Hausdurchsuchungen bei offensichtlich Unschuldigen Peter Mühlbauer

Die Staatsanwaltschaft Osnabrück lässt die Wohnungen von Trojaneropfern von der Polizei durchsuchen und deren Rechner beschlagnahmen

Am Donnerstag den 29. April 2010 klingelten beim Windows-Fachmann Andreas S. um 8 Uhr morgens zwei Polizisten, die ihm einen Gerichtsbeschluss aushändigten und mehrere Stunden lang seine Wohnung durchsuchten, wobei sie besonders auf kleine Behältnisse achteten - angeblich, weil sich darin USB-Sticks befinden könnten. Sogar eine "Durchsuchung der Person" war in dem Beschluss angeordnet, blieb S. aber erspart. Anschließend nahmen sie einen PC, einen Laptop und zwei externe Datenträger mit.

Zur Begründung führten die Polizisten an, S. habe sich offensichtlich Malware eingefangen. Der Durchsuchungsbeschluss sprach von Malware-Verbreitung via Facebook und einem "Ermittlungsverfahren gegen Unbekannt wegen des Verdachts auf Ausspähens von Daten, der Datenveränderung u.a." Allerdings, so stellte sich später heraus, fungierte kein Rechner des Durchsuchten als Zombie, über den Straftaten begangen wurden. Und man wollte auch nicht prüfen, ob der Besitzer diese Straftaten selbst beging. Vielmehr hatte das Amtsgericht den Durchsuchungsbeschluss nur deshalb ausgestellt, weil Ermittler den Download einer als JPEG-Bild getarnten Malware auf dessen Rechner registrierten.

Ganz besonders intensiv untersuchten die Polizisten ein silbernes Etui für Visitenkarten mit etwa 4 Millimeter nutzbarer Innenabmessung. Daneben zum Vergleich ein USB-Stick.

Tatsächlich hatte sich S. professionell mit Malware beschäftigt und in dieser Funktion unter anderem mit Softwareanbietern wie Avira und Malwarebyte zusammengearbeitet. Dabei hatte er am 18. April unter anderen Malware-Programmen auch eine Datei namens "s1.jpg" heruntergeladen. Die heruntergeladenen Schädlinge installierte S. in einer sicheren Sandbox und untersuchte sie mit dem Universal Extractor. Bei der Bilddatei war ihm schon zu Anfang der Analyse aufgefallen, dass die ersten Bytes in der ASCII-Darstellung "MZ" lauteten, was auf ein Programm hindeutete.

All dies teilte er den Polizisten bereits vor der Durchsuchung mit, ohne dass sich diese von der Beschlagnahme der Computer abbringen hätten lassen. Weil ihm die Beamten erklärten, dass sie die Geräte aufgrund des Durchsuchungsbeschlusses ohnehin mitnehmen würden und er bei einer "freiwilligen" Herausgabe mit einer schnelleren Rückgabe rechnen könne, widersprach er der Sicherstellung zuerst nicht.

Nach der Durchsuchung schraubte sich S. aus alten Computerteilen einen Ersatzrechner zusammen und verfasste einen Brief an die Polizeiinspektion Celle, in dem er all dies noch einmal schriftlich darlegte und darauf hinwies, dass sich auf dem Rechner unter anderem ein wichtiger Schriftverkehr mit einer anderen Behörde befand. Zudem stellte er klar, dass die von ihm untersuchten Malware-Dateien verschlüsselt auf seinem Rechner lagern und machte der Polizei das Angebot, sie zu entschlüsseln, worauf diese allerdings nicht antwortete. Darauf hin wandte sich der Windows-Fachmann an den Rechtsanwalt Emanuel Schach, der am 3. Mai Beschwerde gegen die Durchsuchung und die Beschlagnahme einlegte.

Als das Amtsgericht dieser Beschwerde nicht nachgab, erwirkte Schach im Oktober einen Beschluss des Landgerichts, nach dem der Durchsuchungsbeschluss des Amtsgerichts aufgehoben und die beschlagnahmte Hardware herausgegeben werden musste. Außerdem ordnete das Landgericht die Löschung der kopierten Daten an (Az.: 247 Gs (140 UJs 11147/10) 1737/10). In der Begründung bezieht sich die Instanz ausschließlich auf die Besonderheit, dass S. die Malware nicht unabsichtlich und zufällig, sondern absichtlich und zur Analyse herunterlud, weshalb eine Auswertung des Rechners und der Datenträger zur Feststellung des "genauen Infektionsweges" und des "genauen Wirkungsbereichs" nicht geeignet waren. Auf die Zulässigkeit und Verhältnismäßigkeit solcher Maßnahmen bei Personen, die sich unbeabsichtigt Malware herunterluden, geht der Beschluss nicht ein.

Die Staatsanwaltschaft Osnabrück teilte Telepolis auf Anfrage mit, dass Durchsuchungen bei Unbeteiligten nach §105 StPO zulässig sind. Dabei muss allerdings besonderer Wert darauf gelegt werden, dass diese auch verhältnismäßig - also nicht nur geeignet, sondern auch erforderlich und angemessen - sind. Darüber, wie die Staatsanwaltschaft und das Amtsgericht Osnabrück diese Verhältnismäßigkeit genau prüften, geben die beiden Stellen allerdings keine Auskunft und können deshalb auch Zweifel daran nicht ausräumen.

Das fängt bereits bei der Angemessenheit an: Für viele Menschen stellen Hausdurchsuchungen und Rechnerbeschlagnahmen einen wesentlich schlimmeren Eingriff dar, als die für ein Vergehen angedrohten Strafen. Vor die Wahl gestellt, würden sie auch unschuldig einen Strafbefehl im unteren vierstelligen Bereich akzeptieren, wenn sie dadurch verhindern können, dass ihre Alltagsgeschäfte für unbestimmte Zeit blockiert sind und fremde Menschen ihre persönlichsten Bilder und Briefe durchsuchen. Zudem ist solch ein Ereignis durch die Erfahrung eines relativ vollständigen Ausgeliefertseins durchaus dazu geeignet, Menschen in ähnlicher Weise zu traumatisieren wie ein sexueller Übergriff.

Auch S. klagt seitdem über Schlafstörungen und Albträume und musste sich von seinem Arzt mehrere Wochen lang mit Beruhigungsmitteln behandeln lassen. Inwieweit die Staatsanwaltschaft Osnabrück solche Wirkungen des sehr schweren Eingriffs in die Unverletzlichkeit der Wohnung, die körperliche Unversehrtheit und die Menschenwürde bei der Anordnung der Durchsuchung berücksichtigte, bleibt offen.

Zudem ist fraglich, ob man mildere Mittel in ausreichendem Maße prüfte: Die Frage, warum die Funktionsweisen des Trojaners nicht dadurch ermittelt wurden, dass man ihn in Zusammenarbeit mit Experten auf einem Testsystem installierte, bleibt auch auf Nachfrage unbeantwortet. Hinsichtlich der Möglichkeit einer vorherigen Ankündigung heißt es lapidar, dass dem Betroffenen nach § 33 StPO "in der Regel kein vorheriges rechtliches Gehör gewährt" wird. Doch wären Durchsuchungen bei offensichtlich Unschuldigen nicht geradezu klassische Beispiele für Konstellationen, die nicht der Regelfall sind?

Das Amtsgericht begründete seine Entscheidung, erst zu "schießen" und dann zu fragen, mit einem Verweis auf § 33 Absatz 4 StPO und damit, dass S. vor der Durchsuchung möglicherweise Daten gelöscht hätte. In der Vergangenheit, so der zuständige Richter, hätten Trojaneropfer "Datenträger nicht freiwillig herausgegeben", "oder aber erst nach vorheriger Löschung von Daten (privaten Bildern, privaten Texten, Dateien, bei denen der Zeuge befürchtete, sich der Strafverfolgung auszusetzen, wie z. B. Tauschbörsenprogrammen)". Fragen danach, ob es denn Hinweise gab, dass sich der Trojaner über persönliche Daten und Filesharingprogramme verbreitet, lassen sowohl das Amtsgericht als auch die Staatsanwaltschaft Osnabrück konsequent unbeantwortet - egal, wie oft man sie stellt.

Auch hinsichtlich der Erforderlichkeit solcher Eingriffe zur Untersuchung einer bereits bekannten Schadsoftware ergeben sich angesichts des Umfangs, in dem man Antworten verweigert, durchaus Zweifel. Darüber hinaus ist sogar offen, ob Durchsuchungen und Beschlagnehmen von Opferrechnern zur Ermittlung der Täter - die offenbar selbst die Staatsanwaltschaft außerhalb Deutschlands vermutet - grundsätzlich geeignet sind. Sinnvoller erschiene hier eine Feststellung eventueller Nutznießer, die sich aber eher durch die Verfolgung von Geldströmen als durch die von Infektionswegen ermitteln lassen.

Der Nichtraucher S. vermutet, dass die Durchsuchung der kleinen Behältnisse, in die seinen Angaben nach gar keine USB-Sticks passten, eventuell dazu gedient haben könnte, "Beifang" in Form von Marihuana oder anderen verbotenen Substanzen zu produzieren. Neben positiven Auswirkungen auf die Statistik hätte dies den potenziellen Nebeneffekt gehabt, dass auch eine rechtswidrige Durchsuchung im Nachhinein legitimiert gewesen wäre.

Die Staatsanwaltschaft Osnabrück bestreitet gegenüber Telepolis, dass sie auf "Beifang" aus gewesen sei, und meint sogar, dass man bei solchen Anlässen gefundene "Raubkopien" oder jugendpornografisches Material "nicht weiter verfolgen" würde. Wie dies mit dem Legalitätsprinzip zu vereinbaren ist, das Behördenmitarbeiter dazu zwingt, entdeckte Straftaten ohne Ausnahmen zu verfolgen, kann oder will man nicht sagen. (Peter Mühlbauer)