Internet-Strafrecht.com

Das Amtsgericht Aachen (556 Ds-703 Js 236/11-102/11) hatte sich mit zwei Finanzagenten zu beschäftigen: Um Finanzagenten handelt es sich, wenn jemand sein Konto “zur Verfügung” stellt, um hier Geld aus erfolgreichen Phishing-Attacken eingehen zu lassen. Das Geld wird sodann abgehoben und den – meist unbekannten – Hintermännern an verabredeten Orten persönlich übergeben.
Weiterlesen »

Eine Entscheidung des Landgerichts Mannheim (24 Qs 2/10) verdient in höchstem Maße Beachtung: Es ging um die Beschlagnahme von Emails eines Beschuldigten beim Provider. Dass eine solche Beschlagnahme grundsätzlich nach den alther gebrachten Regelungen der StPO möglich ist, steht ausser Frage (dazu BGH, 1 StR 76/09 und das BVerfG, 2 BvR 2099/04).

Nun hat sich aber folgendes Ergeben: Es wurde eine Durchsuchungs- und Beschlagnahmeanordnung (auch hinsichtlich der E-mails beim Provider) erlassen. Demzufolge waren E-Mails im Zusammenhang mit Straftaten zwischen dem 01.08.2008 und einschliesslich Dezember 2009 zu beschlagnahmen.

Im Zuge dieser Anordnung räumte der Provider der Ermittlungsbehörde einen zeitlich und inhaltlich unbeschränkten “Gastzugang” zum Account des Beschuldigten ein, das heisst, die Behörde konnte sich einloggen und auf die EMails Zugriff nehmen. Die Chronologie war dabei wie folgt:

• 26.02.2010 : Gerichtsbeschluss
• 03.03.2010: Polizei übermittelt Beschluss an Provider
• 10.03.2010: Provider richtet Gastaccount ein

Durch den Gastaccount dann kamen aber auch EMails zu Tage, die nach dem 08.02.2010 datierten und auf eine vollkommen neue Straftat hinwiesen, die auch vom bisherigen Beschluss nicht umfasst war. Die Staatsanwaltschaft erwirkte danach beim Amtsgericht einen weiteren Beschlagnahmbeschluss auf Grund der aufgetauchten E-Mails.

Gestritten wurde nun darüber, ob das verwertet werden durfte.
Weiterlesen »

Es wurde hier bereits berichtet, dass das Amtsgericht Göttingen eine Strafbarkeit erkennt, wenn man gewerbsmässig in grösserer Zahl einen so genannten SIM-Lock entfernt. Nunmehr liegt mir die Entscheidung im Volltext vor, so dass ich hier kurz ein paar Worte dazu schreiben kann.

Hinweis: Die Entscheidung ist mit 14 Seiten überraschend umfangreich und liegt mir zudem nicht vollständig anonymisiert vor. Der Arbeitsaufwand zur Anonymisierung ist relativ aufwändig, daher verzögert sich die Veröffentlichung hier auf der Seite. Wie bei mir üblich, werde ich kurz nach Veröffentlichung dieses Artikels die Entscheidung dem Projekt OpenJur.de zustellen, damit es für die Allgemeinheit erfasst wird. Zugleich ist dies als Aufruf an Kollegen zu verstehen, ähnlich mit interessanten Entscheidungen zu verfahren.

Update: Die Entscheidung ist hier im Volltext zu finden.

Weiterlesen »

Sowohl Heise als auch Golem berichten (unter Rückgriff auf den Spiegel), dass im Bundesland Bayern eine Trojaner-Software zum aushorchen von Rechnern Tatverdächtiger (“Landestrojaner”) gleich mehrfach zum Einsatz kam. Nun wird in den Raum geworfen, dass es hierfür gar keine Rechtsgrundlage gibt (dazu auch der Beitrag bei Carsten Hoenig). Besonders scharf ist die Formulierung bei ijure:

aus der Rechtswissenschaft zumindest gibt es soweit ersichtlich keine einzige Stimme, die für die Zulässigkeit der Quellen-TKÜ auf der bisherigen rechtlichen Grundlage einträte.

Solche Sätze sind gefährlich, denn es reicht nur eine einzige Stimme, um sie zu widerlegen. Und wenn man dann als Ausnahme auch noch den Standardkommentar zur StPO anführen kann, der auf jedem Richtertisch in Deutschland steht, wird es haarig. So liest man nämlich in der Kommentierung des §100a StPO beim Meyer/Goßner unter Rn.7a folgendes:

Die Internet-Telefonie wird von §100a erfasst [...] auch die so genannte Quellen-TKÜ nebst den erforderlichen Begleitmaßnahmen;

Auch sonst muss man nicht lange suchen: Bär ist einer der Verfechter dieser Ansicht (dazu nur Bär, Handbuch zur EDV-Beweissicherung im Strafverfahren, Rn. 321 oder die sehr kritische Besprechung von Bär in der MMR 2008, S.423ff.). Eine Darstellung findet man Online bei Buermeyer/Bäcker in der HRRS (interessanterweise ist einer der Autoren zugleich der Autor der obigen Zeilen).

Weiterlesen »

Ein Artikel in der ZEIT-Online beschäftigt sich mit der Frage des Vorgehens im Fall “kino.to”: Hier wurde die laufende Webseite abgeschaltet, die Server-Hardware beschlagnahmt und der Inhalt der Webseite durch eine eigene Seite ersetzt. Nun fragt sich nicht nur Thomas Stadler: Geht das überhaupt? Ich versuche – in aller Kürze – ein wenig auszuhelfen.

Weiterlesen »

Sind “Denial-of-Service”-Attacken strafbar? Ich habe das in der Vergangenheit bereits bejaht (hier ausführlich nachzulesen), nunmehr gibt es ein aktuelles Urteil (Landgericht Düsseldorf, 3 KLs 1/11, hier bei OpenJur) – meines Wissens sogar das erste Urteil – dass die Strafbarkeit einer DDoS-Attacke untersucht und bejaht.

Im Sachverhalt ging es um die klassische Variante: Der Angeklagte hat mehrere Unternehmen angeschrieben und verlangt, dass eine bestimmte Summe gezahlt wird. Ansonsten würde er die Firmenwebseiten mittels DDoS-Attacken “lahm legen”. Immerhin in 3 Fällen wurde ihm Geld gezahlt (2x 2.000 Euro, 1×1.000 Euro – alles via UKash), in 3 weiteren Fällen wurde nicht gezahlt. Dabei wurden sämtliche Seiten mehrmals “lahm gelegt”, insbesondere zur Untermauerung der Geldforderung. Zur DDoS-Attacke nutzte der Angeklagte einen gemiteten russischen Server, über den er wiederum auf ein Bot-Netz zurückgriff. Zur Vertiefung empfehle ich den Wikipedia-Artikel und verzichte auf Ausführungen zum Aufbau eines BotNets sowie zu Botnet-Operatoren.

Das Landgericht Düsseldorf sah in allen 6 Fällen eine unproblematische Strafbarkeit wegen Computersabotage nach §303b I Nr.2 StGB, wobei von einer “gewerbsmäßigen Computersabotage” ausgegangen wird, da Firmeninteressen betroffen sind (§303b II StGB). Bemerkenswert ist, dass die Subsumtion des Gerichts hinsichtlich der Computersabotage mit jeweils einem Satz auskommt, was nochmals unterstreichen sollte, wie unproblematisch die Feststellung der Strafbarkeit einer DDoS-Attacke ist.

Hinweis: Neben der Computersabotage wurde selbstverständlich noch die Strafbarkeit wegen (versuchter) gewerbsmäßiger Erpressung festgestellt, was wenig überraschen sollte. Ich sehe hier keinen Ansatz für eine weitergehende Vertiefung.

Das Ergebnis: Die Entscheidung des LG Düsseldorf überrascht nicht und liegt auf einer Linie mit meiner früheren Analyse. DDoS-Attacken sind keine Bagatell-Delikte. Dabei sind gerade Teenager aufgerufen, die Konsequenzen einer scheinbar anonymen Attacke – etwa im Rahmen von gruppenbasierten Angriffen wie von Anonymous – nicht zu unterschätzen, auch hinsichtlich evt. auflaufender zivilrechtlicher Schadensersatzansprüche. Die Entscheidung aus Düsseldorf sollte wachrütteln und warnen. Evt. anders lautende Analysen im Internet sind kritisch zu sehen. Insbesondere wenn sich auf eine frühere Entscheidung des OLG Frankfurt a.M. berufen wird, ist hier nur kurz festzustellen, dass diese Entscheidung auf Grund der Änerungen des StGB sich schlicht überholt hat. Dazu kommt die Problematik, dass auch der Versuch bereits unter Strafe stehen wird (§303b III StGB).

Dazu ausführlich:

• Analyse: Distributed Denial of Service Attacken sind strafbar!

Update: Es gibt nun erste Zweifel, ob der §303b StGB verfassungsgemäß ist – zum einen, weil er zu unbestimmt sein soll. Diesen Gedanken finde ich zwar nachvollziehbar, teile ihn aber nicht, da letztlich m.E. die Grenzen der Bestimmtheit (noch) eingehalten werden. Dass Wertungsgesichtspunkte bei der Analyse der Datenverarbeitung eine Rolle spielen ist im StGB keineswegs selten und gerade im Daten-Strafrecht ein typisches Kriterium. Dies gerade, da man häufig mit einem bestimmungsgemäßen Gebrauch einer Datenverarbeitung, einfach durch Häufigkeit, Probleme hervorrufen kann. Es verbleibt bei vielen Szenarien alleine die Intention des Handelnden als Differenzierungskriterium. Daneben wird angemerkt, dass eine Ähnlichkeit zum §202c StGB besteht, der ja bereits das BVerfG beschäftigt hat. Auch das ist auf den ersten Blick nachvollziehbar, wird von mir aber abgelehnt: Zum einen ist mit dem BVerfG gerade festzustellen, dass die Wertung auf Grund der Intention des Handelnden keinen Bedenken begegnet. Zum anderen stellt der §303b StGB – anders als der §202c StGB bei weiter Auslegung – eben nicht auch grundsätzlich rechtmässiges Verhalten unter Strafe.

Zu guter Letzt möchte ich darauf verweisen, dass bis heute – also nach nunmehr 5 Jahren Existenz des §303b StGB – weder in der Literatur noch in der Rechtsprechung jemals Zweifel an der Verfassungsmässigkeit der Norm aufgekommen sind. Dabei ist in der Begründung zum §303b StGB nachzulesen, dass ausdrücklich DDoS-Attacken unter Strafe gestellt werden sollten – auch das begegnete niemals irgendeiner Form von Kritik. Stattdessen war von Anfang an klar, dass die Norm restriktiv anzuwenden ist (dazu nur Hilgendorf/Wolf in K&R 2006, S.541ff.)

Der 5. Strafsenat des BGH (5 StR 581/10) hat scheinbar festgestellt, dass das automatisierte Laden von Dateien in den Browser-Cache eine Besitzbegründung darstellt. Jedenfalls der Bearbeiter-Leitsatz in der HRR-Strafrecht suggeriert das, wenn dort u.a. zu lesen ist:

Der Senat billigt pauschal die Ansicht des OLG Hamburg (NJW 2010, 1893), wonach schon derjenige es unternehme, sich den Besitz von kinderpornografischen Schriften zu verschaffen, der wissentlich und willentlich Seiten mit kinderpornografischem Inhalt aus dem Internet auf dem Bildschirm seines Computers ansieht

Ich möchte hier anmerken, dass das im Grundsatz richtig sein kann, dass die Entscheidung des BGH aber m.E. sehr viel mehr Brisanz enthält, als der Bearbeiter-Leitsatz vermittelt.
Weiterlesen »

Anfang dieses Jahres hat der BGH (4 StR 338/10) sich zur Frage geäußert, wann beim Skimming (“Versuchte gewerbsmäßige Fälschung von Zahlungskarten”, §152a II, III StGB) der Versuchsbeginn vorliegt. Hierzu muss man wissen, dass im professionellen Umfeld das Skimming durch zahlreiche Tatbeteiligte geprägt ist, vor allem eine Bande vor Ort, und eine im Ausland, die die übermittelten Daten verwertet.

Dabei bestätigt der BGH, dass mit der Weitergabe der Daten zur Verwirklichung des Tatbestandes unmittelbar angesetzt wird. Der BGH dazu richtigerweise:

Die schnelle zeitliche Abfolge wurde durch das eingespielte System von Tatbeiträgen gewährleistet, bei dem den in Italien sitzenden Mittätern die einzelnen Datenübersendungen jeweils avisiert wurden. Diese wussten dadurch bereits im Voraus, dass die Erbringung ihres eigenen Tatbeitrags unmittelbar bevorstand. Es bedurfte mithin keines neuen Willensimpulses bei einem der durch die Bandenabrede verbundenen Mittäter mehr, sondern die Angeklagten setzten mit der Weitergabe der Daten – was ihnen bewusst war – gleichsam einen automatisierten Ablauf in Gang, so dass auch unter dem Gesichtspunkt der konkreten nahen Rechtsgutsgefährdung [...] die Annahme eines unmittelbaren Ansetzens geboten ist. Dass dem Beschreiben der Kartenrohlinge die Auswertung der Speichermedien durch Abgleich von Videoaufzeichnungen und ausgelesenen Kartendaten und die Übersendung der Daten nach Italien vorausgingen, stellt danach bei der gebotenen wertenden Betrachtung [...] keine diese Annahme hindernden Zwischenschritte dar.

Anders ist es dann, wenn man sich noch in einem sehr frühen Stadium befindet: Der 2. Strafsenat des BGH (2 StR 439/09) erkannte zu Recht noch keinen Versuchsbeginn zu einer gewerbsmäßigen Kartenfälschung, wenn die bestellten “Kartenrohlinge” noch vor Erlangung der Daten beim Kurierdienst lagern und die Festnahme beim Abholen der Rohlinge vorgenommen wird.

Hinweis: Hinsichtlich des Konkurrenzverhältnisses bei der Verabredung zum Verbrechen bitte die aktuelle Entscheidung des BGH mit dem Aktenzeichen 3 StR 419/10 beachten.

Vorher zum Thema:

• Übersicht: Der BGH zum Skimming

Nach dem AG Nürtingen (hier berichtet), hat nun auch das Amtsgericht Göttingen (62 DS 106/11) festgestellt, dass das Entfernen eines SIM-Lock eine Strafbarkeit, nämlich wegen Fälschung beweiserheblicher Daten (§269 StGB) sowie Datenveränderung (§303a StGB) darstellt. Laut ersten Presseberichten ist das Thema damit aber erst der Auftakt, der Strafverteidiger hat wohl angekündigt, die nächste Instanz zu beschreiten.

Das Thema bleibt spannend, speziell da inzwischen das Entfernen des SIM-Locks ein finanzstarker Markt geworden ist: In Fällen wie den hier verhandelten bietet jemand gegen Bezahlung die Entfernung von SIM-Locks an. Es geht also nicht um den Privatnutzer, der auf Grund einer Anleitung aus dem Internet selber entsperrt, sondern um das gewerbliche Handeln, auch wenn es materiell-rechtlich keinen Unterschied im Rahmen der §§269, 303a StGB darstellt warum man den SIM-Lock entfernt.

Zum Thema:

• Die strafrechtliche Seite habe ich an Hand des früheren Urteils zu §303a StGB bereits ausführlicher besprochen, eine Besprechung des §269 StGB folgt noch

Hinweise: Es gibt auch andere Entscheidungen dieser Art. So erwirkte die Staatsanwaltschaft Augsburg einen Strafbefehl gegen eine Privatperson, die einen SIM-Lock entfernte. Der BGH stellte in einem zivilrechtlichen Verfahren (I ZR 13/02) fest, dass ein Handyhersteller Unterlassungsansprüche gegen jemanden hat, der eigenmächtig entsperrte Handys veräußern möchte, da eine Markenverletzung vorliegt (so auch OLG Frankfurt a.M., 6 U 68/01). Neben den oben benannten Normen des StGB sind immer auch markenrechtliche sowie urheberrechtliche Ansprüche zu bedenken, die nicht nur zivilrechtliche sondern mitunter auch strafrechtliche Folgen haben können. Dabei hat der BGH bereits klar gestellt, dass man sich weder auf eine Erschöpfung nach §24 MarkenG, noch auf eine Fehlerberichtigung nach §69d UrhG berufen kann (BGH, I ZR 255/02).

In Göttingen ermittelt die Staatsanwaltschaft schon seit längerem gegen eine Vielzahl von Kunden eines SIM-Lock-”Entsperrers”, insofern ist mit weiteren Entscheidungen zu rechnen.

Das Bundesverfassungsgericht (2 BvR 1124/10) hat sich mit dem Auskunftsanspruch der Strafverfolgungsbehörden hinsichtlich IP-Adressen geäußert. In der Sache wurde die Beschwerde zwar nicht zur Entscheidung angenommen, aber das BVerfG hat sich dennoch grundlegend zu einigen Fragen geäußert.

Zum einen wird klargestellt, dass IP-Adressen dem Schutzbereich des Art. 10 GG unterfallen:

Das Fernmeldegeheimnis gewährleistet die Vertraulichkeit der individuellen Kommunikation, wenn diese wegen der räumlichen Distanz zwischen den Beteiligten auf eine Übermittlung durch andere angewiesen ist und deshalb in besonderer Weise einen Zugriff Dritter – einschließlich staatlicher Stellen – ermöglicht. Die Beteiligten sollen weitgehend so gestellt werden, wie sie bei einer Kommunikation unter Anwesenden stünden. Das Grundrecht ist entwicklungsoffen und umfasst nicht nur die bei Entstehung des Gesetzes bekannten Arten der Nachrichtenübertragung, sondern auch neuartige Übertragungstechniken (BVerfGE 46, 120 <144>; 115, 166 <182>). Der Schutzbereich erfasst neben den Kommunikationsinhalten alle näheren Umstände des Fernmeldeverhältnisses und bezieht sich sowohl auf die Tatsache der Kommunikation als auch auf die Verbindungsdaten über Teilnehmer, Anschlüsse und Nummern, unter welchen die Teilnehmer miteinander in Kontakt treten (BVerfGE 107, 299 <312>; 113, 348 <364 f.>; 115, 166 <183>; 120, 274 <307>; 124, 43 <54>; BVerfG, Urteil vom 2. März 2010 – 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 -, juris, Rn. 189). Hierzu zählen auch IP-Adressen.

Nun muss die Natur des Art. 10 GG verstanden werden. Der Art. 10 GG schützt – verkürzt ausgedrückt – den “Kommunikationsvorgang als solchen”. Wer sich auf eine Verletzung des Art. 10 GG beruft, der muss daher klarstellen, dass auch der Kommunikationsvorgang betroffen ist. Wenn Daten außerhalb des Kommunikationsvorgangs erhoben werden, ist der Art. 10 GG nicht mehr betroffen – deswegen scheiterte hier auch die Beschwerde, weil die Beschwerdeführer genau das nämlich nicht hinreichend dargelegt haben.

Das BVerfG sieht sich aber auch das Wesen der “IP-Adresse” genauer an und wiederholt im Kern seine Ausführungen aus der Entscheidung zur Vorratsdatenspeicherung:

Die Abfrage von Verbindungsdaten aus einem Datensatz, der aufgrund einer anlasslosen systematisch über einen längeren Zeitraum vorgenommenen Speicherung erstellt wurde, stellt einen intensiveren Eingriff dar als die Abfrage von Daten, die ein Telekommunikationsanbieter in Abhängigkeit von den jeweiligen betrieblichen und vertraglichen Umständen – etwa zu Abrechnungszwecken gemäß §§ 96, 97 TKG – kurzfristig aufzeichnet.

Will heißen: Erhobene Telekommunikationsdaten sind auch im Gesamtbild zu werten. Eine IP-Adresse für sich, einmalig erhoben, ist etwas anderes als eine fortlaufend – im Zusammenhang mit anderen Daten – erhobene IP-Adresse. Damit sehe ich erneut die Tendenz beim BVerfG, dass IP-Adressen sich hinsichtlich der Schutzwürdigkeit einer pauschalen Bewertung entziehen. Ob man damit aber Rückschlüsse auf die Frage des Personenbezugs nach §3 BDSG ziehen kann, bezweifle ich.

Interessant für Webseitenbetreiber ist, dass das BVerfG sich zur Frage äußert, auf welcher Rechtsgrundlage IP-Adressen von Dienstebereibern erhoben werden dürfen (es ging um einen Dienstleister, der ein Bankingportal betreibt):

Als Rechtsgrundlage für eine Speicherung der IP-Adressen kommen sowohl die Vorschriften des Telekommunikations- als auch des Telemediengesetzes in Betracht. Nach § 96 Abs. 2 TKG dürfen Verkehrsdaten über das Ende der Verbindung hinaus nur verwendet werden, wenn dies zum Aufbau weiterer Verbindungen oder für die in §§ 97, 99, 100 und 101 TKG genannten Zwecke – Abrechnungszwecke, Störungsbeseitigung und Missbrauchsbekämpfung – erforderlich ist; im Übrigen sind sie nach Beendigung der Verbindung unverzüglich zu löschen. [...] Soweit die Speicherung der IP-Adresse allein für die Herstellung einer verschlüsselten Verbindung unter Nutzung fremder Telekommunikationsdienste erforderlich wäre, kommen als Rechtsgrundlage §§ 14, 15 TMG in Betracht.

Das ist verdient durchaus Beachtung, da das BVerfG hier m.E. ausdrücklich feststellt, dass IP-Adressen auch von Webseiten auf Grund der §§96ff. TKG erhoben werden dürfen. Gerade die Möglichkeit der Erhebung zur Störungsbeseitigung bzw. Missbrauchsbekämpfung sollte hierbei nicht untergehen.

Aus strafrechtlicher Sicht sollte man ein Auge darauf richten, dass das BVerfG (im Umkehrschluss) klar stellt, dass Ermittlungsbehörden sich auf den §161 I StPO stützen können, um einzelne IP-Adressen zu ermitteln. Erst wenn im Gesamtbild ein erhöhter Schutzbedarf festzustellen ist, ist auch zwingend ein Richter zu fragen. Mit der hiesigen Begründung des BVerfG ist das keinesfalls zwingend oder automatisch der Fall.