Web Cyberfahnder
über Suchmaschinen und -strategien
  Cybercrime    Ermittlungen    TK & Internet    Literatur    intern    Impressum 
IT-Straftaten 2
zurück zum Verweis zur nächsten Überschrift Computersabotage

 
Zusammenfassung

IT-Strafrecht

   IT-Strafrecht im engeren Sinne 

Computersabotage

persönlicher Lebens- und Geheimbereich
strafbare Vorbereitungshandlungen
Schutz des Rechtsverkehrs

   IT-Strafrecht im weiteren Sinne 
Nebenstrafrecht
Inhaltsdelikte
Anlagenschutz
 


Datenveränderung
Computersabotage
besonders schwere Computersabotage
Perspektiven der Strafverfolgung
 


Die Vorschriften zur Computersabotage betreffen besonders den körperlichen Schutz der IT-Infrastruktur. Seit der Neufassung 2007 betrifft dies verstärkt auch den privaten IT-Einsatz, so dass jedenfalls vom Ansatz her gegen moderne Cybercrime-Erscheinungen vorgegangen werden kann.
 

zurück zum Verweis zur nächsten Überschrift nach oben Datenveränderung
 

 
Den Kernbereich des Schutzes der infrastrukturellen IuK-Technik siedelt der Gesetzgeber in dem Bereich der einfachen Kriminalität an, indem er ihn der Sachbeschädigung zur Seite stellt, also dem Schutz des körperlichen Gewahrsams und der Gebrauchserhaltung von körperlichen Gegenständen.

Den Einstieg bietet die Sachbeschädigung ( § 303 StGB), die die Beschädigung oder Zerstörung einer fremden Sache unter Strafe stellt. Als Reaktion auf (mehr oder weniger begnadete) Sprayer, nervende Schmierfinken ( Tagging) und zerstörungswütige Mitmenschen (z.B. Scratching) bestimmt der Gesetzgeber auch die Verunstaltung als Sachbeschädigung, auch wenn sich - mit einem gewissen Aufwand - der ursprüngliche Zustand des Gegenstandes wiederherstellen lässt ( § 303 Abs. 2 StGB).

Mit § 303a StGB verlässt der Gesetzgeber eigentlich den Bereich der Sachbeschädigung: Mit der Datenveränderung stellt er die unbefugte Vernichtung und Veränderung von Daten ungeachtet dessen unter Strafe, ob sie besonders geschützt sind oder nicht.
 

 
Daten werden damit körperlichen Gegenständen gleichgestellt. Das hat eine berechtigte Tradition, indem nicht der informatorische Inhalt (= Daten) von der Rechtspraxis betrachtet wurde, sondern die Speichermedien, auf denen er sich verkörpert.

Einfaches Fazit: Jede unerlaubte und bewusste Veränderung oder Löschung fremder Daten ist eine strafbare Datenveränderung. Das gilt für Hacker, die nicht einfach nur in fremden EDV-Systemen kucken, sondern sich auch einen Administratoren-Zugang anlegen oder ein Rootkit hinterlassen. Das gilt z.B. aber auch für die (lustigen) Cracker, die fremde Webseiten verändern und manipulieren.

Wichtig dabei ist, dass die Manipulation auf dem fremden System erfolgt. Die Installation der Botsoftware auf dem Zombie ist eine Datenveränderung (wie die Installation von Malware im Übrigen auch), weil damit auch die Registry oder andere Systemdateien verändert werden. Beim Update der Malware kann man schon Zweifel haben, ob es sich um eine Datenveränderung handelt. Sie belegt in erster Linie Systemressourcen, also Massenspeicher, und beeinträchtigt die Funktionalität des angegriffenen Systems nicht unbedingt zusätzlich.
 

zurück zum Verweis zur nächsten Überschrift nach oben Compuertersabotage
 

 
Mit der Computersabotage ( § 303b StGB) führt der Gesetzgeber die Sachbeschädigung und die Datenveränderung wieder zusammen. Die absichtliche Zerstörung und Veränderung von Datenverarbeitungen unterwirft er seit 2007 einer erhöhten Strafdrohung, wenn sie "für einen anderen von wesentlicher Bedeutung" sind. Das betrifft auch Privatleute, z.B. im Hinblick auf aufwändige Ausarbeitungen (z.B. Gutachten und Buchführungen von Selbständigen, Examensarbeiten) die bislang ausgeblendet waren.

Aus der alten Fassung des § 303b StGB wurde Abs. 2 übernommen, der eine erhöhte Strafdrohung bestimmt, wenn es sich um eine Datenverarbeitung handelt, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist.

 
Der Regierungsentwurf von 2006 (1) weist ausdrücklich auf den Schutz von Privatpersonen und auf das begrenzende Merkmal "von wesentlicher Bedeutung" hin (E 20). Damit sollen Bagatellfälle ausgeschlossen werden. Dazu heißt es weiter (E 20):

Bei Privatpersonen als Geschädigte wird darauf abzustellen sein, ob die Datenverarbeitungsanlage für die Lebensgestaltung der Privatperson eine zentrale Funktion einnimmt. So wird eine Datenverarbeitung im Rahmen einer Erwerbstätigkeit, einer schriftstellerischen, wissenschaftlichen oder künstlerischen Tätigkeit regelmäßig als wesentlich einzustufen sein, nicht aber jeglicher Kommunikationsvorgang im privaten Bereich oder etwa Computerspiele.
zurück zum Verweis zur nächsten Überschrift nach oben
 

Mit ihrer neuen Ausrichtung wendet sich die Strafvorschrift der Computersabotage nicht nur gegen den Missbrauch fremder EDV-Anlagen als solche (Hacking), sondern zielgerichtet auch gegen den Einsatz von Würmern, Trojanern und anderer Malware sowie gegen Dialer (2), Spionage- und Botnetzsoftware.

Neu eingeführt wurde § 303b Abs. 1 Nr. 2 StGB, wonach Tathandlungen unter Strafe gestellt werden, durch die Daten in Nachteilzufügungsabsicht (E 21) eingegeben oder übermittelt werden. Damit reagiert der Gesetzgeber besonders auf Denial of Service-Attacken (E 21),

bei denen die Dienste eines Servers durch eine Vielzahl von Anfragen derart belastet werden, dass dessen Aufnahme- und Verarbeitungskapazität nicht ausreicht und somit der Zugang für berechtigte Kontaktaufnahmen mit dem Server blockiert oder zumindest erschwert wird.
 

Wegen seiner Abgrenzungen zum Bagatellstrafrecht, das der Entwurf nicht verfolgt wissen will, und zum Einsatz gängiger Netzwerktechniken tut sich der Entwurf schwer.

Die Strafbarkeit soll deshalb erst eintreten, wenn die Störung "erheblich" ist, also "wenn eine nicht unerhebliche Beeinträchtigung des reibungslosen Ablaufs der ... Datenverarbeitung vorliegt" (E 21). Das hilft der Rechtspraxis kaum weiter und wird die Rechtsprechung besonders beschäftigen.

Der Kriminalisierung üblicher Netzwerktechniken will der Entwurf mit einem subjektiven Korrektiv begegnen, indem er die Absicht hervorhebt, "einem anderen Nachteil zuzufügen" (E 21). Absichtstatbestände haben immer den Nachteil, dass sie Unklarheiten erzeugen und schwer handhabbar sind. Auch insoweit wird die Rechtsprechung Klarheit verschaffen müssen.
 

zurück zum Verweis zur nächsten Überschrift nach oben besonders schwere Computersabotage
 

 
Die besonders schweren Fälle der Computersabotage bedroht § 303b Abs. 4  StGB mit Freiheitsstrafe von 6 Monaten bis 10 Jahre. Es handelt sich dabei um eine Strafzumessungsregel, die keinen selbständigen Tatbestand schafft und die - nicht abschließend - Regelbeispiele benennt.

Gewerbsmäßig handelt, wer seinen Lebensunterhalt oder einen wesentlichen Teil davon dauerhaft aus kriminellen Gewinnen bestreiten will. Das dürfte besonders Auftragsprogrammierer für Spionagesoftware und Botnetzbetreiber treffen.

Bandenmäßig handeln mindestens drei zusammenwirkende Täter, wenn sie sich mit dem Ziel verbunden haben, dauerhaft Straftaten zu begehen. Das wiederum dürfte besonders auf Phishingbanden wegen der heimlichen Installation und dem Einsatz ihrer Spionagesoftware zutreffen ( Zugangsdaten "phishen" und Man in the Middle-Installationen).
 

 
Die Herbeiführung eines Vermögensverlustes großen Ausmaßes dürfte vor Allem wegen des Einsatzes von Würmern und im Zusammenhang mit DDoS-Angriffen vorliegen.

Der Schutz lebenswichtiger Güter (Abs. 4 Nr. 3) betrifft zum Beispiel öffentliche Versorgungswerke sowie die Dienstleistungen der Energie- und Bankenwirtschaft (E 22, E 23). Die Anwendung soll auf besonders gravierende Taten beschränkt bleiben (E 23), wie sich aus dem gleichrangigen Schutz der Sicherheit der Bundesrepublik Deutschland ergeben soll. Insoweit ist als Auslegungsregel in § 92 Abs. 3 Nr. 2 StGB einschlägig.

zurück zum Verweis zur nächsten Überschrift nach oben Perspektiven der Strafverfolgung
 

 
Der Regelungsbereich der neuen Tatbestände zur Computersabotage umfasst auch die modernen Erscheinungsformen der Cybercrime. Dennoch ist nicht zu erwarten, dass dieser Form der Kriminalität mit dem neuen Recht ernsthaft begegnet werden kann.

Mit Ausnahme der besonders schweren Computersabotage sind alle Tatbestände in den Bereich der leichten und mittleren Kriminalität angesiedelt worden. Das zwingt die Strafverfolgungspraxis im Zusammenhang mit Verhältnismäßigkeitsabwägungen zur Zurückhaltung.

Die Erhebung von Verbindungsdaten ( § 100g StPO) ist prinzipiell im Zusammenhang mit Computersabotagen per Netzverbindungen zulässig, weil das Gerät des Täters eine Endeinrichtung ist.

Die Überwachung der Telekommunikation ist im Zusammenhang mit den Erscheinungsformen der Computersabotage unzulässig ( § 100a StPO) und zwar auch in besonders schweren Fällen. Diese Unterlassungssünde wird die Strafverfolgung wegen des Phishings und gegen die Betreiber von Botnetzen nachhaltig behindern.
 

 
Dasselbe gilt für den großen Lauschangriff ( § 100c StPO), so dass eine Onlinedurchsuchung wegen Computersabotage insgesamt ausgeschlossen ist.

Verdeckte Ermittlungen im Übrigen ( § 100f Abs. 1 Nr. 2 StPO, § 100f Abs. 2 StPO, § 110a StPO) sind in schwerwiegenden Einzelfällen möglich.

Auf die schweren Erscheinungsformen der Cybercrime reagieren die neuen Vorschriften zur Computersabotage nur halbherzig und sind deshalb für die effektive Strafverfolgung nur bedingt geeignet.

Flankierende personelle und fachliche Maßnahmen sind mit den Gesetzesänderungen nicht verbunden gewesen. Deshalb ist zu erwarten, dass die neuen Strafvorschriften zwar die Strafverfolgung erleichtern, nicht aber auf die Fälle ausweiten wird, die eine Ahndung wirklich verdienen.
 

zurück zum Verweis nach oben Anmerkungen
 
Reaktionen auf frühere Abzockereien
Ordnungswidrigkeiten nach § 149 TKG (Auszug)
13a. § 66a Satz 1, 2, 6, 7 oder 8 unrichtige Preisangabe
13b. § 66a Satz 3 zu kurze Preisangabe
13c. § 66a Satz 4 unrichtige Hinweise
13d. § 66b Abs. 1 Satz 1 unrichtige Preisansage
13e. § 66c Abs. 1 Satz 1 unvollständige Preisanzeige
13f. § 66d Abs. 1 oder 2 Überschreitung der Preisgrenze
13g. § 66e Abs. 1 Satz 1 verspätete Verbindungstrennung
13h. § 66f Abs. 1 Satz 1 Einsatz unregistrierter Dialer
13i. § 66i Abs. 1 Satz 2 R-Gespräch als Mehrwertdienst
13j. § 66j Abs. 1 Satz 1 oder 3 ... unzulässiger Einsatz von Kurzwahlen

 

 
(1) siehe Presseerklärung: Besserer Schutz vor Hackern, Datenklau und Computersabotage, BMJ 20.09.2006;
Dort wird auch verwiesen auf den Gesetzentwurf der Bundesregierung für das Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität.
Diese Gesetzesvorlage wird hier zitiert als "E <Seitenzahl im PDF-Dokument>", also z.B. als "E 20".
Die Gesetzesänderung trat am 11.08.2007 in Kraft ( neues Hackerstrafrecht). Der Cyberfahnder unternahm eine erste Würdigung am 17.09.2007 ( neues Hackerstrafrecht).
  

 
(2) Die Strafvorschrift betrifft vor Allem den heimlichen Einsatz von Dialern oder die Betrugsvarianten ( § 263 StGB), in denen wesentliche, also in aller Regel teure Eigenschaften verschwiegen werden.

Der Einsatz eines Dialers, der nicht den Anforderungen von § 66f Abs. 1 Satz 1 TKG genügt oder nicht bei der Bundesnetzagentur registriert ist, ist eine Ordnungswidrigkeit nach § 149 TKG, die von der Bundesnetzagentur als Verwaltungsbehörde mit einer Geldbuße bis zu 100.000 € geahndet werden kann.

Siehe auch links außen: Ordnungswidrige Abzockerpraktiken;
mehr Preisangaben bei TK-Diensten.

 

zurück zum Verweis nach oben Cyberfahnder
 

 

 

 

 

 

 

 

 

 

 

© Dieter Kochheim, 02.08.2009