Die Beantwortung der einfach anmutenden Frage ist nicht ganz einfach. Das beginnt schon damit, dass die Internetkriminalität einen Teil der enger gefassten Computerkriminalität umfasst, die schließlich um den Aspekt der globalen Vernetzung erweitert ist. Hinzu kommt die Frage nach dem originären Technikeinsatz (<Technik>kriminalität im engeren Sinne) oder der nur anlässliche Technikeinsatz (... im weiteren Sinne). Besser scheint es, insgesamt von IuK-Kriminalität zu sprechen, die die Informations- und Kommunikationstechnik zusammen fasst und damit den tatsächlichen Verhältnissen am nächsten kommt.
 

Für die Strafverfolgung spielt die Frage nach dem tatsächlichen Täterhandeln eine erhebliche Rolle, weil davon nicht nur die Anwendung des richtigen materiellen Rechts, sondern auch die staatsanwaltschaftliche und gerichtliche Zuständigkeit abhängt. Spätestens dann befinden wir uns tief im Verfassungsrecht, weil es auch um den "gesetzlichen Richter" geht ( Art 101 Abs. 1 S. 2 GG).
 

 
"Computer" ist im engeren Sinne ein isoliertes, also unvernetztes informationsverarbeitendes System, das zum Erstellen, Bearbeiten, Verwalten und Speichern digitaler Dateien jeder Art geeignet und bestimmt ist. Durch ihre Vernetzung werden die Computer zu Telekommunikationsanlagen, wobei die Telekommunikation der technische Vorgang des Aussendens, Übermittelns und Empfangens von Signalen ist ( § 3 Nr. 22 TKG). Im Zusammenhang mit der Onlinedurchsuchung spricht das BVerfG auch von der "Fernkommunikation", die es in den Zusammenhang mit dem Internet stellt (1). Das lässt vermuten, dass es auch eine "Nahkommunikation" gibt, über die uns das höchste Gericht aber in Unkenntnis lässt.

In der Tat gibt es sie, die Nahkommunikation. Sie beginnt bei der einfachen Peripherie (Tastatur, Scanner, mobile und vernetzte Festplatten), führt über jede Menge Schnittstellen (Bluetooth, Infrarot, Mobilfunk) bis hin zu Heimnetzen und Servern in Firmennetzen. In der Informationstechnik spricht man insoweit von einem Local Area Network - LAN. Es ist ein gekapseltes Netz, das idealer Weise nur über eine Schnittstelle zu weiträumigen Rechnerverbünden verfügt. Aufgrund der heute geläufigen Techniken macht es deshalb Sinn, als "Computer" auch ein lokal begrenztes Verbundsystem anzusehen, das unter einer einheitlichen Verwaltung und Verantwortung steht, also ein LAN ist.

Der Begriff "Telekommunikation" hilft hier nicht weiter. Er ist zwar ursprünglich ein Synonym für das "Fernmeldewesen" gewesen, wird aber sowohl von § 3 Nr. 22 TKG als auch von der gerichtlichen Spruchpraxis erheblich weiter gefasst und meint jede Form der elektromagnetischen Signalverarbeitung. Andererseits schränkt das TKG wieder ein, indem es den Endnutzer als eine Person definiert, die keine öffentlichen Netze oder Dienste betreibt ( § 3 Nr. 8 TKG). Damit wären wir wieder beim gekapselten LAN, in dem dennoch Telekommunikation stattfinden kann - jedenfalls im technischen und verfassungsrechtlichen Sinne.

Das Internet ist ein Wide Area Network - WAN - und auf jedem Fall ein Fernkommunikationsnetz. Nicht jedes WAN ist global, was die Firmennetze internationaler Unternehmen oder der öffentlichen Verwaltung zeigen. Sie kennen geschlossene Verbünde (Virtual Private Network - VPN, Overlay-Netze) und Substrukturen. Von außen betrachtet ist zum Beispiel das niedersächsische Landesnetz ein Endnutzer, der seinerseits ein gekapseltes und selbstverantwortetes Netz verwaltet. Innerhalb dieses Netzes betreiben große Ressorts jedoch eigene Overlay-Netze, die jedenfalls auf Protokoll- und Zugriffsebene voneinander getrennt sind. Ihre Komponenten sind isoliert, aber räumlich über dieselbe Fläche verteilt. Bei solchen Konstruktionen versagen auf räumliche Distanzen bezogene Definitionen wie das WAN oder das regionale Metropolitan Area Network - MAN. Nur das LAN lässt sich durch eine einheitliche Verantwortung des Betreibers definieren, so dass jedenfalls die Fernkommunikation eine solche ist, die zwischen LAN als Endnutzer stattfindet (was auch nicht alle Definitionsprobleme löst).

Das zeigt, dass schon eine treffende Differenzierung zwischen "Computer-" und "Internet"kriminalität scheitert. Deshalb ist es notwendig, beide als Formen der Kriminalität im Zusammenhang mit der Informations- und Kommunikationstechnik zusammen zu fassen.
 

 
Im Zusammenhang mit der IT-Kriminalität, die infolge der allgemeinen Vernetzung nichts anderes als IuK-Kriminalität ist, wurde die Unterscheidung zwischen der speziellen Kriminalität im engeren und weiteren Sinne entwickelt. Das scheint auf dem ersten Blick sinnvoll zu sein.

Danach handelt es sich um IuK-Kriminalit im engeren Sinne bei den Erscheinungsformen, die unter unmittelbarer Nutzung und Missbrauch dieser Technik erfolgen (2). Hierfür stehen vor allem solche Begriffe wie Hacking, Malware und Botnetze (3).

IuK-Kriminalität im weiteren Sinne nutzt diese Techniken bewusst, um Straftaten zu begehen, die für sich betrachtet keine IuK-Straftaten sind. Das gilt für die Beleidigung ( § 185 StGB), die Erpressung ( § 253 StGB), den Betrug ( § 263 StGB) und viele andere mehr (siehe <links>).

Die Massenerscheinungen sind meistens Formen des Betruges und deshalb IuK-Kriminalität im weiteren Sinne. Dabei missbrauchen die Täter häufig genug die Technik auf hintersinnige und intelligente Weise, so dass die Ermittler besonderes, auch technisches Wissen brauchen, um sie als Kriminalität zu erkennen, ihre Abläufe zu verstehen und sich auf die Handlungselemente zu konzentrieren, die den strafrechtlichen Gehalt ausmachen. Bei diesen Formen kommt es weniger darauf an, das tatvollendende Handeln wegen seines IuK-Gehaltes zu verstehen und zu bewerten, sondern darauf, den Tatplan und das in ihm liegende Unrecht zu begreifen.
 

Aus der Zuständigkeitszuweisung wegen Wirtschaftsstrafsachen ist dieses sachliche Problem bekannt. Neben Wirtschaftsmaterien im engeren Sinne ( § 74c Abs. 1 Nr. 1 bis 5a GVG) sind Wirtschaftsstrafsachen aus dem Vermögensstrafrecht auch solche, bei denen zur Beurteilung des Falles besondere Kenntnisse des Wirtschaftslebens erforderlich sind ( § 74c Abs. 1 Nr. 6 GVG).

Schon wegen der Zuständigkeit stellt sich die Frage nach den geforderten besonderen Kenntnissen in allen Bereichen der Strafverfolgung. Die erfolgreiche Weichenstellung, die aus den Wirtschaftsstrafsachen überliefert ist, empfiehlt dieses Modell auch für die IuK-Strafsachen, obwohl sie keine saubere Trennschärfe verspricht. Streite mit kreativen Argumentationen sind vorprogrammiert, sowohl wegen des Abdrückens wie auch wegen des Abwehrens.

Im staatsanwaltschaftlichen Bereich fühlt sich noch niemand so richtig zuständig für die IuK-Strafsachen. Die Wirtschaftsstrafsachen umfassen zwar auch den Computerbetrug, aber nur, wenn zu seiner Beurteilung besondere Kenntnisse des Wirtschaftslebens erforderlich sind. Die Organisierte Kriminalität umfasst zwar ausdrücklich auch den Einsatz moderner, unüblicher Tatwerkzeuge, verlangt aber auch immer nach den besonderen Indikatoren ( Nr. 2.1 Anlage E zu den RiStBV). Diese überhaupt in der eigenen Gedankenwelt wahrzunehmen ist einem Allgemeindezernenten verschlossen.

Fachleute für IuK-Strafsachen brauchen deshalb entweder besondere Fähigkeiten, um dreiste Abdrückereien im Ansatz, ohne erheblichem Aufwand und nachhaltig abzuwehren, oder eine starke Führung, die das für sie erledigt. Nichts gefährdet Fachleute mehr als permanente Abwehrkämpfe oder die Überlastung mit tumben Fleißaufgaben. Dazu sind sie zu schade. Sie müssen sich immer wieder in neue Materien und Problemfelder einarbeiten, eindenken und Lösungen entwickeln, die wegen ihrer managementkonformen Abarbeit nicht strukturiert und atomisiert werden können. Das erfordert Zeit, führt zwangsläufig zu ineffektiven Umwegen und vorübergehenden Fehlern und ist der einzige Weg, um Neuländer zu beherrschen. Wer diese Prozesse mit der Stoppuhr begleitet, gehört nicht nur geohrfeigt.

Meine Böswilligkeiten sind erforderlich, weil es genug Erfahrungen damit gibt, wie engagierte Mitarbeiter missbraucht werden. Außerdem gibt es auch die IuK-Kriminalität im ganz weitem Sinne, die erfahrungsgemäß zu besonders kreativen Abdrücken Anlass gibt. Sie liegt vor, wenn die Täter auch Mal eine E-Mail schicken, SMS versenden, telefonieren oder gar twittern. Wenn es sich dabei um schwere Kriminalität handelt, wird man auch in diesen Fällen Verkehrsdaten erheben oder die Telekommunikation überwachen müssen. Die schlichte sozialadäquate Nutzung der Kommunikationstechnik rechtfertigt jedenfalls keine Spezialzuständigkeit.
 

 
Das IT-Strafrecht im engeren Sinne besteht aus vier Hauptgruppen, die über das Strafgesetzbuch verteilt sind. Folgende Hauptgruppen habe ich 2007 benannt (4):

Computersabotage

persönlicher Lebens- und Geheimbereich

strafbare Vorbereitungshandlungen

Schutz des Rechtsverkehrs

Das IuK-Strafrecht bildet keine geschlossene Gruppe, sondern ist in anderen Gruppen von Straftatbeständen eingebunden. Zusammen gehalten wird es von der gemeinsamen Definition von Daten in § 202a Abs. 2 StGB:

Daten ... sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

Die Grundtatbestände des IuK-Strafrechts im engeren Sinne sind ganz überwiegend in dem Bereich der einfachen und mittleren Kriminalität angesiedelt worden. Das Abfangen von Daten ( § 202b StGB), die Datenveränderung ( § 303a StGB) und der Funkschutz ( § 148 TKG) drohen mit einer Höchststrafe von 2 Jahren Freiheitsstrafe, das allgemeine Abhörverbot ( § 201 StGB), das Ausspähen von Daten ( § 202a StGB) und die Computersabotage ( § 303b StGB) mit Freiheitsstrafen bis zu 3 Jahren.

Den oberen Bereich der mittleren Kriminalität decken der Computerbetrug ( § 363a StGB), die Fälschung beweiserheblicher Daten ( § 269 StGB) und die beiden Qualifikationsformen des strafverschärften Abhörverbots beim Amtsträger ( § 201 Abs. 3 StGB) und der schweren Computersbotage ab ( § 303b Abs. 2 StGB), die im Höchstmaß mit Freiheitsstrafen von 5 Jahren drohen.
 

 
Zur schweren Kriminalität mit ihrer Strafdrohung von 6 Monaten im Mindest- und bis 10 Jahren im Höchstmaß zählen schließlich die besonders schweren Computerbetrüge ( §§ 263a Abs. 2, 263 Abs. 3 StGB), Computersabotagen ( § 303b Abs. 2 StGB) und Fälschungen beweiserheblicher Daten ( §§ 269 Abs. 3, 267 Abs. 3 StGB).  

Die schärfsten Strafdrohungen bestehen wegen des gewerbsmäßigen Computerbandencomputerbetruges ( §§ 263a Abs. 2, 263 Abs. 5 StGB) und der gewerbs- und bandenmäßigen Fälschung beweiserheblicher Daten ( §§ 269 Abs. 3, 267 Abs. 4 StGB), die als qualifizierte und damit selbständige Verbrechen mit Freiheitsstrafen zwischen einem und zehn Jahren drohen.

Die strafbaren Vorbereitungshandlungen im IuK-Strafrecht im engeren Sinne sind ausnahmslos mit einer Höchststrafe von einem Jahr Freiheitsstrafe bedroht und damit im Bereich der leichten Kriminalität angesiedelt.

Ihre zentrale Vorschrift ist der  § 202c StGB. Ihre gesetzessystematische Einordnung ist schlecht gelungen, weil der Wortlaut den Eindruck erweckt, die illegalen Vorbereitungen würden sich nur auf das Abfangen und Ausspähen von Daten beziehen. Das stimmt aber nicht, weil auch die Datenveränderung ( § 303a Abs. 3 StGB) und die Computersabotage ( § 303b Abs. 5 StGB) auf den § 202c StGB "quer"verweisen, ohne dass sich das in dieser Strafnorm spiegelt (siehe auch vorverlagertes Hackerstrafrecht).

Mit der Reform von 2007 hat der Gesetzgeber alle Formen der elektronischen Kommunikation abdecken und noch vorhandene Lücken schließen wollen. Das ist ihm nicht gelungen, was viele Lücken im Detail und vor allem der Funkschutz beweisen, weil er das Abhören des Funks für die Frequenzen des Amateurfunks nicht verbietet. Die IT-spezifischen Frequenzbänder für drahtlose Netze und den Nahfunk liegen ganz überwiegend in den Frequenzbereichen, die dem Amateurfunk zugewiesen sind.

Die Tabelle <links> zeigt die wichtigsten Tatbestände des IuK-Strafrechts nach sachlichen Auswahlkriterien (5), die ganz sicher unvollständig ist.
 

 
Von klassischen Strafnormen ist man gewohnt, dass sie unmittelbar auf die Erscheinungsformen der Kriminalität ansprechen. Wer fremde Sachen kaputt macht ( § 303 StGB) oder klaut ( § 242 StGB), andere körperlich verletzt ( § 223 StGB) oder tötet ( § 212 StGB), wird bestraft. Viele Strafvorschriften scheinen deshalb direkt aus den Zehn Geboten zu entstammen und sie allenfalls wegen ihrer Einzelheiten auszugestalten, was wahrscheinlich sogar stimmt (6).

Eine Strafvorschrift nach dem Motto, Du darfst nicht hacken, keine Malware programmieren, verbreiten oder einsetzen oder Du darfst keine Botnetze betreiben, wird man nicht finden. Mit dem Computerbetrug ( § 263a StGB) hat der Gesetzgeber hingegen eine solide Lösung gefunden, weil sie alle vermögensrelevanten, auf Technik fußenden Manipulationen erfasst. Wegen anderer einschlägiger Strafvorschriften ist dieser Weitblick nicht erkennbar. Eine Vorschrift über die Datenhehlerei fehlt ganz. Einen Teil davon deckt § 17 UWG wegen der Geschäftsgeheimnisse ab und mit einer gewissen Hilflosigkeit wird gelegentlich das Datenschutzrecht bemüht (7). Mit § 44 BDSG droht es eine Höchstfreiheitsstrafe von 2 Jahren an, wobei die Strafverfolgung unter dem Vorbehalt eines Strafantrages steht, der noch nicht einmal durch ein besonderes öffentliches Interesse ersetzt werden kann (Privatklagedelikt). Aufgrund seines allgemeinen Charakters wird es von jeder speziellen Vorschrift und vor allem von solchen mit höherer Strafdrohung verdrängt.

Die Erfahrungen lehren, dass die IuK-Kriminalität in den meisten Fällen mehraktig ausgeführt wird, so dass zu ihrer Erfassung nicht nur die Erscheinungsform betrachtet werden darf. Sie offenbart häufig nur einen Ausschnitt von dem Tatplan und seinen Ausführungsschritten und vielfach zeigen erst die unsichtbaren Folgeschritte den strafrechtlichen Gehalt und die richtige materiellrechtliche Zuordnung. Die anschließenden Beispiele werden das zeigen.

Diese Erfahrungen lehren auch, dass bei der Strafverfolgung nicht nur wegen der tatsächlichen Zusammenhänge Neuland betreten wird, sondern in aller Regel auch wegen der Rechtsfragen, die mit der IuK-Kriminalität verbunden sind. Darauf bin ich unlängst wegen der Verfahrensfragen eingegangen (8). Das gilt besonders aber für die Fragen nach der materiellen Strafbarkeit, die ich vielfach - aus gutem Grund - im Interesse der Beschreibung von Erscheinungsformen und Strukturen sowie ihren Varianten zunächst zurückgestellt habe (9). Nur mit der Erscheinungsform des Skimmings habe ich mich tiefer beschäftigt und damit einige Anerkennung bekommen (10).

Einige ausgewählte Beispiele sollen die Probleme bei der Rechtsanwendung aufzeigen.
 

 
Die öffentliche Aufmerksamkeit hat das Skimming dadurch erlangt, dass verschiedene Täter entweder beim Abgreifen der Magnetstreifendaten und PIN (Skimming im engeren Sinne) oder beim Einsatz gefälschter Zahlungskarten (Cashing) beobachtet und ergriffen wurden. Beim Abgreifen kommen technische Geräte zum Einsatz, Kartenlesegeräte (Skimmer), die im oder am Karteneinzugsschacht installiert werden und PIN-Skimmer in Form von Kameras, mit denen die Tastatureingaben beobachtet werden, oder handwerklich häufig hervorragend gearbeitete Tastaturaufsätze.

Das öffentliche Auftreten der Täter und die handwerklichen Fähigkeiten, die von ihnen verlangt werden, haben mich lange daran zweifeln lassen, ob das Skimming wirklich ein Teil der IuK-Kriminalität ist. Der hemmungslose Handel mit dem Equipment und den abgegriffenen Daten in den Hackerboards und die deutliche Durchmischung der Skimming- und der übrigen Cybercrime-Szene haben mich schließlich überzeugt. Hinzu kommt, dass sich die Methoden der Datenbeschaffung erweitert haben und elektronische Direktabgriffe an Geldautomaten (11) sowie Hacking-Angriffe gegen Finanzdienstleistungsunternehmen gemeldet wurden, wobei die Daten direkt manipuliert und gestohlen wurden (12).

Betrachtet man das Skimming im engeren Sinne und konzentriert sich auf die Datenbeschaffung, dann denkt man zunächst an das Ausspähen von Daten oder andere Delikte, die sich mit der Datenintegrität besfassen. Erst der Blick auf die Folgeakte des Tatplans eröffnet die materielle Dimension. In der Vorstellung der Täter ist das Abgreifen ein unverzichtbarer Teil des Tatplans, der das finale Cashing überhaupt erst möglich macht. Für sich betrachtet sind die abgegriffenen Daten wertlos, wenn sie nicht weiterverkauft oder von Komplizen eingesetzt werden. Das Cashing verlangt nach gefälschten Zahlungskarten und das bedeutet, dass zwischen dem Abgreifen und dem Cashing falsche Zahlungskarten hergestellt werden müssen.

Das Herstellen, Sichverschaffen und der Gebrauch gefälschter Zahlungskarten mit Garantiefunktion ist ein Verbrechen, das der Fälschung von Geld gleichgestellt ist ( §§ 152a, 152b StGB). Auf arbeitsteilige Tätergruppen hat das verschiedene Auswirkungen. Den Fälschern und Cashern drohen mindestens ein oder zwei Jahre Freiheitsstrafe, je nach dem, ob sie auch als Bande oder gewerbsmäßig handeln ( 152b Abs. 2 StGB). In aller Regel handeln die "Abgreifer" als Mittäter der Casher und müssen sich deren Taterfolg zurechnen lassen ( § 25 Abs. 2 StGB), wobei sie sich bereits an dem Versuch der Fälschung beteiligen können, sobald sie die abgegriffenen Daten an ihre Komplizen übermitteln (13). Schon davor beteiligen sie sich in einer besonderen Form an dem Fälschungsverbrechen, weil bereits dessen verbindliche Verabredung zwischen Mittätern strafbar ist (Verabredung zu einem Verbrechen: § 30 Abs. 2 StGB).

Das Skimming im engeren Sinne ist deshalb weniger eine abgeschlossene Tat für sich, sondern eine strafbare Vorbereitungshandlung zum Fälschen und Gebrauchen von Zahlungskarten Garantiefunktion, wobei beim Cashing gleichzeitig ein Computerbetrug begangen wird ( § 152b StGB in Tateinheit mit § 263a StGB). In dem Vorbereitungsstadium können noch andere Strafvorschriften zum Zuge kommen, vor allem § 149 StGB wegen des Umgangs mit Skimmern und § 263a Abs. 3 StGB wegen für das PIN-Skimming präparierter Kameras und Tastaturaufsätze, nicht aber die Strafvorschrift über das Ausspähen von Daten selber [ § 202a StGB (14)], an die jeder zuerst denkt.

Die Einzelheiten müssen teilweise noch differenzierter betrachtet werden als in diesem Überblick. Sie werden in dem Arbeitspapier Skimming erörtert.
 

(1)

(1)

(1)

(1)

(1)

(1)

(1) BVerfG, Urteil vom 27.02.2008 - 1 BvR 370/07, 595/07, Rn 176

(2) Einleitung. Was sind IT-Straftaten? 2007

(3) Siehe Kochheim, Cybercrime.

(4) IT-Strafrecht, 2007. Der vier Jahre alte Text hat an Aktualität kaum eingebüßt und wurde hier aktualisiert und übernommen.

(5) Die Übersicht stammt aus dem Jahr 2010: am Ende kommt der Cyberwar, 22.08.2010.

(6) Präambel zum GG: Im Bewußtsein seiner Verantwortung vor Gott und den Menschen ... Dieser Text soll kein Aufsatz über Werte und Normen werden. Nur so viel: Auch ein in einer christlichen Werteordnung als Umfeld aufgewachsenener Heide kann nicht nur christliche Werte für das Gesellschaftsleben tolerieren, sondern zu seinen Grundauffassungen machen, ohne ihren spiritistischen Overhead zu übernehmen.

(7) Zuletzt wegen des Skimmings: Alexander Seidl, Katharina Fuchs, Zur Strafbarkeit des sog. "Skimmings", hrr-strafrecht.de 6/2011, S. 265.

(8) Dieter Kochheim, Verdeckte Ermittlungen im Internet

(9) Aufsätze zur Cybercrime, 10.08.2011

(10) Arbeitspapier Skimming

(11) Skimming an der Quelle, 20.03.2009

(12) Skimming-Coup, 06.02.2009

(13) BGH, Urteil vom 27.01.2011 - 4 StR 338/10

(14) BGH, Beschluss vom 18.03.2010 - 4 StR 555/09