Der Bundesgerichtshof (1 StR 78/21) konnte sich, in einer umfangreichen Entscheidung, zur Strafbarkeit der Verbreitung eines Erpressungstrojaners über das Internet (Ransomware) äußern. Dabei hat der BGH die aufsehenerregende Entscheidung des LG Stuttgart zum Teil aufgehoben. Die Entscheidung ist ein Lehrstück zu grundsätzlichen Tatbeständen des Cybercrime – und des Strafrecht AT, weil wiedermal eine Kammer einen Klassiker falsch gemacht hat.
Sachverhalt – Was ist geschehen
Es geht um eine typische Ransomware-Gruppe, die umfangreich Systeme erfolgreich angegriffen hatte, die Arbeitsweise entspricht der bekannten Masche. Für Details siehe die Schilderung im folgenden Kasten.
Hier geht es vor allem um denjenigen, der der Gruppe zugearbeitet hatte. Dieser übernahm im Frühjahr/Sommer 2013 im Rahmen der Gruppierung die Tätigkeit eines Systemadministrators und technischen Beraters für einen monatlichen Verdienst von 1.000 US-Dollar und betreute die Server der Gruppierung. Der Angeklagte hatte dabei nach den Feststellungen des Landgerichts spätestens am 29. November 2013 Kenntnis davon, dass die Gruppierung die Server dazu einsetzte, um unter Drohung mit einem behördlichen Verfahren und der dauerhaften Sperrung der Rechner, ein Lösegeld in Höhe von 100 Euro in Form von geldwerten PIN-Codes von Computernutzern zu verlangen und übernahm verschiedene Unterstützungshandlungen, so kümmerte er sich
- auf Anweisung der Führungsmitglieder um die Anmietung neuer Server,
- um die Installation verschiedener Programme auf den Servern,
- um die Verlinkung einzelner Server untereinander,
- um die Erhaltung deren Funktionsfähigkeit sowie
- um die Behebung einzelner technischer Probleme der Serverinfrastruktur;
- darüber hinaus stand er den Führungsmitgliedern der Gruppierung als technischer Berater zur Verfügung
Klassische Unterstützungstätigkeiten, die im Homeoffice sicher schnell von der Hand gingen und einen auf den ersten Blick brauchbaren (sicherlich nicht versteuerten) Lohn versprachen.
Arbeitsweise der Ransomware-Gruppe
Zur Vorbereitung und Platzierung der Schadsoftware im Internet bediente sich die Gruppierung der Nutzung von Werbeanzeigen auf verschiedenen Webseiten (sog. Adverts), bei deren Anklicken es ohne den Willen der Nutzer zum Nachladen und zur Installation der Schadsoftware auf den Rechnern der Geschädigten kam. Nach dieser Infektion des Zielrechners wurden in verschlüsselter Form vor allem die Geolokationsdaten des geschädigten Rechners an einen Server der Gruppierung übermittelt; denn nur so war es technisch möglich, einen von der Gruppierung vorprogrammierten Sperrbildschirm an die mit der Schadsoftware infizierten Rechnersysteme zu übermitteln, welcher in der jeweiligen Landessprache an das Herkunftsland der geschädigten Computernutzer angepasst war. Die Gruppierung verfügte dazu über Sperrbildschirme in 44 Sprachen. Bei der Gestaltung dieses Sperrbildschirms wurde der Eindruck erweckt, es handele sich um eine von offiziellen Stellen veranlasste Sperrung des Zielsystems, indem hier Logos staatlicher Behörden, beispielsweise des Bundeskriminalamtes oder des Bundesnachrichtendienstes, verwendet wurden. Zudem erhielten die Meldungen am Sperrbildschirm genaue Angaben über den betroffenen Computer, das verwendete Betriebssystem, die IP-Adresse und den Standort des Rechners sowie die unwahre Behauptung, der Nutzer habe illegale Downloads getätigt oder auf seinem Rechner befänden sich Dateien mit verbotenen kinder- oder tierpornografischen Inhalten. Zur Abwendung eines Straf- oder Bußgeldverfahrens sowie zur Freigabe des gesperrten Computersystems wurde eine Geldzahlung gefordert, die über geldwerte PIN-Codes elektronischer Zahlungssysteme – wie zum Beispiel Paysafecards oder Ukash – im Wert von 100 Euro zu leisten war.
b) Nach der Infektion des Rechners und der Übermittlung des Sperrbildschirms blieb der Computer mit einer Verschlüsselungssoftware dauerhaft gesperrt. Die Sperrbildschirme wurden auch bei jedem Neustart des infizierten Rechners nachgeladen. Zusätzlich wurden Aufrufe des Task-Managers durch die Schadsoftware beendet, so dass der Sperrbildschirm weder minimiert noch geschlossen werden konnte. Für die Sperrung der Rechner wurden von der Tätergruppierung unterschiedliche Varianten der Schadsoftware eingesetzt, die auch permanent dahingehend überprüft wurden, ob und von welchem Antivirenprogramm diese erkannt werden und laufend entsprechend angepasst. Weder die Schadsoftware selbst enthielt einen Mechanismus, der bei Übermittlung eines geforderten PIN-Codes oder durch Zeitablauf eine Entsperrung des infizierten Systems veranlasste, noch wurde eine solche Entsperrung manuell durch die Gruppierung durchgeführt. Einzig durch Löschen der Festplatte – unter gleichzeitigem unwiderruflichen Verlust aller auf dem Rechner gespeicherten Daten – und anschließender Neuinstallation des Betriebssystems konnten die infizierten Geräte wieder brauchbar gemacht werden.
c) Zur Umsetzung dieses Vorhabens verfügte die Gruppierung über eine Vielzahl von Servern. So wurde etwa der Sperrbildschirm über verschiedene Proxy-Server versandt, die jeweils nur über einen Zeitraum von wenigen Tagen bis Wochen verwendet und anschließend durch neue ersetzt wurden. Sie dienten als zwischengeschaltete Server der Anonymisierung und vor allem dazu, die eigentlichen Ziel- bzw. Backend-Server zu verschleiern. Die mit der Schadsoftware infizierten Systeme übermittelten ihre Daten an die Backend-Server, auf denen diese automatisiert gespeichert wurden und von denen aus der länderspezifische Sperrbildschirm mit der Aufforderung zur Zahlung versendet wurde. Auf gleichem Weg vollzog sich auch die Übermittlung der von den Geschädigten erworbenen und in den Sperrbildschirm eingegebenen PIN-Codes im Fall einer Zahlung. Die Backend-Server fungierten zudem als Verwaltungsportal für die erpressten PIN-Codes, die dort in einer Datenbank gesammelt und später verwaltet wurden. Durch die Einschaltung von Finanzagenten wurden die im Verwaltungsportal gespeicherten PIN-Codes über Online-Dienste (z.B. Online-Casinos oder Wettbüros), welche diese als Zahlungsmittel akzeptierten, eingelöst und in einem weiteren Schritt in Form von virtueller Währung auf ein Konto der Gruppierung überwiesen. Weltweit wurden so durch die Tätergruppierung von 2013 bis 2016 über 200 Millionen Rechnersysteme infiziert und von den geschädigten Computernutzern mehr als neun Millionen Euro an geldwerten PIN-Codes übermittelt.
d) (…) In diesem verfahrensgegenständlichen Tatzeitraum wurden in Deutschland mindestens 4.332 Computersysteme an 396 Tagen gegen den Willen der berechtigten Computernutzer (Fälle 1 bis 396 der Urteilsgründe) infiziert, wobei es der Gruppierung in 393 weiteren Fällen (Fälle 397 bis 789 der Urteilsgründe) darüber hinaus auch gelang, den jeweiligen Computernutzer der gesperrten Rechner zum Erwerb und zur Übermittlung von geldwerten PIN-Codes an die Täter im Wert von jeweils 100 Euro zu veranlassen. In allen Infektionsfällen – gleich ob das geforderte Lösegeld in Form von PIN-Codes gezahlt wurde oder nicht – wurden die betroffenen Rechner aber nicht entsperrt.
Tatbestand der Computersabotage
Dass die Infektion der Zielrechner mit der entsprechenden Schadsoftware sowie Installation eines Sperrbildschirms den Tatbestand der Computersabotage nach § 303b Abs. 1 Nr. 1 StGB erfüllt, dürfte nicht sonderlich überraschen.
Insoweit gilt, dass entsprechend § 303b Abs. 1 Nr. 1 StGB sich derjenige strafbar macht, der eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch stört, dass er eine Tat nach § 303a Abs. 1 StGB begeht, also rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert. geschützt wird hier das Interesse des Verfügungsberechtigten an der unversehrten Verwendbarkeit der gespeicherten oder übermittelten Daten und damit das Grundrecht auf Integrität und Vertraulichkeit informationstechnischer Systeme. Allerdings kann der BGH nun (endlich) einige klarstellende Hinweise zum Tatbestand geben.
IT-Sicherheitsrecht & Sicherheitsvorfall
Wir bieten juristische Beratung bei einem Sicherheitsvorfall sowie im IT-Sicherheitsrecht: rund um Verträge, Haftung und Compliance wird Hilfe in der Cybersecurity von jemandem geboten, der es kann – IT-Fachanwalt und Strafverteidiger Jens Ferner bringt sein Fachwissen mit dem Hintergrund des Softwareentwicklers und Verteidigers von Hackern in Unternehmen ein!
Systemdateien als Tatobjekte
Es ist die übliche Diskussion – die man durchaus führen kann – wenn man Systemadministratoren vor sich sitzen hat, nämlich dass das schlichte Hinzufügen von Registry-Einträgen keine Straftat darstellen kann, da diese ja für Veränderungen vorgesehen ist. Der BGH löst sich erwartungsgemäß nun endgültig von dem Gedanken:
Die Haupttäter haben durch den Eingriff in die Registry-Dateien der geschädigten Computersysteme Daten im Sinne des § 303a Abs. 1 StGB so verändert, dass der ganze Bildschirm und alle weiteren Fenster vom Sperrbildschirm überdeckt sowie alle Aufrufe des Task-Managers durch die Schadsoftware beendet wurden. Diese System-Dateien sind taugliche Tatobjekte im Sinne der Legaldefinition des § 202a Abs. 2 StGB (…).
Ein Verändern ist auch beim Herbeiführen von Funktionsbeeinträchtigungen der Daten anzunehmen, die eine Änderung ihres Informationsgehalts oder des Aussagewerts zur Folge haben (…).
Eine solche Veränderung der Daten ist durch das Hinzufügen der Einträge in der Windows-Registry-Datei eingetreten, indem die Schadsoftware beim Hochfahren des Rechners automatisch geladen wurde, ohne dass der Computernutzer hiervon Kenntnis bekam und sofort der ganze Bildschirm und alle weiteren Fenster vom Sperrbildschirm überdeckt wurden, so dass dieser weder minimiert noch geschlossen werden konnte.
BGH, 1 StR 78/21
Wesentliche Bedeutung der Datenverarbeitung
Der nächste Knackpunkt war bisher die wesentliche Bedeutung der Datenverarbeitung – gerade bei massenhaften Delikten stellt sich, durchaus berechtigt, die Frage, wie man eigentlich in jedem Fall nachweisen muss, dass eine tatsächliche Störung eingetreten ist, dies auch noch von wesentlicher Bedeutung. Man müsste tausende Zeugen hören, die in Zweifel nicht mal aufzufinden sind – der BGH umschifft das strafprozessuale Problem, indem er indizielle Vermutungen zulässt:
Das einschränkende Merkmal einer Datenverarbeitung „von wesentlicher Bedeutung“ sollte nach dem Willen des Gesetzgebers als Filter für Bagatellfälle dienen, die vom Tatbestand nicht erfasst werden (BT-Drucks. 16/3656, S. 13). So soll nach der Gesetzesbegründung bei Privatpersonen als Geschädigten darauf abgestellt werden, ob die Datenverarbeitung für die Lebensgestaltung der Privatperson eine zentrale Funktion einnimmt (BT-Drucks. 16/3656, S. 13). Insoweit waren dem Landgericht konkrete Feststellungen zu den einzelnen betroffenen Computersystemen nicht möglich. Im Fall des Anzeigeerstatters lagen diese Voraussetzungen jedenfalls vor. Anhand der übertragenen Daten waren weitere Nachfragen zur Identifizierung der übrigen Nutzer aber ausgeschlossen. Deswegen war das Landgericht hier befugt, auf eine wesentliche Bedeutung der Datenverarbeitung für die betroffenen Computernutzer indiziell zu schließen (…).
Dies gilt vor allem vor dem Hintergrund, dass bei allen festgestellten Einzeltaten durch die gegen den Willen der berechtigten Computernutzer installierte Schadsoftware jegliche Nutzung der auf den Geräten gespeicherten Daten unmöglich gemacht wurde und die Computer nur durch eine mit einem vollständigen Datenverlust verbundene Neuinstallation des Betriebssystems wieder genutzt werden konnten (…), so dass von einer Beeinträchtigung der zentralen Funktionen für die Lebensgestaltung der Betroffenen auszugehen ist.
Im Übrigen spricht vor allem der Umstand, dass in vielen Fällen die tateinheitlich verwirklichte Erpressung erfolgreich war, weil die Computernutzer eine Zahlung geleistet haben, für eine wesentliche Bedeutung der Datenverarbeitung und gegen einen Bagatellfall, da sie ansonsten nicht gezahlt hätten.
BGH, 1 StR 78/21
Die im Übrigen angestellt lebensnahe Vermutung, dass der für die Verwirklichung des Tatbestands erforderliche Taterfolg, die Störung einer Datenverarbeitung eingetreten ist, lässt sich schwer leugnen: Da die Sperrbildschirme am Rechner einzig durch ein Löschen der Festplatte und anschließender Neuinstallation des Betriebssystems beseitigt werden konnten, war die Infektion des Rechners immer mit einem unwiderruflichen Verlust aller auf dem Rechner gespeicherter Daten verbunden.
Tateinheit oder Tatmehrheit
Weiterhin stellt der BGH klar, dass beide verwirklichten Tatbestände, Erpressung (§ 253 Abs. 1 StGB) und Computersabotage (§ 303b Abs. 1 Nr. 1 StGB) zueinander in Tateinheit stehen. Zur Begründung führt der BGH aus, dass dies anzunehmen ist, da unmittelbar mit der Computersabotage durch die Veränderung der System-Dateien und dem erscheinenden Sperrbildschirm der Computernutzer zur Übermittlung geldwerter PIN-Codes zum Entsperren der Rechner aufgefordert wurde.
Dies entspricht der gängigen Ansicht und sollte auf Zustimmung stoßen – mit Blick auf die Rechtsprechung in anderen Bereichen wird allerdings im Gesamtbild die Rechtsprechung für mich zunehmend unkalkulierbar: So hat die Erpressung hier einen eigenständigen und deutlich höheren Unwertgehalt, mit gutem Grund könnte man die – alleine zur Durchführung der Erpressung begangene Computersabotage – durchaus als unselbstständige Nebenhandlung durch die Erpressung konsumiert ansehen.
Beihilfe in einem Fall
Ein Klassiker, auf den ich immer wieder hinweisen muss: Mit ständiger Rechtsprechung des BGH ist die Frage der Handlungseinheit oder -mehrheit nach dem individuellen Tatbeitrag eines jeden Beteiligten zu beurteilen. Fördert der Gehilfe durch ein und dasselbe Tun mehrere rechtlich selbständige Taten des Haupttäters, so ist nur eine Beihilfe im Rechtssinne gegeben! Gerade bei Delikten im Cybercrime, wo einzelne durch einen, von einer Willensbetätigung getragenen, Entschluss über längere Zeit Beihilfe leisten, muss diese Frage sauber geprüft werden – es ist die Natur digitaler Delikte, dass diese Massenhaft auftreten und man mit wenigen, teils automatisierten, Handlungen Beihilfe zu umfangreichen taten leisten kann. Das ist dann aber im Ergebnis gleichwohl nur ein Fall einer Beihilfe:
Die bisherigen Feststellungen belegen nicht, dass der Angeklagte bei den im Tatzeitraum vom 29. November 2013 bis 3. Februar 2015 verwirklichten 789 Einzeltaten einen individuellen tatfördernden Beitrag erbracht hat. Das fördernde Verhalten des Angeklagten stellt sich vielmehr nur als eine einheitliche Unterstützungshandlung dar, indem der Angeklagte sich auf Anweisung der Führungsmitglieder um die Anmietung neuer Server, um die Installation verschiedener Programme auf den Servern, um die Verlinkung einzelner Server untereinander und um die Erhaltung der Funktionsfähigkeit sowie um die Behebung einzelner technischer Probleme der Serverinfrastruktur kümmerte. Auch seine vom Landgericht festgestellte weitere Funktion als technischer Berater der Führungsmitglieder der Gruppierung begründet keinen individuellen tatfördernden Beitrag zu konkreten Einzeltaten.
BGH, 1 StR 78/21
Für den Betroffenen macht dies einen erheblichen Unterschied – so krass es klingt: Wenn man, ohne strafrechtliche Vorbelastung, auf eine einzelne Tat im Bereich der Beihilfe zurück gestutzt wird, winkt eine Strafe im bewährungsfähigen Bereich, jedenfalls muss die Kammer sehr gut begründen, warum sie aus diesem Rahmen in der Strafzumessung heraus kommen will.
Fazit
Die Entscheidung des BGH ist ein Lehrstück – zum einen haben wir mehr Verfahrenssicherheit, was Strafprozesse bei digitalen Massendelikten mit unbekannten Opfern angeht. Zum anderen zeigt sich, dass Verteidigung von Unterstützern im Cybercrime weniger im Bereich IT-spezifischer Fragestellungen lauert, sondern man hier vielmehr mit hochkarätiger Kenntnis der Konkurrenzlehre überraschend gute Ergebnisse erzielen kann. Wer bei digitalen Delikten Verteidigen will muss die Fragen von Tatmehrheit und Tateinheit perfekt beherrschen – was eben nicht jede Strafkammer sitzen hat.
Abschliessend ist zur Computersabotage nun durch den BGH geklärt, dass die wesentliche Bedeutung sich dort ergeben kann, wo ein System vollständig sabotiert wird – die weitere Bedeutung des Systems im Gesamtbild des Tatopfers ist dann nicht mehr zu prüfen. Diese Klarstellung könnte dem, etwa im Verborgenen schlummernden, Tatbestand der Computersabotage eine ganz neue Bedeutung verleihen.
- Cybercrime in Asien - 11. September 2024
- Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier - 11. September 2024
- Ransomware Risk Report 2024 von Semperis - 11. September 2024