Jusletter IT

Gem. § 125 Z. 1 StPO¹ ist „Sachverständiger“ eine Person, die auf Grund besonderen Fachwissens in der Lage ist, beweiserhebliche Tatsachen festzustellen (Befundaufnahme) oder aus diesen rechtsrelevante Schlüsse zu ziehen und sie zu begründen (Gutachtenserstattung). Er ist zu bestellen, wenn für Ermittlungen oder für Beweisaufnahmen besonderes Fachwissen erforderlich ist, über welches die Strafverfolgungsbehörden durch ihre Organe, besondere Einrichtungen oder bei ihnen dauernd angestellte Personen nicht verfügen. Sachverständige haben den Befund und das Gutachten nach bestem Wissen und Gewissen und nach den Regeln ihrer Wissenschaft oder Kunst oder ihres Gewerbes abzugeben (§ 127 Abs. 2). Davon strikt zu unterscheiden ist gem. § 249 Abs. 3 eine „Person mit besonderem Fachwissen‟ (vlg. „Privatsachverständiger‟), die der Angeklagte zur Befragung eines Sachverständigen beiziehen kann, und dem ein Sitz neben dem Verteidiger zu gestatten ist. Diese darf den Verteidiger bei der Fragestellung unterstützen oder selbst Fragen zu Befund und Gutachten an den Sachverständigen richten. Befund und Gutachten bilden daher einen zentralen Bestandteil im Strafverfahren, aus dem rechtsrelevante Schlüsse gezogen werden, denn für die Bestimmung der Schuld oder Unschuld des Angeklagten muss mit an Sicherheit grenzender Wahrscheinlichkeit feststehen, dass kein Freispruchgrund vorliegt.² Aus diesen Gründen ist es essenziell, dass das Gutachten auf fehlerfrei erhobenen Fakten, den Befundungsgrundlagen, beruht.

Anhand eines realen Beispielfalls soll die Einsatzfähigkeit von Google Bard getestet werden. Bard ist Googles experimenteller KI-Chat-Dienst, ähnlich wie ChatGPT, welcher seit Mai 2023 auf dem LLM PaLM³ basiert Der größte Unterschied zu ChatGPT ist, dass Bard mit Informationen aus dem Web arbeitet, was veraltete Informationen oder Unwissen vermeiden soll.

Ausgangspunkt ist ein „Hacking‟-Fall, wo für die StA Befund und Gutachten zu erstatten war, ob ein wg. § 118a⁴ StGB⁵ Verdächtiger nachzuweisen ist, bzw. ob noch weitere Ermittlungen nötig sind. Der Vorhalt des Geschädigten, einem Betreiber eines Internetportals für Kontakte, war, dass Daten seiner Kunden gelöscht oder deren Passwörter geändert wurden. Der Tatverdächtige betrieb selbst ein vergleichbares Portal, das als Konkurrenz gelten konnte.

Unter Zuhilfenahme der befundeten Dateien, speziell dem Access-Log des Webservers und den Informationen aus der IP-Adressenauswertung gem. Gerichtsakt wurde versucht Spuren zu einen Angriff finden und den Angriff zu rekonstruieren. Diese Arbeit wurde 2014 manuell mit Hilfe selbst programmierter Hilfswerkzeuge gelöst. Es soll nun untersucht werden, ob und wie eine KI am Bsp. Bard unterstützen könnte.

Im ersten Schritt muss das Access-Log-File entweder in die Datenbank importiert werden, oder zeitsparender als external Table der Datenbank zugänglich gemacht werden:

Bard Prompt:

Ergebnis:

Das Ergebnis ist nahezu korrekt, und mangelt lediglich an der fehlenden Berücksichtigung der Zeitzone beim Attribut date_time. Ebenso ist die genaue Abgrenzung und Aufteilung der Attribute verbesserungswürdig. Es sollen nun anhand dieser Tabelle die Administratorzugänge untersucht werden.

Bard Prompt:

Ergebnis:

Auch dieses Ergebnis ist grds. korrekt, allerdings könnte ein Administrator Zugang auch aus der URL (im Attribut request) codiert sein. Da ein SQL Injection Angriff angenommen werden muss, wird schließlich eine komplexere Abfrage gestellt.

Bard Prompt:

Ergebnis:

Auch dieses Ergebnis ist grds. korrekt, allerdings existiert in Oracle keine Funktion unescape_string. Statt dessen hätte die Oracle Funktion utl_url.unescape verwendet werden müssen. Letztlich wird festgestellt, dass ein Einsatz von Bard zwecks Generierung von Tools geeignet ist, wobei die Ergebnisse noch nachbearbeitet werden müssen.

In einem ersten Schritt sollen die Rechtsgrundlagen für Österreich ermittelt werden, um zu erfahren, ob und wie die Beweise verarbeitet werden dürfen.

Bard Prompt:

Ergebnis:

Semantisch gemeint war bei der Anfrage, wie mittels access_log aufgrund geltender Rechtslage der Hackerangriff untersucht werden darf, was auch in Richtung Ermittlungsbefugnisse und Datenschutz interpretiert werden sollte. Das Ergebnis ist jedoch vollkommen unbrauchbar, da die Datei access_log bereits vorliegt (was anhand der im vorherigen Schritt getätigten Abfragen klar sein sollte) und die Antwort auf eine Hausdurchsuchung und Sicherstellung (aber nicht Beschlagnahme) abzielt. Abgesehen von den falsch zitierten Rechtsquellen § 90 bis § 93 StPO, existiert der Begriff „Durchsuchungsbeschluss‟ weder im österreichischen Strafprozessrecht noch im Sicherheitspolizeigesetz, sondern nur im Deutschen Recht. In Österreich würde es eine „Durchsuchungsanordnung‟ geben. Des Weiteren existiert eine (Europäische) „Ermittlungsanordnung‟ lediglich in der Justiziellen Zusammenarbeit in Strafsachen mit den Mitgliedstaaten der Europäischen Union. Ermittlungen werden in Österreich grds. von Amts wegen oder aufgrund einer Anzeige von der KriPo soweit wie möglich im Einvernehmen (§ 98 StPO) mit der StA, die auch Anordnungen erteilen kann, durchgeführt.

Wegen dem falschen Ergebnis sollen nun vergleichende Fälle untersucht werden, die auch über Google auffindbar sind, um weitere Möglichkeiten der technisch/rechtlichen Beweisführung zu ergründen.

Bard Prompt:

Ergebnis:

Auch dieses Ergebnis ist falsch. Weder im gegenwärtigen StGB noch in einem parlamentarischen Verfahren befindlichen Entwurf existiert ein § 128a StGB. Korrekt wäre hingegen „§ 118a Widerrechtlicher Zugriff auf ein Computersystem‟ gewesen. Daher soll die Quelle dieses Ergebnisses ermittelt werden:

Bard Prompt:

Ergebnis:

Zu diesem frei erfundenen Ergebnis ist anzumerken, dass es zum Zeitpunkt der Abfrage weder ein Cyberstrafrechtsänderungsgesetz 2023 noch ein BGBl. I 124/2023 gab. Die Quelle für den Gesetzestext konnte mittels Google Search nicht ergründet werden. Woher aber das auf Google aufbauende Bard diese Informationen recherchierte erhellt nicht. Dazu muss ergänzt werden, dass zu verschiedenen Abfragezeitpunkten, welche eine leicht andere Abfragehistorie aufweisen, unterschiedliche Ergebnisse generiert werden. Die hier dargelegten Beispiele stammen von September 2023, und werden vermutlich zu einem anderen Zeitpunkt vollkommen andere Resultate liefern. Diesbezüglich weist Google selbst darauf hin: „Bard zeigt möglicherweise fehlerhafte oder anstößige Informationen an, die nicht die Auffassung von Google widerspiegeln‟.

Diese ernüchternden Ergebnisse erinnern an dem im Mai 2023 bekannten Fall eines Anwalts, der in einem Artikel⁶ der New York Times erschienen ist und dabei weltweit Aufsehen erregte. Der Fall verdeutlicht die Problematik des Einsatzes von KI in nicht technischen Disziplinen. Der Anwalt verwendete in seiner Klage generierte Referenzfälle von ChatGPT. Allerdings konnten die zitierten und zusammengefassten Entscheidungen oder Zitate vom Gericht nicht gefunden werden, da diese von ChatGPT frei erfunden waren.

Verboten ist solch eine Praxis in Österreich allerdings nicht, denn, nach jüngster hg. Rsp.⁷ aus 2023 ist es erlaubt, dass mit Hilfe von KI Anwälten Handlungsempfehlungen in rechtsberatender Weise erteilt oder maschinell erteilt werden. Solch ein „Outsourcing‟ ist grds. zulässig, da ein Anwalt einen externen oder nichtanwaltlichen Rat einholen oder entgegennehmen darf. Eine Ausgliederung bestimmter Dienstleistungen für Rechtsanwaltskanzleien ist nämlich üblich und nach den anwaltlichen Standesregeln nicht generell unzulässig.⁸ Auch dürfen Kunden eine automatische Nachricht erhalten, dass bei einer Forderung von unter 5.000 EUR sie die Möglichkeit haben eine Mahnklage ohne Rechtsanwalt einzubringen.

Europol veröffentlichte 2023 einen Bericht⁹ über die Auswirkungen von LLMs auf die Strafverfolgung am Beispiel ChatGPT. Das Ziel war, das Bewusstsein auf die Auswirkungen von LLMs für die Strafverfolgungsbehörden zu schärfen, da Strafverfolgungsbehörden die Möglichkeiten maßgeschneiderter LLMs, die mit Hilfe spezialisierter Daten trainiert wurden, ausloten wollen. Eine der Empfehlungen des Berichts war, dass bei solcherart Einsatz die Grundrechte Betroffener berücksichtigt werden müssen. Diese Art der Nutzung erfordert auch entsprechende Prozesse und Schutzmaßnahmen, um sicherzustellen, dass sensible Informationen vertraulich bleiben, und dass ein potenzieller Bias vor dem Einsatz gründlich untersucht und aufgezeigt wird.

Der Einsatz von KI in der Strafverfolgung stellt gem. EU Verordnung¹⁰ „KI-VO‟ ein hohes Risiko dar, und daher soll solch ein KI-System zukünftig in einer EU-Datenbank registriert werden müssen. Des Weiteren müssen die Risiken vor dem Inverkehrbringen und während ihres gesamten Lebenszyklus bewertet werden. Dieses Gesetz ist im Juni 2023 vom EP angenommen worden und befand sich im Trilog. Aktuell wird an einem finalen Entwurf gearbeitet. Unter „System der künstlichen Intelligenz“ (KI-System) versteht dieser VO-Vorschlag gem. Art. 3 Z 1 „eine Software, die mit einer oder mehreren der in Anhang I aufgeführten Techniken und Konzepte entwickelt worden ist und im Hinblick auf eine Reihe von Zielen, die vom Menschen festgelegt werden, Ergebnisse wie Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen hervorbringen kann, die das Umfeld beeinflussen, mit dem sie interagieren.‟ Der Anhang I führt die angeführten Techniken auf, darunter maschinelles Lernen, Wissenspräsentation, Expertensysteme, statistische Ansätze und Such- und Optimierungsmethoden. Da diese Bereiche von einen Großteil der heute verwendeten Datenbanksysteme tlw. schon Jahrzehnte lang unterstützt werden, müssten folglich ein Großteil der heutigen Datenverarbeitungen unter die KI-VO fallen. Dieser Entwurf erscheint daher als viel zu weit gefasst, da im Grunde auch Excel-Tabellen als „Wissenspräsentation‟ und „statistische Ansätze‟ je nach normiertem Anwendungsgebiet darunter fallen könnten, w.z.B. gem. Anhang III Z. 4 lit. a „KI-Systeme, die bestimmungsgemäß für die Einstellung oder Auswahl natürlicher Personen verwendet werden sollen, insbesondere für die Bekanntmachung freier Stellen, das Sichten oder Filtern von Bewerbungen und das Bewerten von Bewerbern in Vorstellungsgesprächen oder Tests.‟ Solche Systeme, vielfach Excel-Tabellen, werden in der Informationstechnologie keinesfalls als „Künstliche Intelligenz‟ angesehen.

Im Bereich der Strafverfolgung fallen gem. Anhang III Z 6 lit. d „KI-Systeme, die bestimmungsgemäß von Strafverfolgungsbehörden zur Bewertung der Verlässlichkeit von Beweismitteln im Zuge der Ermittlung oder Verfolgung von Straftaten verwendet werden sollen‟, was zukünftig auch für die Strafverfolgung relevant sein wird. Ob und in welcher Form diese KI-VO in Kraft treten wird ist noch unklar; jedenfalls wird sie auf die österreichische StPO Einfluss nehmen, indem die Zulässigkeit vs. freie Beweiswürdigung von Beweismitteln neu geregelt werden wird müssen.

Obwohl wie im vorherigen Kapitel demonstriert, eine KI durchaus nützliche Ergebnisse im technischen Bereich liefert, versagt sie mit falschen Ergebnissen offensichtlich dann, wenn Fragestellungen im interdisziplinären Bereich – worauf die KI offenbar nicht trainiert wurde – gestellt werden, wie dem Ziehen rechtsrelevanter Schlüsse. Auch das nichtdeterministische Verhalten solcher Systeme, sodass bei gleichartigen Abfragen vollkommen andere Ergebnisse zu anderen Zeitpunkten erzielt werden, erscheint als Hürde für einen Einsatz. Daraus folgt gem. den logischen Regeln, wie dem Eliminationsgesetz, wenn es aber für Sachverständige nicht möglich ist zu unterscheiden, was beim Ergebnis einer KI richtig und falsch ist, muss dieses als falsch angesehen werden.¹¹ Da der Einsatz von KI – insb. im Strafverfahren – besonderen Sorgfaltspflichten unterliegt, um Fehlurteile zu vermeiden, muss entweder auf solch einen Einsatz verzichtet werden, oder solcher mit allergrößtem Bedacht unter Berücksichtigung der von Europol empfohlenen und zukünftig gem. KI-VO geforderten Schutzmaßnahmen durchgeführt werden. Wichtig wäre es auch zwecks Nachvollziehbarkeit und Transparenz, im Gutachten darzulegen, dass für die Analyse eine KI eingesetzt wurde. Dies ist umso wichtiger im Hinblick auf das Recht für ein faires Verfahren gem. Art. 6 EMRK, sodass rechtsrelevante Schlüsse gezogen werden können, dass für die Bestimmung der Schuld oder Unschuld des Angeklagten mit an Sicherheit grenzender Wahrscheinlichkeit feststeht, dass kein Freispruchgrund vorliegt.

I.d.Z. hat gem. den Standesregeln¹² des Hauptverbandes der Allgemein beeideten und zertifizierten Sachverständigen Österreichs, welche für Gerichtsgutachter als bindend¹³ gelten, der Sachverständige anzugeben, von welchem Sachverhalt er bei der Erstattung seines Gutachtens ausgeht (Befund).¹⁴ Sodann sind die aus dem Befund abgeleiteten fachlichen Schlussfolgerungen und die dabei verwendeten Erfahrungssätze verständlich darzustellen (Gutachten). Das Gutachten hat eine verständliche, nachvollziehbare und überprüfbare Begründung zu enthalten. Der Sachverständige hat die von ihm herangezogenen Quellen (z.B. Normen, Lehrmeinungen, Praxiserfahrung) anzugeben.¹⁵ Wie der Einsatz von KI in diesem Bereich zukünftig im Einklang mit der Art. 29 KI-VO „Pflichten der Nutzer von Hochrisiko-KI-Systemen‟ aussehen wird, ist noch nicht absehbar; ein Einfluss auf die erhöhten Sorgfaltspflichten sachverständiger Nutzer ist aber vorhersehbar.

Da auch bei Google Translate die Programmierer einige Jahre benötigten, bis verständliche und weitgehend korrekte Übersetzungen verfügbar waren, bleibt schließlich abzuwarten, wann die KI-Systeme, insb. Bard, soweit maschinell gelernt haben, sodass diese für den praktischen Einsatz, kontextbasierend brauchbare Ergebnisse erzielen werden.