Es war der 2013 tragsich viel zu früh verstorbene „Barnaby Jack“, der auf der Black Hat Konferenz 2010 das Jackpotting vorstellte: Man greift einen Geldautomaten dadurch an, dass man einen Steckplatz für Flashspeicher freilegt und ein eigenes Rootkit („Schadsoftware“) installiert, damit der Geldautomat – ohne ein Konto zu belasten – seinen Inhalt schlicht ausgibt.
Nunmehr gibt es erste Fälle dieser Angriffsmethode in Deutschland und man kann sich die Frage stellen, wonach ist das strafbar – welcher Tatbestand wird beim Jackpotting verwirklicht?
Betrug?
Der Betrug geht schnell: Hier muss jemand – ein Mensch – getäuscht werden. Das ist beim Einfluss durch Programme auf Hard- und Software eines Geldautomaten offenkundig ausgeschlossen.
Jackpotting: Computerbetrug, §263a StGB
Wenn schon kein Betrug, dann aber ein Computerbetrug – immerhin wird doch etwas ergaunert dadurch, dass man einen Computer missbraucht? In der Tat ist dieses vereinfachte Denken selbst unter Juristen verbreitet, doch ganz so einfach ist es nicht. Wie ich bereits mehrmals klargestellt habe, ist mit dem BGH der §263a StGB als „maschinelles Äquivalent“ zum Betrug geschaffen wurden, man benötigt am Ende in den einzelnen Tatbeständen immer etwas, das quasi spiegelbildlich zur Täuschung eines Menschen steht, ein „Täuschungsäquivalent“. Dabei bietet der §263a Abs.1 StGB 4 Tatbestandsalternativen:
Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, daß er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollständiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beeinflußt, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.
Diese gehe ich im Folgenden in aller Kürze – wirklich grob – durch:
Unrichtiges Gestalten eines Programms
Hier genügt die Veränderung zumindest von Programmteilen dadurch, dass etwa Teile von Dateien verändert werden oder der bisherige Programmablauf durch zusätzliche Dateien ergänzt wird. Dies kann man problemlos beim Installieren von Schadsoftware noch annehmen, die in das Programm zur Bearbeitung von Geldabhebungen eingreift.
Dabei könnte allerdings – je nach Funktionsweise des Angriffs – durchaus diskutiert werden, ob überhaupt „das Programm“ gestört wird. Denn bei einem geldautomaten läuft nicht ein einzelnes Programm, sondern es handelt sich um komplexe DV-Anlagen, nicht selten it modifizierten Betriebssystem-versionen versehen. Wenn der Eingriff auf Ebene des Betriebssystems stattfindet und die Auszahlung nicht durch Einfluss auf den Programmablauf der Geldauszahlung bewirkt wird, sondern etwa durch manuelles Auslösen eines „Wartungsmodus“ oder das Ausnutzen eines Overflow-Hacks, würde letztlich nur ein zusätzlicher Weg genutzt werden, um eine hardwareseitige Funktion auszulösen. In diesem Fall, wenn als keine „Programmgestaltung“ anzunehmen wäre, würde dieser Tatbestand wegfallen.
Verwenden unrichtiger oder falscher Daten
Hiermit ist gemeint, dass in einen ordnungsgemäß laufenden Datenverarbeitungsprozess unrichtige Daten eingegeben werden, es geht also um die quasi inhaltliche Lüge. Ein Beispiel ist seit je her die Angabe von Daten im Verfahren des gerichtlichen Mahnbescheids. Es geht also gerade nicht darum, dass der Programmablauf abgeändert wird, was hier aber betroffen ist – dieser Tatbestand fällt damit raus.
Unbefugte Verwendung von Daten
Auch hier geht es um die eingegebenen Daten, nicht um den Einfluss auf den Datenverarbeitungsprozess an sich – es geht somit um Fälle des EC-Kartenmissbrauchs, wenn also eine EC-Karte mit PIN (also richtige Daten) eines Dritten ohne dessen Erlaubnis genutzt werden. Dieser Tatbestand fällt ebenso raus.
Sonstige unbefugte Einwirkung
Hierbei handelt es sich ausdrücklich um einen Auffangtatbestand. Wenn man oben keine Einwirkung auf ein Programm annehmen kann, dann – nur dann – spielt dieser Tatbestand einer Rolle. Er ist ebenso umstritten wie bewusst offen formuliert vom Gesetzgeber: Er soll schlicht alles erfassen, was irgendwie mit einer Beeinflussung der Datenverarbeitung im Zusammenhang steht, insbesondere auch Hardwaremanipulationen. Ich gehe davon aus, dass er bei den mir bisher bekannten Jackpotting-Szenarien in jedem Fall greifen wird.
Beeinflussung des Ergebnisses
Ich habe bisher keine Prüfung des Täuschungsäquivalents (und des Verfügungsäquivalents) vorgenommen, obwohl insbesondere Fischer dies bei den einzelnen Tatbestandsmerkmalen anführt. Ich finde allerdings die systematische Prüfung als zentrales Merkmal nach den einzelnen Verwirklichungsmöglichkeiten sinnvoller und auch übersichtlicher (so etwa Satzger und natürlich SK-Rudolphi).
Täuschungsäquivalent
Es ist parallel zum Irrtumsmerkmal des §263 StGB zu fordern, dass die Datenverarbeitung zu anderen Daten geführt wird, als diese ohne die täuschungsähnliche Einwirkung zu erwarten gewesen wäre. Hoyer bringt es sehr anschaulich auf den Punkt, wenn er ausführt, es müsse also quasi der Computer dem Täter „geglaubt“ haben. Dabei gibt es bereits Streit bei der Frage, ob nur die Einwirkung auf ablaufende Prozesse zu berücksichtigen sind, oder auch die Einwirkungen die – wie eben beim Jackpotting! – den Prozess überhaupt erst in Gang setzen. Man mag etwa sagen, dass letzteres ja gerade ein besonders massiver Eingriff ist; dem steht aber bereits der Gesetzeswortlaut entgegen, der durchaus so zu verstehen ist, dass die Norm eben nicht die unbefugte Verwendung von DV-Anlagen unter Strafe stellt, sondern nur die zielgerichtete Beeinflussung eines konkret ablaufenden DV-Vorgangs (so etwa Hilgendorf). Ich sehe bereits hier zumindest Diskussionspotential. Jedenfalls wird es hier aber auch auf die konkrete Ausgestaltung des Angriffs ankommen: Wir die Zahlung durch ein Vortäuschen einer Administratorstellung und dem aktivieren eines Wartungsmodus erreicht, wird man problemlos die sich auswirkende täuschungsähnliche Einwirkung annehmen können. Wenn aber durch einen schlichten Overflow erreicht wird, dass der Automat quasi Reflexartig einen Teilbestand „ausspuckt“, tue ich mich schwer, hier eine täuschungsähnliche Einwirkung zu erkennen. Dies ist das Ausnutzen eines Fehlers und die Provokation einer fehlerbedingten reflexartigen Reaktion.
Verfügungsäquivalent
Richtig spannend wird es überraschend zudem beim Verfügungsäquivalent: Es ist eine Vermögensdisposition zu verlangen, die die DV-Anlage trifft. Das bedeutet, es muss eine durch das Programm veranlasste Verfügung stattfinden, beim Menschen würde man vom Verfügungsbewusstsein sprechen. Auch hier kann man dann thematisieren, wenn eine Auszahlung nicht durch das Programm sondern durch einen fehlerbedingten „Reflex“ verursacht wird, inwieweit überhaupt eine solche Disposition vorliegt. Konsequent richtig wird daher in Fällen der Computersabotage ein Computerbetrug gerade nicht angenommen (so ausdrücklich Hilgendorf und Hoyer – anders Fischer).
Computerbetrug: Mitnichten
Ob also ein Computerbetrug vorliegt hängt am konkreten Angriffsszenario. Ich kann hier nur davor warnen, nicht vorschnell – ergebnisorientiert – einen solchen anzunehmen, nur weil das Ergebnis passend scheint.
Ausspähen und Abfangen von Daten
Auch hier wieder kurz: Bei den mir bekannten Angriffsszenatien des Jackpotting sehe ich nicht, dass Daten ausgespäht oder abgefangen werden. Die Tatbestände §§202a, 202b StGB lehne ich daher ab.
Datenveränderung
Die Datenveränderung liest sich zuerst passend
Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
dürfte aber auch eher nicht zutreffend sein: Wenn lediglich zusätzliche Programme bzw. Dateien installiert und genutzt werden und das Rootkit schlicht vorhandene Lücken nutzt, ohne selber das Betriebssystem „umzuschreiben“, wird man hier nicht zwingend den Tatbestand verwirklichen. Sollte man aber im Zuge seines Angriffs nicht nur ein eigenes Programm zum laufen bringen, sondern doch zwingend vorhandene Daten umschreiben müssen – etwa indem Teile des Betriebssystems (auch nur einzelne Dateien) überschrieben werden, dürfte eine Datenveränderung anzunehmen sein. Auch hier sei nochmals daran erinnert, dass sauber getrennt werden muss zwischen dem Einfluss auf Softwareebene, der den Tatbestand berührt, und dem Ergebnis der Manipulation der DV-Anlage insgesamt, die hier eben nicht als Gesamtheit geschützt ist.
Computersabotage
Es kommt der letzte Punkt, die Computersabotage (§303b StGB). Und der wird beim Jackpotting aus meiner Sicht in jedem Fall zutreffen,
Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er (…) Daten (§ 202a Abs. 2) in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder übermittelt (…) wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
Ich sehe beim Jackpotting, dass die hier in Ihrer Gesamtheit geschützte Datenverarbeitung gerade durch Eingabe von Daten ganz erheblich gestört wird – wobei „einem anderen“ (mangels Kontobelastung ist dies die Bank) ein Nachteil in Form des Vermögensschadens zugefügt wird.
Diebstahl
Es mag überraschen, aber es wäre ein Fehler, die klassischen Delikte aus dem Auge zu verlieren: Ein Diebstahl ist keineswegs ausgeschlossen. Dieser wird seit je her bei Automaten angenommen, sofern hier über die ordnungsgemäße Bedienung hinaus eine Manipulation der Technik stattfindet (siehe etwa bei Fischer). Hier wäre die Diskussion zu führen, inwieweit es sich auswirkt, dass die „Übergabe“ des Geldes letzten Endes durch den Automaten selbstständig – wenn auch mit Einwirkung von außen – veranlasst wurde. Insbesondere ist dabei die Frage, ob in dem Moment, in dem der Täter nach dem Geld greift, überhaupt noch ein Gewahrsam der Bank an dem Geld besteht – dies kann aber gelöst werden, indem man den Gewahrsamsbruch auf die Ebene vor das „Ausspucken“ des Geldes veschiebt und bereits dort erkennt, wo der Ausgabemechanismus (wie auch immer) aktiviert wird. Die bisherige Rechtsprechung zu diesem Thema, die sich in den 80ern vornehmlich auf mechanische Einflussnahme auf Warenautomaten bezogen hat, erscheint zumindest grundsätzlich übertragbar. Allerdings sehe ich nicht, dass auch noch die Strafzumessungsregel des §243 StGB zur Anwendung kommt (besonders schwerer Fall) – hier wäre wenn, dann das Überwinden einer Sicherung notwendig. Beim Jackpotting wird aber bei detaillierter Betrachtung eben keine Sicherung überwunden, sondern vielmehr schlicht ein neuartiger Programmablauf geschaffen bzw. ausgenutzt.
Fazit
Es war wirklich sehr schnell und grob, aber eines sollte klar sein: Am Ende steht in jedem Fall eine Strafbarkeit, nämlich nach §303b StGB. Daneben kommt es aus meiner Sicht auf das konkrete Angriffsszenario an, um festzustellen, ob auch ein Computerbetrug zu erkennen ist. Jedenfalls bei der einfachen Tat macht dies einen Unterschied aus, da der Strafrahmen beim Computerbetrug deutlich höher ist – anders wenn es um die gewerbsmäßige Begehung oder die mittels einer Bande geht, hier greift in beiden Fällen der besonders schwere Fall mit einem gleich hohen Strafrahmen. Spannend wird es sein, wie sich die Rechtsprechung zum Diebstahl entwickelt, der durchaus angenommen werden kann, mit guten Argumenten aber auch abzulehnen wäre – auch hier droht ein höherer Strafrahmen als beim §303a StGB.
Insgesamt ist die Betrachtung der Tatbestände keineswegs nur dogmatischer Natur: Mit dem BGH ist die mehrfache Verwirklichung von Tatbeständen durch eine Tat ein Kriterium, das vom Tatgericht bei der Strafzumessung straferhöhend berücksichtigt werden darf. Abgesehen von den Unterschieden im Strafrahmen ist es also durchaus sinnvoll, hier nicht „blind“ Verurteilungen abzunicken sondern vielmehr genau zu prüfen was wirklich verwirklicht wurde – und wo noch Diskussionspotential besteht. Dass Jackpotting am Ende in jedem Fall eine Straftat darstellt sollte aber nicht überraschen.
Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht.