Im Urteil 6B_623/2019 vom 5. Februar 2020 hat sich das Bun­des­ge­richt mit digi­ta­ler Foren­sik und Hash­wer­ten aus­ein­an­der­set­zen müssen.

Hash­werte sind Prüf­sum­men für Daten­sätze. Mit ihnen kann man die Inte­gri­tät eines Daten­sat­zes über­prü­fen, also dar­auf prü­fen, ob die Daten auf irgend­eine Art ver­än­dert wur­den. Mit Hash­wer­ten las­sen sich Dateien auch identifizieren. 

Auf genau diese Iden­ti­fi­ka­ti­ons­funk­tion grei­fen die Straf­ver­fol­gungs­be­hör­den zurück, um bei­spiels­weise ver­bo­tene Por­no­gra­fie zu bekämp­fen. Die ver­bo­tene Datei kann dabei irgend­ei­nen erfun­de­nen Namen haben; auf den Datei­na­men kommt es nicht an. Es kommt ein­zig auf den Inhalt an, ein­zig der Inhalt macht den Hash­wert aus. Und genau das kann gefähr­lich wer­den: Wenn man im File-Share-Pro­gramm nach Stich­wör­tern sucht, erhält man zwar eine Datei, wel­che die Stich­wör­ter im Namen trägt, Rück­schlüsse auf den Inhalt las­sen sich aber nicht garan­tie­ren. Suchen Sie nach einer TV-Serie oder einem Musik­stück kann es pas­sie­ren, dass Sie ver­se­hent­lich ver­bo­tene Por­no­gra­fie herunterladen.

Welt­weit suchen Straf­ver­fol­gungs­be­hör­den auf der Basis von Hash­wert-Daten­ban­ken nach ver­bo­te­nen Dateien (ver­bo­tene Por­no­gra­fie, ver­bo­tene Angriffs­soft­ware etc.). Pri­vate Ermitt­ler ver­su­chen mit ähn­li­chen Metho­den Urhe­ber­rechts­ver­let­zun­gen zu ent­de­cken, abzu­mah­nen und anzu­zei­gen. In bei­den Fäl­len wird dabei im Wesent­li­chen ein Stück Soft­ware ein­ge­setzt, wel­ches das Pro­to­koll des Sharing-Netz­werks umsetzt und deren Spra­che spricht. 

Ver­fügt das Sharing-Netz­werk z.B. über Open Source Cli­ents, die die Benut­zer ein­set­zen kön­nen, wird ein­fach der Quell­code kopiert und auf die Bedürf­nisse der Ermitt­ler zuge­schnit­ten. Wel­cher Code dann am Ende effek­tiv zur Ermitt­lung ein­ge­setzt wird, bleibt für die Öffent­lich­keit (und damit auch für die Gerichte!) im Dun­keln. In aller Regel wird die Ermitt­lungs­soft­ware nicht von staat­li­chen Stel­len über­prüft und zer­ti­fi­ziert. Zumin­dest ist davon nichts bekannt. Wie also effek­tiv diese Sharing-Netz­werke auf ille­gale Inhalte über­prüft wer­den, wie das Log­ging vor sich geht, wer sich für die eigent­li­che Ermitt­lungs­ar­beit ver­ant­wort­lich zeich­net etc. pp., bleibt sehr häu­fig unbekannt. 

Ab und an hört man das Argu­ment, wären Infor­ma­tio­nen zum Vor­ge­hen der Ermitt­ler öffent­lich, wäre die Ermitt­lungs­ar­beit gefähr­det. Man wolle aus “ermitt­lungs­tak­ti­schen Grün­den” nichts Nähe­res offen­le­gen. Das ist auf den ers­ten Blick nach­voll­zieh­bar, am Ende aber nicht stich­hal­tig: Das Gros (meine eigene Erfah­rung + etwas Mut­mas­sen: 98%) der Täter sind gewöhn­li­che Com­pu­te­r­user, sprich Com­pu­ter star­ten und irgend­ein Pro­gramm benut­zen und fer­tig. Von den zugrun­de­lie­gen­den Pro­to­kol­len, der Hard­ware etc. ver­steht der gewöhn­li­che Täter wenig bis nichts. Ver­schwie­gen­heit gehört aus­ser­dem in die Welt der Geheim­dienste und nicht in die Welt des Straf­rechts. Nur wenn an einem Ermitt­lungs­er­geb­nis keine Zwei­fel bestehen, wird die hoheit­li­che Straf­ge­walt des Staats von einem Täter auch akzep­tiert. Nur auf die­sem Weg herrscht Rechtsfrieden.

Zurück zu Hash­wer­ten als Basis einer Ver­ur­tei­lung: Im Urteil 6B_623/2019 des Bun­des­ge­richts vom 5. Februar 2020 wurde ent­schie­den, dass alleine gestützt auf einen Hash­wert keine Ver­ur­tei­lung erfol­gen dürfe. “Die akten­kun­di­gen Infor­ma­tio­nen zu den in Deutsch­land durch­ge­führ­ten Ermitt­lun­gen sind nicht sehr aus­sa­ge­kräf­tig. Sie bestehen im Wesent­li­chen aus einem Kurz­brief von Inter­pol Wies­ba­den sowie Anga­ben zu “User­hashs”, “File­hashs” und IP-Adres­sen.”, so das Bun­des­ge­richt (E. 1.4, ers­ter Absatz). Und: “Die Ver­ur­tei­lung basiert wesent­lich auf dem “File­hash” sowie der IP-Adresse.”, so die Erwä­gung 1.4, zwei­ter Absatz. In Kom­bi­na­tion mit in den im Straf­be­fehls­ver­fah­ren und im erst­in­stanz­li­chen Ver­fah­ren erfolg­ten Feh­lern beim Abschrei­ben des File­has­hes lag dann bei einer sol­chen Ver­ur­tei­lung sogar Will­kür vor: “Eine Ver­ur­tei­lung ein­zig gestützt auf eine Zah­len- und Buch­sta­ben­kom­bi­na­tion, wel­che erstell­ter­mas­sen mehr­fach falsch kopiert wurde, ist will­kür­lich.”

Die Beweis­lage bei digi­tal-foren­si­schen Ver­fah­ren – egal ob man als Anwalt eine beschul­digte Per­son ver­tei­digt oder für die Pri­vat­klä­ger­schaft als Klä­ger auf­tritt – ist stets kom­plex und setzt ein­schlä­gi­ges Know-how vor­aus. Gelan­gen Sie als beschul­digte Per­son, als betrof­fene Pri­vat­per­son oder als Unter­neh­mung am bes­ten an einen ver­sier­ten Anwalt.

Wei­tere zen­trale Fra­gen zum Vor­ge­hen bei digi­tal-foren­si­schen Unter­su­chun­gen wurde in die­sem Fall zwar auf­ge­wor­fen, muss­ten aber vom Bun­des­ge­richt in BGer 6B_623/2019 nicht geklärt wer­den. Die Sache hatte sich für das höchste Schwei­zer Gericht schon vor­her mit erfolg­rei­cher Will­kür­rüge erle­digt. Cybercrime-Fälle wer­den in Zukunft sicher nicht weni­ger. Es wird des­halb kaum lange dau­ern, bis sich das Bun­des­ge­richt mit ähn­li­chen Kon­stel­la­tio­nen beschäf­ti­gen und die noch offe­nen Fra­gen klä­ren muss.