Vor 5 Jahren begannen die Vorarbeiten und im April 2007 startete der Cyberfahnder als Webauftritt. Die ersten Themen waren das Phishing in seiner damaligen Form und die
Angriffspunkte wegen der IT-Sicherheit. Er wurde zu einer Sammlung von grundlegenden Beiträgen, die alle etwas mit dem Themen Cybercrime und Strafverfolgung zu tun hatten, aber nur in einem losen Zusammenhang standen ( erste Aufstellung). Es handelte sich zunächst um eine Bestandsaufnahme und Materialsammlung, die seit Juli 2007 um kleine aktuelle Meldungen ergänzt wurde.

Schon im Dezember 2007 reichte eine Seite für die Meldungen des Monats nicht aus und musste eine zweite geschaffen werden ( Dezember 2007-1, Dezember 2007-2). Das Skimming wurde zum attraktivsten Thema ( Top 10) und erstmals tauchte auch das Wort
Cyberwar auf. Am 31.03.2008 erfolgte der erste Jahresrückblick und der war ganz vielversprechend.

Im Mai 2008 machte ich mir weitergehende Gedanken über das arbeitsteilige Skimming. Der Blick auf das Schaubild über die einschlägigen Strafvorschriften zeigt, dass die beiden wichtigsten noch fehlen: §§ 149, 152b StGB. Dafür hing ich noch am § 269 StGB. Diese Fehler zeigen ein grundsätzliches Problem bei der Auseinandersetzung mit der Cybercrime auf: Schon der erste Schritt, das Begreifen und Durchdringen der Erscheinungsformen, stellt erhebliche Ansprüche. Die Anwendung der richtigen Strafvorschriften geht noch einen Schritt weiter, weil teilweise "quergedacht" werden muss. Skimming schien auf dem ersten Blick ein "Datendelikt" zu sein und hat sich erst auf dem zweiten als ein Fälschungsverbrechen herausgestellt.

In den ersten Jahren hat sich deshalb der Cyberfahnder vorrangig um die Erscheinungsformen der Cybercrime gekümmert, was das Begreifen nicht einfacher machte. Schon im Juli 2008 stieß ich auf das Russian Business Network und damit auf die
Schurken-Provider und organisierte Cybercrime. Diese neuartigen Strukturen entziehen sich der üblichen juristischen Betrachtungsweise, die von der Bande geprägt ist. Nun tauchten auch Koordinatoren und Operation Groups auf und ich weiß noch, wie unsicher ich darin war, sie mit den Gedankenbildern über arbeitsteilige Straftäter zu begreifen. Als hilfreich hat sich dabei der Begriff der modularen Kriminalität erwiesen, den ich auf die Erscheinungsformen der Cybercrime angewendet ( Messlatte für Koordinatoren) und als Cybercrime in Projektform bezeichnet habe.

Der ausführliche Jahresrückblick 2008 zeigt, wie ich versucht habe, die Strukturen analytisch zu begreifen und dabei ziemlich unsicher war. Er zeigt auch, dass zunehmend Themen aus dem Strafverfahrensrecht an Bedeutung gewonnen haben.
 

 
Mit den Texten über die Botnetze, die Malware und schließlich das Social Engineering waren die meisten Aspekte der Cybercrime abgearbeitet. Es fehlte nur noch ein Baustein, den ich 2010 hinzugefügt habe: Basar für tatgeneigte Täter.

Je tiefer ich mich mit den frühen Tatphasen beim Skimming befasste
( Erscheinungsformen und Strafbarkeit), desto tiefer musste ich mich auch mit den
betriebswirtschaftlichen Grundlagen und den Problemen aus dem Allgemeinen Teil des Strafrechts auseinandersetzen. Die Verküpfung zwischen dem Skimming und den Grundlagen der Beweiswürdigung führte zu dem wichtigen Beitrag über die Geltung von Beweisen und Erfahrungen, der mich nachhaltig geprägt hat.

Im Dezember 2009 erschien das erste Arbeitspapier Skimming, das auch in der Rückschau beachtlich ist, aber noch viele Lücken und (aus heutiger Sicht) Fehler aufweist, zum Beispiel wegen des Ausspähens von Daten und des Versuchs beim Fälschungsdelikt. Zutreffend sind noch immer die Differenzierungen, die ich wegen der verschiedenen Ausspähtechniken beim Skimming im engeren Sinne entwickelt habe.

Anfang 2010 wurden mehrere Entscheidungen des BGH veröffentlicht, die Weichen stellend waren. Das machte eine vollständige Überarbeitung des Arbeitspapiers nötig. Im
März 2010 erschien die zweite Auflage des Arbeitspapiers Skimming #2, das, nachdem im Dezember 2011 die dritte Auflage erschienen ist ( Arbeitspapier Skimming #3), mehr als 4.000 Mal abgerufen wurde.

Die Beliebtheit des Arbeitspapiers beruht besonders darauf, dass es nichts Vergleichbares im Internet und schon gar nicht kostenlos gibt. Von Bedeutung dürfte aber auch das
Beteiligungsmodell sein, das ich im Sommer 2010 entwickelte und grafisch aufbereitete:
Bilderbuch Skimming-Strafrecht. Den Abschluss bildete 2011 das Tatphasenmodell.

Gelegentlich wird mir die Frage gestellt, ob es der richtige Weg sei, meine Erkenntnisse und Ausarbeitungen frei zugänglich (und kostenlos) im Internet zu verbreiten? Ob ich es damit der "Gegenseite" nicht zu einfach mache?

Die Quellen, die der Cyberfahnder verwendet, sind alle frei zugänglich. Durch Übung, Affinität und Fachwissen fällt es mir sicherlich leichter, manche Quellen zu finden und ihre Bedeutung einzuschätzen. Das traue ich den Kriminellen, die das Internet nutzen, genauso zu, wenn es im Einzelfall um ihren Vorteil geht. Strafverteidigern gebe ich eine klare Vorstellung davon, wie ich bestimmte Erscheinungsformen einschätze. Vor Allem das Arbeitspapier Skimming hat mich erfahren lassen, dass die Hauptverhandlungen gradliniger und ohne unsinnige Spekulationen durchgeführt werden können. Alle Beteiligten wissen, wie ich zu der Sache stehe und das macht die Verhandlungen einfacher.

Viel wichtiger aber ist es, Polizeibeamten und anderen mit der Strafverfolgung Beauftragten Material, Zusammenhänge und Lösungen an die Hand zu geben und mit denen sie arbeiten können. Ich zeige Möglichkeiten und Grenzen auf, die sich auch als falsch erweisen können. Sie wenden sich gegen die Unsicherheit, die der Unkenntnis erwächst. Fehler aufgrund falscher oder unvollständiger Überlegungen dürfen gemacht werden, dumme und willkürliche hingegen nicht.
 

 
Im Frühjahr 2010 war die Zeit für eine Zwischenbilanz reif: Arbeitspapier Cybercrime. Alle grundlegenden Fragen sind angesprochen gewesen, zuletzt hatte ich mich mit den Carding-Boards befasst und die ersten Erscheinungsformen hatten sich bereits grundlegend gewandelt. Das beste Beispiel liefert das Phishing, das sich als eine Form des Identitätsdiebstahls erwiesen hatte. Eine besondere Form allerdings, die zunehmend gemeiner wurde, weil sie sich fast oder ganz automatisiert hat.

Das Arbeitspapier Cybercrime fasst die Erörterungen der Einzelfragen wegen der Erscheinungsformen der Cybercrime zusammen und ist inzwischen mehr als 2.000 Mal abgerufen worden. 740 Fußnoten auf 126 Seiten sprechen für sich. Es ist seither unverändert geblieben und hält noch immer meiner kritischen Nachschau stand.

Das Arbeitspapier Cybercrime war ein notwendiger Befreiungsschlag und beendete nach gut 3 Jahren die Phase der grundlegenden Bestandsaufnahmen im Cyberfahnder. Das heißt nicht, dass alle alten Inhalte hinfällig geworden sind, und auch nicht, dass nicht weiter Bestandsaufnahme betrieben werden müsste. Mit den beiden Arbeitspapieren zum Skimming und zur Cybercrime waren aber Zwischenbilanzen entstanden, die einen Neuanfang ermöglichten. Nicht mehr alle freien Fäden aus dem frühen Cyberfahnder mussten verknüpft werden, sondern nur noch die un- oder die zu locker verknoteten.

Beide sind im Internet ohne Beispiel.
 

 
 Mein Inspiraklion ist ein kleines Kaff im Nordwesten von Kreta. Nur mit einer Kladde und einem Füller bewaffnet schrieb ich im Juni 2010 binnen weniger Tage die Urfassung des
Arbeitspapiers Netzkommunikation herunter und mir sozusagen den Kopf frei. Die Bereinigung kleinerer Fehler und die Ergänzung um 245 Fußnoten folgten binnen zwei Wochen im Anschluss an den Urlaub. Es beginnt ganz harmlos mit technischen Erklärungen zur Adressierung bei der Telefonie und im Internet, Konvergenz und schließlich über die technischen Manipulationsmöglichkeiten beim Datentransfer im Internet. Den Schluss bilden meine Überlegungen zum Kalten und Heißen Cyberwar, die ich bis heute für wegweisend und richtig halte. Einen Monat später begannen die breiten Diskussionen über den Cyberwar im Internet, die sich bis in die ersten Monate in 2011 fortsetzten, ohne die Brisanz aufzunehmen, die ich erkannt hatte: Die kritischen Infrastrukturen verlassen sich blindlings auf die technische Basis der Kommunikationsnetze und setzen ihnen im Wesentlichen nur softwarebezogene Sicherheitsmechanismen auf. Mit zerstörischem Verstand lässt sich die Technik mit einfachen Mitteln ausschalten oder zerstören, was andere gewalttätige Aktivitäten erleichtert. Die Protagonisten des Cyberwar sind nicht nur Militärs, Paramilitärs und Terroristen, sondern auch Kriminelle, Wirtschaftsunternehmen und Hacktivisten. Den Schlusspunkt setzen die Eskalationen.

 Die Erkenntnisse über die Bedeutung des Hacktivismus verdanke ich Paget
( Cybercrime und politisch motiviertes Hacking. Über ein Whitepaper von François Paget von den McAfee Labs). Er hat mich auch motiviert, eine kurze Geschichte der Cybercrime zu schreiben und die Erscheinungsformen der Cybercrime und des Cyberwar genauer zu benennen.

Die wichtigsten Erscheinungsformen der neuen dualen Welt sind WikiLeaks als Whistleblowing-Plattform, Anonymous als Widerstandsbewegung ohne Kopf - und gelegentlich auch ohne Hirn - und die Söldner, die bedenkenlos die Methoden krimineller Manipulation und Überwachung aus angeblich guten Beweggründen nutzen, um Profit zu machen. Um die Jahreswende 2010/2011 gab es dazu viele wichtige Informationen, die inzwischen dem Vergessen unterliegen, aber im Cyberfahnder dokumentiert sind. Insoweit herrscht gerade Ruhe vor dem nächsten Sturm.
 

 
 Die verhängnisvollsten rethorischen Fallen beginnen mit den Worten: "Können Sie nicht Mal ..." Hier ging es um die polizeilichen Ermittlungen in sozialen Netzwerken und geschlossenen Foren. Wenn der Cyberfahnder wirklich Sinn gehabt haben sollte, dann musste ich nun Farbe bekennen, noch einmal tief Luft holen und in die Literatur einsteigen, um im Mai 2011 zu referieren: Ermittlungen im Internet. Das BVerfG lässt allgemeine polizeiliche Ermittlungen im Internet schrankenlos zu. An einem noch unklaren Punkt wird der Beamte zum NoeP (nicht offen ermittelnder Polizeibeamter) und einem noch späteren zum Verdeckten Ermittler nach Maßgabe der StPO. Ich behaupte nicht, dass ich punktgenau sagen könnte, wann die eine oder andere Schwelle überschritten ist. Ermittler können aber grundsätzlich frei mit den Verdächtigen plaudern und Geschäfte abwickeln, wenn die Vorraussetzungen  im Übrigen vorliegen (Schwere der Kriminalität, staatsanwaltschaftliche oder gerichtliche Genehmigungen, keine Tatprovokation, keine Keuschheitsproben im Kinderpornobereich).

Damit habe ich gleich zwei Schleusentore geöffnet. Endlich sagt ein (anerkannter, wie es scheint) Staatsanwalt, dass solche personalen Ermittlungen überhaupt zulässig sind. Andererseits wehklagt das Landeskriminalamt (Niedersachsen) über meine grobe Grenzziehung, dass es ziemlich schnell des Einsatzes eines vom Gericht genehmigten Verdeckten Ermittlers bedarf. Das darf nach herkömmlicher Auffassung kein üblicher Polizeibeamter sein, sondern nur ein abgeschotteter, besonders ausgebildeter und vom LKA angeleiteter. Mein praktisches und theoretisches "Nein" sieht sich beleidigten Widerständen ausgesetzt, wurde inzwischen aber 2.500 Mal abgefragt ( Verdeckte Ermittlungen im Internet).

Bei der "Cybercrime" konnte ich auf bewährte Texte zurück greifen, bei den "verdeckten Ermittlungen" nur zum kleinen Teil. Der geforderte Aufwand ist an der Webseite nicht spurlos vorüber gegangen. Sie wurde vernachlässigt. Das hat ihr, im Nachhinein betrachtet, in mehrfacher Hinsicht gut getan. Wenn wenige spektakuläre Neuigkeiten zu vermelden sind - und das war in 2011 der Fall, dann wird eine auf Neuigkeiten konzentrierte Webseite langweilig und uninteressant. Mit den zwei große Themen besetzenden Arbeitspapieren in 2011 blieb der Cyberfahnder trotz zurückhaltender Berichterstattung über aktuelle Informatiönschen recht attraktiv. Unter Werbungsgesichtspunkten habe ich ihn schwer vernachlässigt. Ich habe mehrere Rückmeldungen erhalten, dass sich nichts mehr tue - die falsch waren, weil die Boten mehrere Monate nicht mehr nachgeschaut hatten.

Direkte Reaktionen auf das Arbeitspapier über die Internetermittlungen gibt es kaum. Auf einen sachlichen Fehler im Arbeitspapier Skimming #3 hat mich ein (über Zweifel erhabener) Gutachter vom BKA hingewiesen. Über das Arbeitspapier zu den Verdeckten Ermittlungen im Internet habe ich unlängst mit mehreren im Thema stehenden Kollegen diskutiert. Wir sind zwar unterschiedlicher Meinung, wann welche formellen Voraussetzungen im Einzelfall vorliegen, die aber nicht grundsätzlicher Art sind. Ich neige dank (schmerzhafter) praktischer Erfahrungen zur Zurückhaltung und zu frühen gerichtlichen Entscheidungen. Das trägt auch meiner Erfahrung Rechnung, dass ich mit überzeugenden Argumenten auch gerichtliche Zustimmungen bekomme, wenn ich professionell und ehrlich argumentiere.
 

 
 Es gab keinen äußeren, wohl aber einen inneren Druck, um das Arbeitspapier IuK-Strafrecht zu schreiben. Nach gut zwei Monaten intensiver Vorarbeiten erschien es im Oktober 2011 und wurde seither 1.015 Mal abgerufen. Die Fragen nach dem materiellen Cybercrime-Strafrecht hatte ich bislang zurückgestellt und musste nun tatsächlich Farbe bekennen, um die einschlägigen Strafnormen zu benennen.

Das Arbeitspapier hat dort gewisse Längen, wo ich mir zunächst eine eigene Linie bilden musste. Das wird deutlich bei den Fragen nach dem materiellen Geheimnischutz bei den strafrechtlichen Datenschutznomen ( §§ 202a Abs. 1, 202b StGB), dem in das Vorbereitungsstadium hinein reichenden Schutz des § 303b Abs. 1 Nr. 2 StGB und bei den urkundsrechtlichen Grenzen des § 269 StGB. Schwerpunkte der Auseinandersetzung bilden die Fragen nach der Strafbarkeit beim Einsatz automatisierter Malware und von Onlinebanking-Trojanern. Meine jüngsten Überlegungen zum Beginn des Versuchsstadiums sind noch nicht in das Arbeitspapier übernommen worden.

Wie schon die Auseinandersetzung mit dem Skimming-Strafrecht gezeigt hatte, verlangt auch das Cybercrime-Strafrecht im Übrigen die Notwendigkeit, den Tatplan vollständig herauszuarbeiten und zu bewerten. In vielen Fällen ergibt sich daraus auch eine andere Perspektive wegen der Taten im Vorbereitungsstadium, weil hier auch die Verabredung zu einem Verbrechen ( § 30 StGB), die Bildung einer kriminellen Vereinigung ( § 129 StGB) oder "Klammerwirkungen" durch andere Dauerdelikte in Betracht kommen.

Sachliche Reaktionen gab es auf das Arbeitspapier bislang nicht. Das überrascht einerseits nicht. Auch auf die im Arbeitspapier Skimming #3 angesprochenen Rechtsfragen habe ich keine Diskussion erfahren, sondern nur berechtigte Fragen und Widersprüche zu einzelnen Punkten bekommen. Andererseits: Das Arbeitspapier IuK-Strafrecht spricht äußerst viele Aspekte des Strafrechts an, so dass Unklarheiten und Fehler vorprogrammiert sind, auch wenn ich mich um ihre Vermeidung bemüht habe.
 

02.01.2012 
Auf besondere Probleme des Strafverfahrensrechts ist der Cyberfahnder immer wieder eingegangen, weil dafür ein (berufliches) Bedürfnis bestand. Das gilt zum Beispiel für die
Verwertung von verdeckt erlangten Beweisen (17.05.2009). Am 02.03.2010 hat das BVerfG der Vorratsdatenspeicherung ein jähes Ende verpasst und die einschlägigen Vorschriften ohne Übergangsregeln kassiert. Es gab mehrere laufende Hauptverhandlungen, in denen genau das zum Problem werden konnte. Verkehrsdaten, die nach Maßgabe der vorläufigen Regelungen des BVerfG zulässig erhoben worden waren, sind gerichtlich eingeführt worden, aber die Verfahren noch nicht abgeschlossen gewesen. Ein Wochenende lang habe ich mich in die verfassungsrechtlichen Probleme im Zusammenhang mit der Frage eingearbeitet, ob ein gesetzliches Verwertungsverbot entstanden war, und habe sie verneint: Zum Umgang mit Verkehrsdaten (08.03.2010). Das hat der BGH in mehreren Entscheidungen bestätigt.

Anfang 2011 wurden mehrere Journalisten auf meine hartnäckige Forderung nach der Vorratsdatenspeicherung aufmerksam und ich habe ihnen Rede und Antwort gestanden. Das hängt mir bis heute nach: Ich habe die provokante Äußerung von mir gegeben: "Mit 'Quick Freeze' droht ein Überwachungsstaat" (Spiegel online, 14.01.2011). Dazu stehe ich weiterhin. Mühlbauer bei machte daraus: Anfang dieses Jahres war es schließlich so weit, dass ein "Cyberfahnder" im Spiegel indirekt zugab, dass die Behörden die Vorratsdatenspeicherung vor allem für Meinungsdelikte wie "Verunglimpfung" wiederhaben wollen ( Peter Mühlbauer, Wo und wie der Bayerntrojaner zum Einsatz kommt, Telepolis 03.03.2011). Diese dumme Vereinfachung wird immer wieder gerne zitiert von denen, denen Mühlbauer aus der Seele spricht, und die nicht verstehen, dass ohne Vorratsdaten auch die Bestandsdaten über einzelne Verbindungen flöten gehen.

Die fortwährende Diskussion um die Vorratsdaten stumpft mich zunehmend ab. Wenn ein intelligenter Mensch sagt, "Ich frage mich, warum die Befürworter der Vorratsdatenspeicherung so vehement erklären, Quick Freeze reiche nicht aus" ( Datenschützer: "Quick Freeze ist eine Alternative", Heise online 27.12.2011), dann weiß ich auch nicht mehr weiter (Schlampigkeit, Beratungsresistenz, Verblendung, Realitätsverlust, Böswilligkeit, rethorisches Kalkül? Dummheit und Korruption schließe ich aus).

Einen besonderen Schwerpunkt des Arbeitspapiers über die Ermittlungen im Internet bilden zwar die personalen Ermittlungen (siehe oben). Es beschränkt sich nicht darauf, sondern nimmt auch Stellung zu den Auskünften Dritter, den technischen Ermittlungsmaßnahmen und allen Ermittlungshandlungen, die mit dem Internet im Zusammenhang stehen. Auch insoweit habe ich meine Zwischenbilanz abgeliefert.
 

02.01.2012 
Schon im Oktober 2010 habe ich böse Worte gefunden ( Statusbericht, 24.10.2010) und zur Jahreswende eine umfassende Auswertung geliefert ( Auswertung 2010, 12.01.2011). Das werde ich nicht wiederholen. Mehr als 40.000 Besucher und mehr als 140.000 Seitenaufrufe kann der Cyberfahnder auch in 2011 vermelden. Nennenswerte Änderungen hat es beim Abruf der Webpräsenz nicht gegeben, wohl aber beim Download von Arbeitspapieren: 10.000 mehr als die 6.000 aus 2010.

Ein befreundeter Polizeibeamter hat mir gesagt, dass ich inzwischen weit vorweg gelaufen bin und dass es anderen schwer fällt, hinterher zu kommen. Er merke es selber. Er versuche mir nachzukommen und sehe die bleibende Distanz. Wenn er in seinem Umfeld fortbildet und referiert, merkt er aber, dass er sich seinerseits weit abgelöst und von seinen Zuhörern entfernt hat.

Wir scheinen eine Art Avantgarde geworden zu sein. Das schmeichelt und frustriert gleichermaßen.

Ich habe 2011 in 1.500 Metern Tiefe ermittelt und zuletzt einen Erpresser gejagd, der 2,5 Millionen € haben wollte. Dazwischen habe ich die Internetermittlungen und das IuK-Strafrecht neu strukturiert und noch ein paar rechtliche Felder beackert, die noch vertraulich sind. Das sind Neuländer reichlich und genug. Anderes (Berufliches und Privates) ist einmal wieder liegen geblieben.

Aus dem offiziellen Geschäft der Strafverfolgung der IuK-Kriminalität bin ich raus und komme ich auch nicht wieder rein. Die Justiz in Niedersachsen hat Lösungen gefunden, in denen ich keinen Platz habe.

Wie es weiter geht? Wer weiß?