Kategorien
Cybercrime & IT-Strafrecht

Strafbarkeit von Botnetzwerk

Strafbarkeit von Botnetzwerk: In einem Beschluss hat sich der Bundesgerichtshof (1 StR 16/15) zur Frage der Strafbarkeit beim Betrieb eines Botnetzwerks geäußert. Die Entscheidung bietet zum einen nochmals vertieften Einblick in die Voraussetzungen des §202a StGB; zum anderen wird nochmals überdeutlich aufgezeigt, mit welchen Schwächen im Bereich des IT-Strafrechts selbst bei Landgerichten zu rechnen ist.

Sachverhalt zur Strafbarkeit von Botnetzwerk

Der Sachverhalt stellt sich als Klassiker dar: Der Angeklagte (Jugendliche) erstellte eine Schadsoftware, die er trickreich als nützliches Programm getarnt verbreitete. Wer sie installierte, dessen Rechner wurde Teil eines Botnetzwerks. Die dem Angeklagten so zur Verfügung stehende Rechenleistung wurde genutzt um die Rechner zur Generierung von Bitcoins einzusetzen, wobei die Rechner erst ab 2 Minuten inaktivität in Anspruch genommen wurden. Dabei stellt der BGH fest

Die Schadsoftware, ein Trojaner, war für die Betriebssysteme ab Windows XP bis Windows 7 bestimmt, „welche standardmäßig eine ‚Firewall‘ aktiviert haben, um derartige Angriffe abzuwehren“ (UA S. 3). Diese Firewall „wurde durch den Trojaner umgangen“ (UA S. 3) und das jeweilige Betriebssystem des Computers verändert. An späterer Stelle in den Urteilsgründen findet sich die Feststellung, dass in vielen Fällen der Trojaner „durch Virenprogramme der Nutzer nicht erkannt wurde“ (UA S. 4). Detaillierte Feststellungen zu den auf den betroffenen Com-putern installierten Schutzprogrammen hat das Landgericht nicht (…) getroffen.

Mit Verlaub: Wenn man das alleine liest, rollen sich schon die Zehennägel hoch. Es wird nicht überraschen, dass das dem BGH so nicht reicht.

Was ist eine Zugangssicherung im Sinne des §202a StGB?

Der BGH fasst noch einmal die Rechtslage zur Zugangssicherung zusammen:

Die Zugangssicherung im Sinne von § 202a Abs. 1 StGB muss darauf angelegt sein, den Zugriff Dritter auf die Daten auszuschließen oder wenigstens nicht unerheblich zu erschweren (vgl. BGH, Beschluss vom 6. Juli 2010 – 4 StR 555/09, NStZ 2011, 154; LK-StGB/Hilgendorf, StGB, § 202a Rn. 30; MüKo-StGB/Graf, StGB, § 202a Rn. 35; Rübenstahl/Debus, NZWiSt 2012, 129, 131). Darunter fallen insbesondere Schutzprogramme, welche geeignet sind, unberechtigten Zugriff auf die auf einem Computer abgelegten Daten zu verhindern, und die nicht ohne fachspezifische Kenntnisse überwunden werden können und den Täter zu einer Zugangsart zwingt, die der Verfügungsberechtigte erkennbar verhindern wollte (vgl. BT-Drucks. 16/3656 S. 10). Schließlich muss der Zugangsschutz auch gerade im Zeitpunkt der Tathandlung bestehen (vgl. MüKo-StGB/Graf, StGB, § 202a Rn. 20).

Dies entspricht der ständigen Rechtsprechung des BGH zur Zugangssicherung beim §202a StGB, die ich hier zusammen gefasst habe.

Firewall und Antiviren-Programm

Ich kenne es leider aus diversen Verfahren: Gerichte werfen ständig Begrifflichkeiten in diesem Bereich durcheinander. Vor allem “Firewall” und “Antovirenprogramm” werden geradezu inflationär benutzt und alleine für sich als “Argument” herangezogen. Der BGH stellt klar, dass es so einfach nicht ist. In Bezug auf das vorangegangene Zitat nunmehr vollkommen vorhersehbar führt der BGH daher dann aus:

Hinzu kommt, dass das Landgericht zwischen den Begrifflichkeiten der Firewall und des Virenschutzprogrammes nicht erkennbar differenziert hat, wodurch unklar bleibt, ob es die technischen Voraussetzungen der Zugangssicherung in tatsächlicher Hinsicht zutreffend bewertet hat. Während es zunächst nämlich darauf abstellt, der Trojaner sei so konzipiert gewesen, die vorinstallierte Firewall bestimmter Betriebssysteme zu umgehen (UA S. 3), findet sich im Widerspruch dazu an späterer Stelle der Urteilsgründe die Feststel-lung und Wertung, die vom Angeklagten bereitgestellte Schadsoftware sei durch die Virenprogramme der 327.379 Nutzer nicht erkannt worden (UA S. 4). Unter Zugrundelegung der zu der Schadsoftware zuletzt getroffenen Feststellungen käme eine Firewall als tatbestandsmäßige Schutzvorrichtung bereits dem Grunde nach nicht in Betracht.

Sprich: Das Landgericht hat schlichtweg nicht kapiert, was Firewall und Antivirenprogramm da tun und damit dann auch noch das Urteil verhunzt. Dass darüber hinaus weder beschrieben wurde wie die Schadsoftware funktionierte und wie die angenommene Zugangssicherung umgangen wurde, überrascht dann auch nicht mehr:

Es fehlt in den Urteilsgründen eine hinreichend genaue Darstellung der Wirkweise der von dem Angeklagten bereitgestellten Schadsoftware, welche die Benennung der im konkreten Einzelfall umgangenen Zugangssicherung erfasst. Der pauschale Verweis auf deren Bestehen reicht dafür ohne nähere Darlegung nicht aus (…)

Typischer Eindruck

Es liest sich ernüchternd, was der BGH da an Basics für das Landgericht zusammenfassen muss, ist aber leider wenig überraschend. Vielmehr wird hier mein typischer Eindruck wiedergespiegelt dahin gehend, dass technische Umstände unsauber bis gar nicht verstanden werden, man gleichwohl sich nicht scheut, ein Urteil zu schreiben bevor man alles vollständig verstanden hat.

Strafbarkeit von Botnetzwerk

Dabei soll die Strafbarkeit des Aufbaus und Betrieb eines Botnetzes nicht in Abrede gestellt werden. Etwas schwer tue ich mich damit, pauschal auf den §202a StGB zu verweisen, dafür muss man tatsächlich Feststellungen treffen als Gericht, die sich nicht in Pauschalitäten erschöpfen wie etwa dass ein Betriebssysteminterner Grundschutz vorhanden ist. Letztlich dürfte aber immer der §303b StGB vorliegen.

Konkurrenzen bedenken im IT-Strafrecht

Zum Abschluss sei nochmals daran erinnert, dass die Konkurrenzen sauber zu prüfen sind – hier wird gerade im IT-Strafrecht gut und gerne derart geschlampt, wie man es sonst nur aus dem BTM-Strafrecht kennt. Es gibt viele Ansätze für die Annahme einer Tateinheit, etwa bei zwar zeitlich auseinanderfallenden Vorfällen, die letztlich aber auf einheitlichem Willensentschluss bei automatisierter Durchführung beruhen. Auch darauf weist der BGH hin, es ist davon auszugehen, dass es nicht der letzte Hinweis dieser Art sein muss. Dabei hat die Feststellung von Tateinheit ganz erhebliche Auswirkungen auf das Strafmaß, es geht also um keine nur rein dogmatische Problematik.

Rechtsanwalt & Strafverteidiger Jens Ferner

Von Rechtsanwalt & Strafverteidiger Jens Ferner

Strafverteidiger und Fachanwalt für IT-Recht ist Ihr Ansprechpartner im gesamten Strafrecht mit den Schwerpunkten Wirtschaftsstrafrecht und Cybercrime. Weiterhin im Ordnungswidrigkeitenrecht, speziell bei Bußgeldern von Bundesbehörden. Er arbeitet zusammen mit Fachanwalt für Strafrecht Dieter Ferner, dem Kanzleigründer.
Die Anwaltskanzlei Ferner Alsdorf konzentriert sich auf eine regionale Tätigkeit im Raum Aachen & Heinsberg und ist nur ausnahmsweise - bei Cybercrime-Strafverteidigungen - bundesweit tätig.