Erklärung der Wirkweise einer von den Angeklagten entwickelten Schadsoftware und Differenzierung zwischen Firewall und Virenschutzprogramm für gerichtliche Feststellungen zur Strafbarkeit wegen Ausspähens von Daten erforderlich

Haftungsbegründendes Verhalten

Schuldspruch durch die Vorinstanz, LG Kempten, aufgrund der Vorbereitung eines Botnetzwerks sowie Entwicklung und Verbreitung einer hierzu erforderlichen Schadsoftware

Technische Umstände

Es hätte die eindeutige Feststellung getroffen werden müssen, dass und welche Sicherungssysteme durch die Schadsoftware des Angeklagten überwunden wurden

Persönliche Umstände

–

Möglichkeiten der Haftungsvermeidung

–

Zitate, Zusammenfassende Würdigung, Strategien zur Haftungsvermeidung

Der Angeklagte hatte versucht, ein sog. Botnetzwerk aufzubauen. Ein solches besteht aus mehreren informationstechnischen Systemen, die durch eine Schadsoftware zusammengeschlossen werden, um sie anschließend ferngesteuert für kriminelle Zwecke einsetzen zu können. Mit diesem Botnetzwerk wollte er Bitcoins – eine sog. Kryptowährung –generieren. Um die Rechner für das Botnetzwerk zu infiltrieren, entwickelte der Angeklagte eine bestimmte Schadsoftware. Zu deren Verbreitung stellte er im Netz mehrere Dateien zum Download zur Verfügung. Auf den Systemen der angegriffenen Rechner bewirkte die Programmierung der Schadsoftware eine Umgehung der zumeist auf diesen Rechnern installierten Firewall (Software zur Abwehr von Schadprogrammen).

Der BGH hob den Schuldspruch der Vorinstanz wegen Ausspähens von Daten, § 202a StGB in Tateinheit mit Datenveränderung, § 303a StGB auf. Das Gericht rügte die nur lückenhaft getroffenen Feststellungen der Vorinstanz. Insbesondere werde durch sie nicht hinreichend belegt, dass die verwendete Schadsoftware eine Zugangssicherung überwunden habe. Das sei jedoch zwingende Voraussetzung:

Eine Zugangssicherung im Sinne von § 202a Abs. 1 StGB muss darauf angelegt sein, den Zugriff Dritter auf die Daten auszuschließen oder wenigstens nicht unerheblich zu erschweren. Darunter fallen insbesondere Schutzprogramme, welche geeignet sind, unberechtigten Zugriff auf die auf einem Computer abgelegten Daten zu verhindern, und die nicht ohne fachspezifische Kenntnisse überwunden werden können und den Täter zu einer Zugangsart zwingt, die der Verfügungsberechtigte erkennbar verhindern wollte. Schließlich muss der Zugangsschutz auch gerade im Zeitpunkt der Tathandlung bestehen.

Es fehlt in den Urteilgründen eine hinreichend genaue Darstellung der Wirkweise der von dem Angeklagten bereitgestellten Schadsoftware, welche die Benennung der im konkreten Einzelfall umgangenen Zugangssicherung erfasst. Der pauschale Verweis auf deren Bestehen reicht dafür ohne nähere Darlegung nicht aus, […].

Unter anderem sei eine unzureichende Auseinandersetzung mit der Wirkweise der Schadsoftware durch die fehlende erkennbare Differenzierung der Begrifflichkeiten Firewall und Virenschutzprogramm erfolgt.

ANMERKUNGEN

Der Schuldspruch der Vorinstanz wurde zwar aufgehoben. Diese Aufhebung des Schuldspruchs stützte sich jedoch nur auf die fehlerhafte Feststellung der zum Schuldspruch führenden Tatmerkmale. Mithin sah es der BGH nicht als unzulässig an, bei entsprechend hinreichenden Tatsachenfeststellungen wegen des Ausspähens von Daten gem. § 202a StGB zu verurteilen.

Praxishinweis: Um einen Schuldspruch wegen des Ausspähens von Daten zu rechtfertigen, bedarf es daher eines Mindestmaßes an Feststellungen auch hinsichtlich der überwundenen Zugangssicherung.