Ganz blöde Frage
Vorsicht. Ich setze zu einer der allerblödesten Fragen an, die ich überhaupt jemals gestellt habe:
Ist Staatstrojanersoftware eigentlich urheberrechtlich geschützt und ist es verboten, sie ohne Zustimmung des Rechtsinhabers zu vervielfältigen, zu disassemblieren und zu veröffentlichen?
Wenn die CSU am ihrem Vorschlag, das Three-Strikes Modell auch in Deutschland einzuführen festhalten würde, müßte sie dafür plädieren, den CCC nach der dritten veröffentlichten Version des Trojaners vom Internet abzuklemmen. Vor lauter Schreck scheinen die das aber vergessen zu haben.
30 Kommentare (RSS-Feed)
@Svenska: Ich müßt’s jetzt erst nochmal nachlesen, aber mir war so, als wäre Disassemblieren urheberrechtlich geschützten Materials nicht allgemein, sondern nur zur Herstellung von Kompatibilität erlaubt. Oder?
Überwiegt in diesem Fall nicht das öffentliche Interesse?
Ich würde aber sagen Nein, da es keine EULA und auch keine anderen “Belehrungen” gab.
@denn: Urheberrecht hängt nicht von einer EULA oder Belehrung ab.
Und daß es ein „öffentliches Interesse” gibt, das Ausnahmen vom Urheberrecht gestattet – wär mir jedenfalls noch nicht so untergekommen, daß ich mich jetzt dran erinnern würde.
@Hadmut
Eula und co sind ansich ja egal das stimmt, schon – aber in diesem Fall ist es denke ich schon wichtig, da der ‘Trojaner’ ja (vermutlich) ohne nähere Lizensbestimmungen ausgeliefert wurde.
Insbesondere muss man ihn – in Anbetracht seiner kostenlosen Verteilung seitens des Urhebers(bzw. dazu Berechtigten) gemäß Softwaregeflogenheiten als “Freeware” einordnen
Da Reverse-Engeneering zur Sicherheitsanalyse generell erlaubt ist, und Teile auch in diesem Rahmen weitergegeben werden dürfen sehe ich kein Problem bzgl. Urheberrecht.
Da es sich ja offensichtlich um Freeware handelt erst recht nicht.
^^ Ist zwar vermutlich juristisch totaler quatsch, aber ausgehend von solchen Gedanken würde ich mich immer im Recht fühlen – und damit kein Unrechtsbewusstsein bei derartiger Handlung haben
Nein, überhaupt nicht.
Es gibt im (deutschen) Urheberrecht keine Regelung derart, daß eine Software ohne Lizenzbestimmungen „Freeware” wäre. Das Gegenteil ist der Fall, Freeware setzt eine entsprechende Erklärung voraus.
Solange der Urheber dazu gar nichts sagt, hat er keinerlei Rechte weiter- oder aufgegeben.
Und wo steht das, daß Reverse-Engineering zur Sicherheitsanalyse erlaubt sei?
§ 69c UrhG macht das Übersetzen, Umarbeiten, Verbreiten von der Zustimmung des Rechteinhabers abhängig.
§ 69e UrhG erlaubt die Dekompilierung nur zur Herstellung von Interoperabilität, nicht zur Sicherheitsanalyse. (Man könnte sich freilich streiten, ob eine Disassemblierung eine Dekompilierung ist, aber ich würde sagen ja)
Juristisch habe ich keine Antwort darauf, aber wenn mir jemand ungefragt ein Paket ins Haus stellt, dann ist mir das Postgeheimnis auch egal. 🙂
Ich weiß, dass der Vergleich hinkt.
So gehst Du mit dem Postgeheimnis anderer um. Wenn aber das Paket an Dich, das mit der scharfen Gummipuppe vom Sexversand, versehentlich an den Nachbarn geschickt wird, darf der das dann auch aufmachen und in der Welt herumposaunen, was da drin ist?
Glaubst Du, daß Du alles, was man Dir ungefragt schickt, veröffentlichen darfst?
Der Urheber (Programmierer des “Trojaners”) behält immer die Rechte an seinem geistigen Eigentum.
Also wenn er nun Digitask verläßt und den gleichen Code wieder verwendet (erneut schreibt) ist ihm das gestattet, auch wenn im Vertrag steht das er keinen Code aus der Firma weitergeben darf.
Was die Disassemblierung angeht ist das Reverse-Engineering und je nach Vertrag eine Verletzung desselben.
Da aber der Vertrag zwischen Digitask und Behörden besteht ist dies in der Tat eine interessante Frage.
Allerdings dürfte das Interesse der Allgemeinheit solchen Spitzfindigkeiten zuvor kommen.
Nur ein Gericht wird das klären können.
Reiche einfach Klage ein und laß uns das Ergebnis wissen 🙂
@besserwisser:
Wenn der Digitask verläßt, ändert das gar nichts, weil es vor allem auf die Nutzungsrechte ankommt, und die liegen beim Arbeitgeber.
Auf einen Vertrag kommt es auch nicht an, denn ein Vertrag zwischen CCC und Digitask ist nicht ersichtlich, also kann man ihn auch nicht verletzen.
§§ 69c,e UrhG setzen aber keinen Vertrag voraus. Dekompilieren ist nicht erst dann verboten, wenn man einen Vertrag hat, gegen den man verstoßen könnte.
Also in diesem Falle würde ich auf jeden Fall sagen, daß ganz eindeutig ein öffentliches Interesse vorliegt. Es geht immerhin um einen Verfassungsbruch. Das Disassemblieren und Veröffentlichen des Codes ist zwingend notwendig, um diesen Verfassungsbruch zu dokumentieren, und das ganze dürfte somit eindeutig von der Pressefreiheit geschützt sein. Vor allem, da der CCC ja eindeutig den Code nicht “gewerbsmäßig” weiterverbreitet oder gar selbst zum Einhacken in andere Computer verwenden will, sondern die Veröffentlichung einzig und alleine zur Dokumentation eines gravierenden Rechtsverstoßes dient. Da die Polizei in diesem Falle ja als befangen gelten dürfte, muss das ganze öffentlich gemacht werden. Dafür ist eine freie, unabhängige Presse da. Die Mitteilung des CCC ging ja auch direkt als Pressemitteilung gekennzeichnet raus.
Ansonsten könnte die ganze Presse sofort dichtmachen. Dann könnten staatliche Stellen die Veröffentlichung jeglicher Dokumente ganz einfach mit der Urheberrechtskeule unterbinden, ganz egal wie groß der Skandal dahinter wäre. Typisches Vorgehen von Demokraturen. Ein ähnlicher Fall wäre z.B. auch wenn ein Polizist jemanden unprovoziert verprügelt, ich das heimlich mit der Handykamera mitfilme, damit an die Presse gehe, und ich dann wegen “Verletzung des Rechtes am eigenen Bild” verklagt werde.
Sollte tatsächlich der CCC hier wegen “Urheberrechtsverletzung” angeklagt werden, dann hätten wir eine Wiederauflage der Spiegel-Affäre von 1962.
@Steffen: Ich stimme Dir voll und ganz zu – das ändert aber nichts daran, daß „öffentliches Interesse” keinen Bruch des Urheberrechts oder überhaupt eines Gesetzes erlaubt, solange das nicht explizit im Gesetz so steht, daß das eine Ausnahme ist.
Man kann nicht Gesetze machen und dann mal eben davon absehen, wenn es gerade mal „öffentliches Interesse” ist.
Interessanterweise ist es sogar umgekehrt, das „öffentliche Interesse” gilt hier als verschärfend. Wenn das nämlich vorliegt kann die Staatsanwaltschaft nach § 109 UrhG sogar ohne den sonst nötigen Strafantrag loslegen.
Das heißt, daß das „öffentliche Interesse” hier sogar dazu führt, daß die Staatsanwaltschaft auch ohne Antrag von DigiTask gegen den CCC ermittelt und die bis zu 3 Jahre eingebuchtet werden könnten.
@Hadmut: Man kann durchaus Gesetze machen, und dann davon absehen. Passiert laufend vor Gericht. Nämlich dann, wenn zwei verschiedene Rechtsgüter in Konflikt geraten, und der Richter abwägen muss, welches Rechtsgut höher steht. Klassisches Beispiel aus dem Jurastudium im 1. Semester ist die Situation, wenn man spät Nachts vor dem Dilemma steht, daß die einzige Möglichkeit um jemandem das Leben zu retten ist in eine Apotheke einzubrechen und ein lebensrettendes Medikament zu besorgen. Das Rechtsgut des Lebens steht hier eindeutig höher als das Eigentumsrecht.
Beim CCC würde es um die Frage gehen was steht höher, das Urheberrecht an illegaler Software, oder die Berichterstattung über den verfassungswidrigen Einsatz dieser Software? Klassischer Fall für einen Streit für Gericht.
Konkretes Beispiel für so eine Abwägung gerade beim Thema Urheberrecht vs. Pressefreiheit der Fall “Heise und SlySoft”:
http://www.irights.info/?q=node/1031
Oder das Spiegel-Urteil ein paar Jahre nach der Spiegelaffäre, wo es um die Frage ging, ob in dem Fall die Pressefreiheit höher steht als der Tatbestand des Landesverrats. Das ging vorm Bundesverfassungsgericht leider mit Stimmengleichheit aus, also wurde gegen den Spiegel entschieden.
Und von alledem mal abgesehen gibts noch UrhG §50, wo explizit erlaubt ist, daß im Rahmen der Berichterstattung über Tagesereignisse die Verbreitung von Werken “in einem durch den Zweck gebotenen Umfang zulässig” ist. Der Zweck ist hier die hieb- und stichfeste Dokumentation eines massiven Rechtsverstoßes. Da sollte die Veröffentlichung des Codes durchaus im “gebotenen Umfang” sein.
“§ 69e UrhG erlaubt die Dekompilierung nur zur Herstellung von Interoperabilität, nicht zur Sicherheitsanalyse. (Man könnte sich freilich streiten, ob eine Disassemblierung eine Dekompilierung ist, aber ich würde sagen ja)”
Hatte ich mir wohl falsch gemerkt.
Hmm, ist eine Sicherheitsanalyse nicht zwangsläufig nötig, um Interoperabilität herzustellen.
Bzw. in diesem Fall: Interoperabilität mit eigenen Steuerungstools 😉
Nur so nebenbei:
Für den Fall, dass das BKA oder sonst irgendwer den CCC wegen Veröffentlichung des Programmes verklagen möchte, wie kann denn dieser beweisen, dass der Trojaner wirklich sein geistiges Eigentum ist? Würden dabei nicht zwangsläufig Informationen (wie z.B. Quelltext) ans Tageslicht kommen, die das BKA weiter belasten können? Das ändert zwar nichts and der Tatsache der illegalität, aber zeigt in meinen Augen, dass eine solche Klage doch recht unwahrscheinlich ist.
Zudem gibt es ja noch die vom CCC gefundene unzulässige Einbindung des Speex codecs. Könnte Jean-Marc Valin (Autor von Speex) nicht in einem solchen Fall ebenfalls das BKA wegen Missachtung seiner Urhberrechte verklagen? Schließlich verlangt die Lizenz, dass auf die Verwendung des Codecs deutlich hingewiesen wird, was aber offensichtlich nicht geschehen ist. (Wie auch?)
Art. 20 Abs. 4 GG, Widerstandsrecht.
Was mir noch gerade in den Sinn kommt:
Falls das BKA hier “Urheberrechte” geltend machen würde, dann könnte doch auch jeder andere Viren- und Trojanerschreiber Firmen wie Kaspersky Labs, AVG oder Symantec wegen Urheberrechtsverletzung verklagen? Schließlich dekompilieren die wie wild, verbreiten nicht unerhebliche Codestücke in ihren Schadsoftwaredatenbanken an Millionen von Antivirenprogrammbenutzern weltweit (natürlich ohne jegliche Genehmigung der Autoren), verdienen damit dick Geld (Gewerbsmäßiges Kopieren! Schockschwerenot!). Eigentlich baut das komplette Geschäftsmodell der Antivirensoftwarehersteller auf Verletzung geistigen Eigentums auf. Ohne sich unerlaubt Schadsoftware zu eigen zu machen könnten die AV-Hersteller sofort ihren Laden dicht machen. Was die da seit Jahrzehnten machen ist bezüglich Urheberrechtsverletzung erheblich weitgehender als das was der CCC hier getan hat. Wenn ich durchs Urheberrecht blättere, dann finde ich auf Anhieb eine Unmenge an Paragraphen mit denen ein Schadsoftwareautor die AV-Hersteller rein nach dem Buchstaben des Gesetzes bis ans Ende der Welt verklagen könnte.
Und doch sind wir uns alle einig, daß wenn ein Trojanerschreiber Symantec wegen Urheberrechtsverletzung vor Gericht zerren würde, das Gericht die Klage mit schallendem Lachen abweisen würde. Bzw. wenn solch ein Klage angenommen würde und der Trojanerschreiber Recht bekommen würde (würde mich in den USA nicht mehr wundern…), dann würde ich endgültig den Glauben in unser Rechtssystem verlieren.
@Steffen: Das BKA kann das sicherlich nicht, aber die Firma Digitask könnte das durchaus in Betracht ziehen.
Interessant wäre aber die Frage, ob nicht seinerseits LKA/BKA/Zoll das Urheberrecht verletzen, wenn sie per Trojaner etwas „vervielfältigen”, was urheberrechtlich geschützt ist.
Für das Ausführen des Programms benötigt man eine Lizenz, aber da hier wohl ein LKA das Programm ausführte benötigt dieses eine Lizenz. Da die Maschine, auf der das Programm ausgeführt wird, nur sehr bedingt unter der Kontrolle des LKA steht, und dies für den Produzenten der Software im Vorhinein wohl erwartbar war, wäre es interessant, unter welcher Lizenz das LKA die Schadsoftware überhaupt erlangt hat.
In einer ähnlichen Situation müssten sich auch klassische AV-Buden befinden, die Software zurück entwickeln, auch wenn diese die Produkte ihres Schaffens nicht weiterverbreiten, und damit nur sehr viel weniger gegen irgendwelche Lizenzen verstoßen.
Also wir nehmen an, dass das LKA rechtmäßig (bzgl. der Lizenz) das Programm auf dem Rechner installiert hat, und dann mit der vorgesehenen, dürftigen Löschmethode nach bestem Wissen aber nicht dem Stande der Technik entsprechend, was aber zu Lasten des Urhebers geht, gelöscht hat.
Punkt eins ist ja hier, dass das Programm wieder hergestellt wurde. Ich meine, dass ich auf meinem Rechner erstmal rekonstruieren darf, was andere da installiert und gelöscht haben. Vor der Rekonstruktion kann ich ja gar nicht wissen, was das für ein Programm ist, und unter welcher Lizenz es sich auf meiner Platte überhaupt befindet.
Wenn ich nun nicht weiß, von wem es kommt (BKA, LKA, Zoll, …?), wen könnte ich fragen, um welche Lizenz es sich handelt? Vor allem: um festzustellen, ob das Programm meine Rechte verletzt hat, muss ich es wohl disassemblieren (lassen).
Ich weiß nicht, ob man mit den ‘guten Sitten’ argumentieren kann. Das Programm ist mir nicht auf gutem Weg zugegangen. Anders als ein irrlaufendes Paket, welches ich auch nicht bestellt habe, spielt die böse Absicht, mit der mir das Programm untergeschoben wurde, eine wichtige Rolle. Das kann auch nicht dadurch geheilt werden, dass es einen richterlichen Beschluss gibt, meinen Rechner zu verwanzen.
Es gab vor ca. 2 Jahren den Fall eines Peilsenders, der mittels Magneten an einem Fahrzeug befestigt wurde. Die Zielperson hat das Gimmick entdeckt, und m.W. bei der Polizei abgeben wollen, die aber bestritt der Eigentümer zu sein. Daraufhin hat die Person das Gerät unter großem Hallo bei einem Punkkonzert versteigert. Da das zuvor angekündigt wurde hat sich eine Behörde – welche weiß ich nicht mehr – gemeldet, und wollte verfügen, dass das nicht erlaubt sei. M.W. hat der Versteigerer aber Recht bekommen. Mit der Montage am Fahrzeug seien die Eigentumsrechte aufgegeben worden o.s.ä.
Da könnte man mal nachsehen, ob sich da Argumente finden lassen – zumindest scheint mir das ein partiell ähnlicher Fall, als man die Verfügungsgewalt über etwas bekommt, was man nicht selbst bestellt hat.
Das Urheberrecht kann nur der Urheber beanspruchen, bzw. die Verwertungsrechte die Firma, in dessen Auftrag der Trojaner entwickelt wurde. Die könnten versuchen den Rechtsverletzer zu verklagen. Veröffentlicht hat den Code die FAZ, und die wird m.W. nicht vom CCC herausgegeben.
Noch blödere Frage:
Müsste was für die Staatstrojanersoftware gilt nicht auch für jede andere Malware gelten?
Dürften Schadprogramme dann überhaupt noch analysiert werden?
Schliesslich steht der Urheber ja nicht von vorneherein fest und in den Binärdateien war wohl auch kein entsprechender Hinweis auf Urheber, Copyright und Lizenzbestimungen zu finden.
@Harry Turtle: Im Prinzip ja, aber:
Sofern kein besonderes öffentliches Interesse besteht, bedarf die Strafverfolgung wegen Urheberrechtsverletzung des Strafantrages, und Unterlassungs-/Schadensersatzansprüche eines Klägers. Das heißt, Malware zu disassemblieren, ist zwar an sich auch rechtswidrig, aber normalerweise wird sich der „Rechteinhaber” hüten, dagegen vorzugehen, und selbst wenn er es wollte, Probleme haben, seine Urheberschaft nachzuweisen. Und normalerweise hätten solche Schritte für den Urheber mehr Nach- als Vorteile, weil er sich ja strafbar macht, also versteckt bleibt. Also eher risikolos.
Der zweite Punkt ist, daß Malware für gewöhnlich im stillen Kämmerlein disassembliert, aber nicht in dieser Weise veröffentlicht wird, die Urheberrechtsverletzung an sich damit also schon viel schwerer zu erkennen ist.
Der dritte Punkt ist, daß die meiste Malware im Ausland geschrieben und/oder analysiert wird, das deutsche UrhG damit nicht anwendbar ist oder es schwierig wird, es durchzusetzen.
Insofern zwar prinzipiell ähnlich, aber doch ganz anders. Wie sagt man so schön? „same, same, but different!”
Hm.
Wenn der CCC nun zum Uhrheben einen Fachmann einsetzt,
etwa einen Uhrmacher, dann müsste doch dessen Innung
für seine Uhrheberverletzung aufkommen, da diese ja
dann einm Betriebsunfall wäre, oder? ;-))
hanna.
@hanna: So habe ich das noch gar nicht gesehen… Immer nützlich, neue Blickwinkel zu erfahren.
Hier http://de.indymedia.org/2007/07/186639.shtml unter anderem habe ich den Peilsenderfall wiedergefunden. Offenbar konnte das LKA damals nicht nachweisen, Eigentümer des Senders zu sein, und verlor so den Prozess.
Passt also eher nicht auf den Fall mit dem Trojaner.
Hadmut, ich sagte nicht, dass ich ein Paket öffne, dass für einen Nachbarn ist und versehentlich bei mir abgeliefert wurde. Ich sagte “wenn mir jemand ungefragt ein Paket ins Haus stellt”. Damit meine ich, dass sich jemand unerlaubt Zugang zu meiner Wohnung verschafft und dann dort ein Paket platziert. Das macht mein Postbote in der Regel nicht, das BKA anscheinend aber schon: http://taz.de/!79701/
@Kai: Nun unterliegen Pakete nicht per se dem Urheberrecht und auch nicht mehr dem Briefgeheimnis, zumal es sich in dem Fall, den Du beschreibst, ohnehin nicht mehr um ein „Paket” im Sprachsinne handelt, weil Du damit Post suggerierst aber Einbruch meinst.
Frage:
Nehmen wir mal an, in dem Paket wären drei Dinge: Eine Bombe mit Zeitauslöser, die Dich umbringen soll und die Du gerade noch entschärfen kannst, ein kunstvoller Erpresserbrief des Bombenlegers und ein Exemplar von Harry Potter, Band 5.
Dürftest Du – urheberrechtlich gesehen – den Erpresserbrief und dürftest Du den Inhalt von Harry Potter auf Deiner Webseite veröffentlichen?
@Hadmut
Kann ich nicht ganz nachvollziehen. Nehmen wir an, der Urheber hält sich in einem Land auf, in dem die Erstellung von Malware nicht strafbar ist. Nennen wir es ‘Malwareland’. Dann könnte er über einen Beauftragten mögliche Urheberrechtsverletzungen, die in Deutschland begangen wurden nach Deutschem Recht in Deutschland verfolgen lassen.
Das stille Kämmerlein ist nicht immer so still. Siehe zum Beispiel die ‘Tatort Internet’ Reihe bei Heise. Da wird auch schon mal disassembliert. Könnte der oben postulierte Urheber aus ‘Malwareland’ dann nicht versuchen seine Urheberrechte in Deutschland geltend zu machen?
Ob die Malware im Ausland geschrieben wurde spielt meiner Meinung nach keine Rolle sofern die Urheberrechtsverletzung im Geltungsbereich der Gesetze der BRD begangen wurde. Windows wurde sicher im Ausland geschrieben und Urheberrechtsverletzungen gegen Microsofts Urheberrechte werden auch in Deutschland verfolgt.
@Das macht schon wieder die alte Frage auf, die ich beim Thema Fotografie schon öfters angesprochen habe und die viele Leute (auch Juristen) ganz unterschiedlich beantworten und sich jedesmal ganz sicher sind, nämlich ob der Ort, an dem das Werk entsteht oder der Ort, an dem es genutzt wird, für das anzuwendende Recht ausschlaggebend ist.
Ursprünglich ging’s mir bei dieser Frage darum, welches Recht anzuwenden ist, wenn ich im Ausland fotografiere und hier ausstelle, das des anderen Landes oder das hiesige. Wenn Software im Ausland geschrieben und hier disassembliert wird, dürfte das ähnlich liegen.
Genau genommen würde ich sagen ja. Aber genau genommen ist auch die Korrespondenz vom Terror-Sepp urheberrechtlich geschützt. Bei Steuerhinterziehung würde ich das Urheberrecht höher ansiedeln. Bei Staatstrojanern und Terror-Sepp die Verbrechensbekämpfung.
Zu speex:
Das ist ein GNU-Projekt, Schirmherrin ist also die Free Software Foundation, die Lizenzverstöße gern einmal eskaliert. Sicher ist im CCC die mögliche Urheberrechtsverletzung thematisiert worden, vielleicht hat man sich entschlossen, schon mal “proaktiv” mit dem FSF zu wedeln. Das hätte durchaus etwas 😉
Meines Wissens ist Reverse Engineering in Deutschland nicht verboten, die üblichen Lizenzvereinbarungen (die der CCC eher nicht bestätigt hat) sind ungültig. (Außerdem haben sie ja nur das “Protokoll” des Trojaners ermittelt, um die “Interoperabilität” sicherzustellen. :D)
In Frankreich gehen jetzt schon gefälschte HADOPI-Schreiben raus. Der Anschiss lauert eben überall.