störer nicht in Betracht kommt.
Neben der Tatbestandsseite ist für das Handeln des BKA auch die Rechtsfolgenseite zu betrachten. Zwar wird dem BKA hier ein behördliches Ermessen eingeräumt, das Handeln muss aber dennoch dem verfassungsrechtlichen Verhältnismäßigkeitsgrundsatz entsprechen. Ein Eingriff in die IT-Systeme der Täter mag sicherlich angemessen sein, beim Eingriff in die Systeme der Opfer bedarf es aber näherer Betrachtung. Denn auch wenn die Schadsoftware großen Schaden anzurichten droht, darf nicht außer Acht gelassen werden, dass der Eingriff in das Computer-Grundrecht nicht nur schwerwiegend ist, sondern auch hohen verfassungsrechtlichen Maßstäben genügen muss. Soweit bekannt, wurde im vorliegenden Fall durch das BKA nicht nur in unzählige IT-Systeme von nicht verantwortlichen Personen eingegriffen, sondern es wurden in diesen Systemen auch Daten verändert. Der Eingriff beschränkte sich folglich nicht auf einen lesenden Zugriff. Bei der juristischen Bewertung dieses Eingriffs in die Opfer-IT-Systeme kommt es sicherlich in erheblichem Maße auf die einzelnen Umstände an. Die Rechtmäßigkeit eines generell weiträumigen Eingriffs, bei dem eine große Zahl nicht verantwortlicher Personen betroffen ist, dürfte für die Schadensbegrenzung unter Verhältnismäßigkeitsgesichtspunkten aber zweifelhaft sein – unabhängig vom erzielten Ergebnis.
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
21 Kommentare
Kommentare als Feed abonnierenWenn ein Polizist (m/w/d) einen Einbrecher (m/w/d) in einer fremden Wohnung einen Safe knacken sieht, würde er diesem wohl in die Wohnung folgen, auch wenn er damit in das Recht auf Unverletzlichkeit der Wohnung eingreift.
Wenn ein Polizist (m/w/d) einen Ertrinkenden (m/w/d) aus dem Wasser zieht, greift er dabei in das Recht des/der Ertrinkenden auf Freiheit und Freizügigkeit ein. Der/die Ertrinkende erteilt dazu auch nicht unbedingt eine Einwilligung.
Trotzdem würden wir beides wohl nicht als unverhältnismäßig ansehen.
Ist die Entfernung gefährlicher Schadsoftware von fremden Rechnern so anders? Kann man so sehen, muss man aber nicht.
Hallo Leser von 16-14 h vom 02-02-2021:
In Rettungsfällen wird gewöhnlich eine mutmaßliche Einwilligung der Betroffenen konstruiert, außerdem gibt es gesetzliche Grundlagen im Gefahrenabwehrrecht (Polizeirecht).
Für den anderen von Ihnen ausgedachten Fall gibt es ebenfalls auch gesetzliche Grundlagen, die regeln, daß unter bestimmten Voraussetzungen (z.B. Nichterreichbarkeit eines Richters, Gefahr in Verzug) auch ohne richterlichen Durchsuchungsbeschluss Hausdurchsuchungen und auch ohne richterlichen Haftbefehl Festnahmen möglich sind.
Jurastudenten lernen gewöhnlich bereits im Grundstudium die Lehre vom Gesetzesvorbehalt und die Wesentlichkeitstheorie (sowie den Begriff des sogeanannten Parlamentsvorbehaltes). Sind Sie (also der Leser vom 02-02-2021 mit Kommentar von 16h14 vielleicht noch im ersten Semester? Oder streben Sie etwa die Abschaffung des Gesetzesvorbehaltes an?
Die Frage der Verhältnismäßigkeit ist eine separate Frage, und ersetzt keine gesetzliche Ermächtigungsgrundlage.
Fragen Sie vielleicht besser öfter mal Ihren Professor oder AG-Leiter oder Tutor oder Repetitor.
Die Beck-Community ist kein Nachhilfeforum für Erstsemester.
Wenn Sie Ihren Kommentar noch mal in Ruhe durchlesen, werden Sie vielleicht verstehen, wieso er etwas deppert wirkt.
Och nö - eigentlich nicht. wohlstrukturiert und faktenreich. Rechtsgetreu. Ihr gedanklicher "Leser"-Furz 13:06 wirkt hingegen - nicht nur etwas - deppert.
"Rechtsgetreu"
Schönes Wort. :-) Haben Sie das schon beim DPMA registrieren lassen, bevor andere die Verwendung übernehmen?
Hallo Herr Dr. Dennis-Kenji Kipker,
hallo Herr Michael Walkusz,
ganz herzlichen Dank für diesen sehr guten und gut geschriebenen Beitrag.
Mit besten Grüßen
Peter Winslow
Lieber Herr Winslow,
ganz herzlichen Dank, das freut uns sehr!
Schöne Grüße
Dennis Kipker
Sollten die Bedenken gegenüber ausländischen staatsnahen und geheimdienstnahen EDV-Attacken zutreffen, so würden die sich natürlich irre freuen,wenn inDeutschland man nicht besseres zu tun wüsste, als solch "datenschutzrechtliche" Sorgen zu machen und Sicherungsmaßnahmen zu torpedieren. Freilich - ein Maas wusste nichts besseres, als sich LInkswerkdurchsetzungsrechtlich gegen Meinungsfreiheit zu profilieren, anstatt a) meinetwegen Rechtsfragen wie die hier angeschnittenen sinnvoll präzise zu lösen b) staatliche Stellen technisch zu befähigen und instandzusetzen, sich und Deutschland, deutsche Firmen und Private, gegen Attacken zu wehren und abzuwehren, zu schützen.
Sehr geehrte Autoren,
Ihre Fragen sind berechtigt. Schon, dass es sich bei den Urhebern/Betreibern der Schadsoftware um internationale Terroristen handele (und nicht um sonstige Kriminelle) ist nicht selbstverständlich.
Und dass das BKA gegenüber Terroristen oder Nichtterroristen ein Recht auf Rechnermanipulation habe, auch nicht.
Sollte es sich herausstellen, dass das BKA dieses Recht nicht hatte, wäre sicher nicht der richtige Weg, Infiltrationen tatenlos zuzusehen, sondern (falls noch nicht vorhanden) dieses Recht unter rechtstaatlicher Einhegung zu schaffen.
Können Sie näher beschreiben, warum welche Änderungen an Systemen "Unschuldiger" (bloße Zustandsstörer) nötig waren?
Vielen Dank!
Liebe Leserin, lieber Leser,
haben Sie vielen Dank für Ihre Nachricht und die Erläuterungen. Im Hinblick auf die genaue technische Vorgehensweise und die Umstände auf den Betroffenensystemen sind leider keine Details öffentlich bekannt, weshalb unsere juristische Bewertung des Sachverhalts auch nicht abschließend möglich gewesen ist. Ich kann Ihnen jedoch beispielsweise diesen Spiegel-Online-Artikel nahelegen (Emotet: BKA-Ermittler zerschlagen Infrastruktur der berüchtigten Schadsoftware - DER SPIEGEL), der einige Hinweise enthält.
Schöne Grüße
Dennis Kipker
Nu, ast 02-04 22:05Uhr - als technischer Laie stelle ich mir das in Analogie zur Virenstreuung so vor: wenn die Verbrecher Schadsoftware auf privaten Apparaten Dritter implantiert haben sollten, von denen wiederum diese "Viren" weitergestreut werden können, dann sind sie zu vernichten.
Denkbar erscheint mir (internationalen Terrorismus immer unterstellt) aber auch, dass, nachdem die Behörden die Kontrolle über die Server hatten,
1. die lokalen Malware-Instanzen ihren Server nicht mehr finden und ihre Funktionalität deshalb fehlgeht (das käme mE ohne Grundrechtseingriff aus) oder
2. über die Server alleine die Malware durch "Updates" in ihrem Verhalten verändert oder deaktiviert werden konnte (hier wäre der Eingriff so gering, dass evtl. die Gefahrenabwehr-Generalklausel ausreichen könnte.
Lieber Herr Brinkmann,
ich danke für Ihre Frage! Das Grundrecht findet sich nicht direkt im Grundgesetz, sondern wird als Ausprägung des Allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 iVm. Art. 1 Abs. 1 GG im Wege der bundesverfassungsgerichtlichen Rechtsprechung hergeleitet. Ich hoffe, die Auskunft hilft Ihnen weiter.
Schöne Grüße aus Bremen,
Dennis Kipker
@Herr Brinkmann: http://www.bverfg.de/e/rs20080227_1bvr037007.html
Vielen Dank für die Zurverfügungstellung des Links!
Voßkuhle, damals noch Präsident des BVerfG , schrieb in FAZ 27.2.2020, S. 8, tapfer in zitierten hämischen Worten einer Verfassungsrichterin in einem Sondervotum: „Der Senat antwortet auf Fragen, die der Fall nicht aufwirft, mit Verfassungsgrundsätzen, die das Grundgesetz nicht enthält."
Damit stehen wir vor einem Grundproblem zwischen Rechtsstaat und Demokratie. Selbstredend könnte parlamentarisch ein Grundrecht additiv neu erzeugt werden, wenn der demos es wollte. So aber produziert ein BVerfG permanent "Verfassungsgrundsätze(n), die das Grundgesetz nicht enthält." Hinzukommt die "unbegrenzte Auslegung" (Rüthers, freilich nicht zu GG und BVerfG, die Diagnose "passt" in der Sache freilich durchaus, vgl. 30.6.2017 durch den Bundestag).
Sehr geehrter Kommentator,
wenn ich Ihren Beitrag richtig verstehe, dann kritisieren Sie - anlässlich des von mir oben gesetzten Links auf das BVerfG-Urteil zur Online-Durchsuchung - dass das BVerfG neue Grundrechte "erfindet", statt dies dem Verfassungs-Gesetzgeber zu überlassen.
Das kann man so sehen und diese Kritik gibt es ja auch zum Volkszählungsurteil (BVerfGE 65, 1), mit dem das Recht auf informationelle Selbstbestimmung er- nein; ge-funden wurde.
Aber was hätte das BVerfG im oben verlinkten Fall tun sollen? Den Einbruch des NRW'schen Verfassungsschutzes in private Rechner dulden, weil der "Demos" es 1949 unterlassen hat, derartiges zu regeln?
Das macht nur "Sinn", wenn man von einer Verfassung ausgeht, die dem Menschen gönnerhaft punktuell und abschließend Grundrechte zugesteht, und es ansonsten bei der Herrschaft des Obermuftis belässt.
Das ist aber nicht der Ansatz des GG. Dieses setzt ein umfassendes System der Freiheit voraus und regelt punktuell Eingriffsbefugnisse.
Daraus folgt, dass letztlich jeder Sachverhalt mit freiheitsbeschränkender Wirkung irgendwo im GG adressiert ist. Wo man nichts Ausdrückliches findet, muss und kann man die interpretationsoffenen Grundrechte bemühen.
Menschenwürde, Persönlichkeitsentfaltung usw. sind eben keine starren Listen abschließend genannter Rechte.
Und wenn aus einem tiefen Blick in Art. 2 Abs. 1 iVm Art. 1 Abs. 1 GG folgt, dass der Verfassungsschutz nicht voraussetzungslos fremde IT-Systeme infiltrieren darf, dann ist das nur folgerichtig, nicht verfassungswidrig.
Abs. 1 - das sehen Sie zutreffend. gerade das sog. "Allgemeine Persönlichkeitsrecht" verkommt mittlerweile zu einer Dreigroschenhure, die sich für Albernheiten breitmacht. Urlaubszimmerkomfortbegehren für balkanesische Verbrecher wegen geminderten Komforts in heimatlichen Gefängnissen etwa. Überwachung durch die Gestapo haben die GG-Konzipienten 1948/49 durchaus gekannt. Ein "System" der (schrankenlosen) FReiheit als Basis kann man postulieren - mit dem geltenden GG hat das aber nichts zu tun. Nach dem Maß eines Grundrechts hat das GG enumerativ Rechtspositionen unter besonderen Schutz gestellt. Dazu wiederum teils mit Gesetzesvorbehalt für Einschränkungen. Zu dem "Volkszählungs"-Quark: in der Zeit der Vorbereitung hätte der Verfassungsgesetzgeber alle Zeit der Welt gehabt, wenn denn für erforderlch gehalten, das pipapo-Verbrecherschutzgrundrecht zu konzipieren, und allen "Datenschutz" wie besonders von Verbrechern gewünscht.
Ich vermisse in Ihren Erwägungen jenes andere Verfassungsprinzip, die DEMOKRATIE. Ist der demos bzw.seine "Vertreter" zu blöd, mittlerweile Wirkung von EDV und Computern zu analysieren und Schwachstellen im Rahmen des Gewünschten in Grundrechte auszuformulieren? Manchen sagt man Verfassungsfeindlichkeit nach, weil sie zu wenig auf das Element der parlamentaischen Entscheidung durch Repräsentanten abstellen (angeblich) wollten. Das wäre neben Demokrate durch Parlamentsgesetz und Judikatur-Norm-Phantasie-Produktionen mit Volksabstimmug - die ja in Art. 20 II 2 GG durchaus vorgesehen ist - die dritte Variante. Die vierte ist mit Rüthers die "unbegrenzte Auslegung" - wie durch BVerfG und Bundestag am 30.6.2017.
...allein das für das sog. "Allgemeine Persönlichkeitsrecht" vermittelte Bild als einer "Dreigroschenhure, die sich für Albernheiten breit macht" verdient es Danke zu sagen. Das Bild und seine Definition treffen exakt. Besser kann man es nicht sagen.
Das Bundesverfassungsgericht hat vor nicht allzu langer Zeit eine ganze Reihe von gesetzlichen Vorschriften für verfassungswidrig erklärt, die sich mit der Bestandsdatenauskunft befassen:
https://www.bundesverfassungsgericht.de/SharedDocs/Pressemitteilungen/DE/2020/bvg20-061.html
Nun sind Auskünfte über Bestandsdaten Bagatelleinngriffe im Vergleich zu dem, was hier diskutiert wurde. Es geht immerhin um gezielte
Datenveränderungen, und Systemveränderungen in Rechnersystemen von etwa 40000 Nutzern, wenn die Zahl zutrifft, die ich gelesen habe.
Der naheliegende Gedanke: Paragraph 38 BKAG ist verfassungswidrig. im Grunde ist es eine
Generalermächtigung, mit der sich fast alles machen lässt, was politisch erwünscht ist.
Wer kontrolliert das ?
Es müsste eine Norm geben, welche präzise und ziemlich genau die tatbestandlichen Voraussetzungen regelt, die gezielte Angriffe auf informationstechnische Systeme mit dem Ziel der ( teilweisen ) Lahhmlegung ermöglichen. Eine diffuse Generalermächtigung, welche Behörden freie Hand gibt, alle möglichen Rechner lahm zu legen, oder zu manipulieren, ohne dass de facto und de jure nachprüfbar ist, was da passiert, dürfte nach der jetzigen Rechtslage nicht ausreichen.
Andererseits stellt sich natürlich die Frage, wie man mit industrialisierten Verbrecherkonzernen fertig wird, die zu einem Teil auch staatliche Unterstützung haben.
Die Bundeswehr hat ja eine Cyberwar - Einheit. Aber bestand ein Verteidigungsfall? immerhin wurden diverse Bundesbehörden, das Kammergericht und andere öffentliche Einrichtungen durch die Malware lahmgelegt.