Strafbarkeit von Ransomware

Dass der Einsatz von strafbar ist, dürfte wenig überraschen – die Verschlüsselung von Daten zur Abpressung von Geld etwa wird datenstrafrechtlich nach nationalem Recht im Bereich des §303a I StGB liegen (Tatmodalität unterdrücken oder letztlich unbrauchbarmachen) und für den Hintermann bei Ransomware-as-a-Service wird im Zweifel wenigstens der §202d I StGB vorliegen (was bisher zu wenig beachtet wird). Hinzu kommen je nach Tatmodalität die weiteren Varianten, etwa bei vorherigem nach §263a II StGB oder am Ende auch schlicht eine klassische .

Gleichwohl hat sich nun auch der Ausschuss für das Übereinkommen über Cyberkriminalität (T-CY) zu dieser Frage geäußert. Dabei hat der T-CY sich damit beschäftigt, welche Vorgaben der Convention on Cybercrime (CCC, „Budapester Übereinkommen) betroffen sind. Auch wenn dies nur eine Auslegungshilfe ist, also keinen verbindlichen Charakter hat, hat es de Facto eine erhebliche Bindungswirkung in der Auslegung der damit im Einklang stehenden nationalen Gesetze der ratifizierenden Staaten.

Straftaten im Zusammenhang mit Ransomware

Ransomware-Delikte können nach dortiger Sichtweise (problemlos) Verhaltensweisen umfassen, die nach den Artikeln 2 bis 8 sowie nach Artikel 11 (Versuch, Beihilfe oder Anstiftung) strafbar sind und auch die Verantwortlichkeit juristischer Personen nach Artikel 12 des Übereinkommens über Cyberkriminalität nach sich ziehen können.

Ransomware-Aktivitäten können zudem natürlich eine breite Palette anderer Straftaten nach innerstaatlichem Strafrecht umfassen. Folgende Artikel des CCC sieht der Ausschuss beim Einsatz von Cybercrime als betroffen an:

  • Artikel 2 – Unerlaubter Zugang: Bei Ransomware-Delikten handelt es sich um einen illegalen Zugang zu einem Computersystem eines Opfers und damit um eine Straftat nach Artikel 2.
  • Artikel 3 – Unerlaubtes Abhören: Ransomware-Varianten können die Fähigkeit beinhalten, nicht-öffentliche Übertragungen von Computerdaten zu, von oder innerhalb eines Computersystems abzufangen. Auch die Beschaffung von Informationen über Zielpersonen oder von Zugangsberechtigungen kann den Straftatbestand des illegalen Abfangens erfüllen.
  • Artikel 4 – Dateneingriff: Ransomware wurde speziell zum Zweck der Beeinträchtigung von Computerdaten entwickelt und ihre Verwendung ist daher eine Straftat gemäß Artikel 4.
  • Artikel 5 – Systemstörungen: Ransomware kann zu dem Zweck entwickelt werden, den Betrieb eines Computersystems zu stören, und ihre Verwendung ist daher eine Straftat gemäß Artikel 5.
  • Artikel 6 – Missbräuchliche Verwendung von Geräten: Bei Ransomware handelt es sich um Malware und damit um eine Vorrichtung, die „in erster Linie zur Begehung einer der in den Artikeln 2 bis 5 genannten Straftaten konzipiert oder angepasst wurde“. Somit ist die „Herstellung, der Verkauf, die Beschaffung zur Verwendung, die Einfuhr, der Vertrieb oder die sonstige Bereitstellung“ von Ransomware eine Straftat gemäß Artikel 6.
  • Artikel 7 – Computergestützte Fälschung: Um sich illegal Zugang zu den Systemen der Opfer zu verschaffen, verwenden Ransomware-Akteure häufig Phishing- und andere Social- Engineering-Techniken – die in bestimmten Fällen eine computerbezogene Fälschung darstellen können -, d. h. sie erstellen nicht authentische Daten mit der Absicht, dass sie für rechtliche Zwecke als authentisch angesehen oder behandelt werden.
  • Artikel 8 – im Zusammenhang mit Computern: Ransomware-Delikte führen zum Verlust von Vermögenswerten, indem Computerdaten und/oder das Funktionieren eines Computersystems in betrügerischer oder sonstiger unredlicher Absicht beeinträchtigt werden, um unberechtigt einen wirtschaftlichen Vorteil zu erlangen.
  • Artikel 11 – Versuch, Beihilfe und Anstiftung: Die im Vertrag vorgesehenen Straftaten können versucht, unterstützt oder begünstigt werden, um Straftaten im Zusammenhang mit Ransomware zu fördern. Verschiedene Personen können zum Beispiel an der Herstellung, Beschaffung oder anderweitigen Bereitstellung von Ransomware oder an der Beschaffung von Informationen über Ziele beteiligt sein.
  • Artikel 12 – Haftung von Unternehmen: Ransomware-Delikte, die unter die Artikel 2-11 des Übereinkommens fallen, können von juristischen Personen begangen werden, die nach Artikel 12 haftbar gemacht werden können.
  • Artikel 13 – Sanktionen: Straftaten im Zusammenhang mit Ransomware, die unter das Übereinkommen fallen, können eine erhebliche für Einzelpersonen und die Gesellschaft darstellen, insbesondere wenn sich die Straftaten gegen kritische Informationsinfrastrukturen richten und ein erhebliches Risiko für das Leben oder die Sicherheit einer natürlichen Person darstellen.

    Die Vertragsparteien sollten daher gemäß Artikel 13 sicherstellen, dass Straftaten im Zusammenhang mit solchen Handlungen „mit wirksamen, verhältnismäßigen und abschreckenden Sanktionen, einschließlich Freiheitsentzug, geahndet werden“. Dazu gehört, dass sie sicherstellen, dass die nach ihrem innerstaatlichen Recht verfügbaren Sanktionen angesichts der von Ransomware ausgehenden Bedrohung angemessen sind und das gesamte Spektrum der strafrechtlichen Verantwortlichkeit berücksichtigen, einschließlich des Versuchs, der Beihilfe und der Anstiftung zu einer kriminellen Handlung.

    Die Vertragsparteien können auch strengere Strafen in Erwägung ziehen, wenn erschwerende Umstände vorliegen, z. B. wenn solche Handlungen das Funktionieren kritischer Infrastrukturen erheblich beeinträchtigen oder den Tod oder die einer natürlichen Person oder erheblichen Sachschaden verursachen.

IT-Sicherheitsrecht & Sicherheitsvorfall

Wir bieten juristische Beratung bei einem Sicherheitsvorfall sowie im IT-Sicherheitsrecht: rund um Verträge, Haftung und Compliance wird Hilfe in der Cybersecurity von jemandem geboten, der es kann – IT-Fachanwalt und Strafverteidiger Jens Ferner bringt sein Fachwissen mit dem Hintergrund des Softwareentwicklers und Verteidigers von Hackern in Unternehmen ein!

Verfahrensrechtliche Bestimmungen

Die Vertragsparteien können bei Umsetzung der Vorgaben der CCC bei strafrechtlichen Ermittlungen oder Verfahren im Zusammenhang mit Ransomware-Delikten die beschleunigte Sicherung gespeicherter Computerdaten, Herausgabeanordnungen, die und gespeicherter Computerdaten und andere Instrumente zur Sammlung elektronischer Beweismittel einsetzen:

  • Artikel 14 – Anwendungsbereich der Verfahrensvorschriften: Die Verfahrensbefugnisse des Übereinkommens (Artikel 16-21) können in einem bestimmten strafrechtlichen oder Prozess nicht nur in Bezug auf die oben genannten Punkte genutzt werden, sondern auch in Bezug auf die Erhebung von Beweisen in elektronischer Form für jede andere Straftat im Zusammenhang mit Ransomware im Sinne des innerstaatlichen Rechts einer Vertragspartei.
  • Artikel 15 – Bedingungen und Garantien: Diese Bedingungen und Schutzmaßnahmen gelten auch für strafrechtliche Ermittlungen und Verfahren im Zusammenhang mit Ransomware-Delikten.
  • Artikel 16 – Beschleunigte Aufbewahrung von gespeicherten Computerdaten: Diese Befugnis kann genutzt werden, um gespeicherte Computer im Zusammenhang mit Ransomware-Delikten rasch zu sichern, z. B. Daten über die Quelle oder den Pfad der Ransomware-Verbreitung oder über Mitteilungen, in denen Lösegeld gefordert oder gegebenenfalls Entschlüsselungswerkzeuge bereitgestellt werden. Diese Befugnis kann auch genutzt werden, um die Sicherung anderer Daten im Zusammenhang mit Ransomware-Delikten anzuordnen, wie z. B. die Kommunikation zwischen Verdächtigen oder von Verdächtigen gespeicherte Daten, die als Beweismittel für solche Delikte dienen könnten.
  • Artikel 17 – Beschleunigte Aufbewahrung und teilweise Freigabe von Verkehrsdaten: Diese Befugnis kann genutzt werden, um zügig eine ausreichende Menge an Verkehrsdaten zu erhalten, um andere Diensteanbieter und den Pfad zu identifizieren, über den die Kommunikation im Zusammenhang mit Ransomware-Delikten übertragen wurde.
  • Artikel 18 – Produktionsauftrag: Mit der Herausgabeanordnung nach Artikel 18 kann eine Person aufgefordert werden, gespeicherte Computerdaten im Zusammenhang mit Ransomware-Delikten herauszugeben. Dies kann Diensteanbieter, Finanzinstitute, einschließlich Anbieter von Dienstleistungen für virtuelle Vermögenswerte und Plattformen, sowie andere juristische oder natürliche Personen betreffen. Diese Anordnungen sind von entscheidender Bedeutung, um z. B. Teilnehmerinformationen von Anbietern im Zusammenhang mit Konten und Infrastrukturen im Zusammenhang mit Ransomware zu erhalten.
  • Artikel 19 – Durchsuchung und Beschlagnahme gespeicherter Daten Computerdaten: Die Durchsuchungs- und Beschlagnahmebestimmungen nach Artikel 19 können zur Durchsuchung und Beschlagnahme gespeicherter Computerdaten im Zusammenhang mit Ransomware-Delikten verwendet werden.
  • Artikel 20 – Erhebung von Verkehrsdaten in Echtzeit: Die Befugnisse nach Artikel 20 können für die Echtzeit-Erhebung von Verkehrsdaten im Zusammenhang mit Ransomware-Delikten genutzt werden
  • Artikel 21- Abfangen von Inhaltsdaten: Die Befugnisse nach Artikel 21 können für die Überwachung bestimmter Inhaltsdaten im Zusammenhang mit Ransomware-Delikten genutzt werden, wie z. B. die Kommunikation zwischen Verdächtigen.
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.