Strafbarkeit von Datenveränderung im Arbeitsverhältnis

Die Veränderung von Daten durch einen Arbeitnehmer kann schnell arbeitsrechtliche Fragen aufwerfen, insbesondere wenn es hierbei um Straftatbestände geht. Das Landesarbeitsgericht Köln (11 Sa 405/15) hatte beispielsweise einen Sachverhalt zu bewerten, der Verschränkungen zum IT-Strafrecht bietet: Frau A und Herr B arbeiten beim gleichen Arbeitgeber und sind liiert, wobei gegen Frau A der Verdacht des Arbeitszeitbetruges besteht. Sie wird freigestellt und händigt die überlassene Hardware aus. Nun plötzlich werden private Einträge in ihrem Kalender von aussen gelöscht, es kommt heraus, dass dies über den Account des Herrn B passierte. Liegt eine strafbare Datenveränderung vor?
“Strafbarkeit von Datenveränderung im Arbeitsverhältnis” weiterlesen

Virus: Trojaner Locky

Für immer mehr Unsicherheit sorgt der Trojaner “Locky”, der nach einiger Wartezeit Dateien auf dem eigenen Rechner verschlüsselt und zur Zahlung auffordert, um eine Entschlüsselung zu erreichen.

Bei dem Verhalten handelt es sich um ein offenkundig strafbares Verhalten: Zum einen liegt mindestens eine versuchte Erpressung vor (§253 StGB) aber auch eine strafbare Datenveränderung die bereits im Verschlüsseln der Dateien zu erkennen ist (§303a Abs.1 StGB). Da von einem koordinierten Handeln auszugehen ist, wird jedenfalls das Merkmal der gewerbsmäßigkeit kein Problem darstellen, so dass eine Freiheitsstrafe von mindestens 1 Jahr im Raum steht.

Es gibt angesichts solcher Bedrohungen, die in Zukunft zunehmen dürften, vor allem einen Rat: Sauber getrennte und laufend aktuell gehaltene Backups auf externen Datenträgern. Unternehmen die gehackt wurden finden einen speziellen Beitrag von mir dazu; grundsätzlich sei ohnehin geraten, von Zahlungen Abstand zu nehmen. Es bleibt insbesondere abzuwarten, ob sich nicht nach einer gewissen Wartezeit ein Tool ergibt, dass die Verschlüsselung wieder rückgängig machen kann, dies wäre nicht das erste Mal in einem solchen Fall.

Links dazu:

DDOS-Angriff: Bericht aus einer Strafverhandlung

Meinem Mandanten wurde ein DDoS-Angriff vorgeworfen. Er hatte – freilich ohne dazu beauftragt worden zu sein – eine Webseite auf Sicherheitslöcher “prüfen” wollen, indem er ein Penetrationstool (wie Acunetix) eingesetzt hat. Der etwas betagte Server ging in die Knie und brach letztlich ganz zusammen. Der Betreiber erstattete Strafanzeige, letztlich wurde Anklage erhoben wegen einer begangenen Computersabotage entsprechend §303b StGB. Mit der Anklageschrift kam ich ins Spiel.
“DDOS-Angriff: Bericht aus einer Strafverhandlung” weiterlesen

Bug-Bounty-Programme: Vorsicht ist geboten!

Inzwischen mehren sich die so genannten “Bug-Bounty-Programme”, aktuell etwa von PayPal. Hierbei handelt es sich um Aufrufe von Anbietern, dass Außenstehende Sicherheitslücken in deren Angeboten aktiv suchen und melden sollen. Es ist also der öffentliche Aufruf, eigene Angebote (wie etwa Webseiten) zu “hacken”. Wer hier eine Sicherheitslücke findet und meldet, wird mit einer Zahlung von Geld “belohnt”. Aber: Es ist Vorsicht geboten.
“Bug-Bounty-Programme: Vorsicht ist geboten!” weiterlesen

Analyse: Amtsgericht Göttingen zur Strafbarkeit des SIM-Lock-Entfernens

Es wurde hier bereits berichtet, dass das Amtsgericht Göttingen eine Strafbarkeit erkennt, wenn man gewerbsmässig in grösserer Zahl einen so genannten SIM-Lock entfernt. Nunmehr liegt mir die Entscheidung im Volltext vor, so dass ich hier kurz ein paar Worte dazu schreiben kann.

Hinweis: Die Entscheidung ist mit 14 Seiten überraschend umfangreich und liegt mir zudem nicht vollständig anonymisiert vor. Der Arbeitsaufwand zur Anonymisierung ist relativ aufwändig, daher verzögert sich die Veröffentlichung hier auf der Seite. Wie bei mir üblich, werde ich kurz nach Veröffentlichung dieses Artikels die Entscheidung dem Projekt OpenJur.de zustellen, damit es für die Allgemeinheit erfasst wird. Zugleich ist dies als Aufruf an Kollegen zu verstehen, ähnlich mit interessanten Entscheidungen zu verfahren.

Update: Die Entscheidung ist hier im Volltext zu finden.

“Analyse: Amtsgericht Göttingen zur Strafbarkeit des SIM-Lock-Entfernens” weiterlesen

Landgericht Düsseldorf bestätigt: Denial of Service ist strafbar

Sind “Denial-of-Service”-Attacken strafbar? Ich habe das in der Vergangenheit bereits bejaht (hier ausführlich nachzulesen), nunmehr gibt es ein aktuelles Urteil (Landgericht Düsseldorf, 3 KLs 1/11, hier bei OpenJur) – meines Wissens sogar das erste Urteil – dass die Strafbarkeit einer DDoS-Attacke untersucht und bejaht.

Im Sachverhalt ging es um die klassische Variante: Der Angeklagte hat mehrere Unternehmen angeschrieben und verlangt, dass eine bestimmte Summe gezahlt wird. Ansonsten würde er die Firmenwebseiten mittels DDoS-Attacken “lahm legen”. Immerhin in 3 Fällen wurde ihm Geld gezahlt (2x 2.000 Euro, 1×1.000 Euro – alles via UKash), in 3 weiteren Fällen wurde nicht gezahlt. Dabei wurden sämtliche Seiten mehrmals “lahm gelegt”, insbesondere zur Untermauerung der Geldforderung. Zur DDoS-Attacke nutzte der Angeklagte einen gemiteten russischen Server, über den er wiederum auf ein Bot-Netz zurückgriff. Zur Vertiefung empfehle ich den Wikipedia-Artikel und verzichte auf Ausführungen zum Aufbau eines BotNets sowie zu Botnet-Operatoren.

Das Landgericht Düsseldorf sah in allen 6 Fällen eine unproblematische Strafbarkeit wegen Computersabotage nach §303b I Nr.2 StGB, wobei von einer “gewerbsmäßigen Computersabotage” ausgegangen wird, da Firmeninteressen betroffen sind (§303b II StGB). Bemerkenswert ist, dass die Subsumtion des Gerichts hinsichtlich der Computersabotage mit jeweils einem Satz auskommt, was nochmals unterstreichen sollte, wie unproblematisch die Feststellung der Strafbarkeit einer DDoS-Attacke ist.

Hinweis: Neben der Computersabotage wurde selbstverständlich noch die Strafbarkeit wegen (versuchter) gewerbsmäßiger Erpressung festgestellt, was wenig überraschen sollte. Ich sehe hier keinen Ansatz für eine weitergehende Vertiefung.

Das Ergebnis: Die Entscheidung des LG Düsseldorf überrascht nicht und liegt auf einer Linie mit meiner früheren Analyse. DDoS-Attacken sind keine Bagatell-Delikte. Dabei sind gerade Teenager aufgerufen, die Konsequenzen einer scheinbar anonymen Attacke – etwa im Rahmen von gruppenbasierten Angriffen wie von Anonymous – nicht zu unterschätzen, auch hinsichtlich evt. auflaufender zivilrechtlicher Schadensersatzansprüche. Die Entscheidung aus Düsseldorf sollte wachrütteln und warnen. Evt. anders lautende Analysen im Internet sind kritisch zu sehen. Insbesondere wenn sich auf eine frühere Entscheidung des OLG Frankfurt a.M. berufen wird, ist hier nur kurz festzustellen, dass diese Entscheidung auf Grund der Änerungen des StGB sich schlicht überholt hat. Dazu kommt die Problematik, dass auch der Versuch bereits unter Strafe stehen wird (§303b III StGB).

Dazu ausführlich:

Update: Es gibt nun erste Zweifel, ob der §303b StGB verfassungsgemäß ist – zum einen, weil er zu unbestimmt sein soll. Diesen Gedanken finde ich zwar nachvollziehbar, teile ihn aber nicht, da letztlich m.E. die Grenzen der Bestimmtheit (noch) eingehalten werden. Dass Wertungsgesichtspunkte bei der Analyse der Datenverarbeitung eine Rolle spielen ist im StGB keineswegs selten und gerade im Daten-Strafrecht ein typisches Kriterium. Dies gerade, da man häufig mit einem bestimmungsgemäßen Gebrauch einer Datenverarbeitung, einfach durch Häufigkeit, Probleme hervorrufen kann. Es verbleibt bei vielen Szenarien alleine die Intention des Handelnden als Differenzierungskriterium. Daneben wird angemerkt, dass eine Ähnlichkeit zum §202c StGB besteht, der ja bereits das BVerfG beschäftigt hat. Auch das ist auf den ersten Blick nachvollziehbar, wird von mir aber abgelehnt: Zum einen ist mit dem BVerfG gerade festzustellen, dass die Wertung auf Grund der Intention des Handelnden keinen Bedenken begegnet. Zum anderen stellt der §303b StGB – anders als der §202c StGB bei weiter Auslegung – eben nicht auch grundsätzlich rechtmässiges Verhalten unter Strafe.

Zu guter Letzt möchte ich darauf verweisen, dass bis heute – also nach nunmehr 5 Jahren Existenz des §303b StGB – weder in der Literatur noch in der Rechtsprechung jemals Zweifel an der Verfassungsmässigkeit der Norm aufgekommen sind. Dabei ist in der Begründung zum §303b StGB nachzulesen, dass ausdrücklich DDoS-Attacken unter Strafe gestellt werden sollten – auch das begegnete niemals irgendeiner Form von Kritik. Stattdessen war von Anfang an klar, dass die Norm restriktiv anzuwenden ist (dazu nur Hilgendorf/Wolf in K&R 2006, S.541ff.)

Weiteres Urteil: SIM-Lock entfernen ist strafbar

Nach dem AG Nürtingen (hier berichtet), hat nun auch das Amtsgericht Göttingen (62 DS 106/11) festgestellt, dass das Entfernen eines SIM-Lock eine Strafbarkeit, nämlich wegen Fälschung beweiserheblicher Daten (§269 StGB) sowie Datenveränderung (§303a StGB) darstellt. Laut ersten Presseberichten ist das Thema damit aber erst der Auftakt, der Strafverteidiger hat wohl angekündigt, die nächste Instanz zu beschreiten.

Das Thema bleibt spannend, speziell da inzwischen das Entfernen des SIM-Locks ein finanzstarker Markt geworden ist: In Fällen wie den hier verhandelten bietet jemand gegen Bezahlung die Entfernung von SIM-Locks an. Es geht also nicht um den Privatnutzer, der auf Grund einer Anleitung aus dem Internet selber entsperrt, sondern um das gewerbliche Handeln, auch wenn es materiell-rechtlich keinen Unterschied im Rahmen der §§269, 303a StGB darstellt warum man den SIM-Lock entfernt.

Zum Thema:

Hinweise: Es gibt auch andere Entscheidungen dieser Art. So erwirkte die Staatsanwaltschaft Augsburg einen Strafbefehl gegen eine Privatperson, die einen SIM-Lock entfernte. Der BGH stellte in einem zivilrechtlichen Verfahren (I ZR 13/02) fest, dass ein Handyhersteller Unterlassungsansprüche gegen jemanden hat, der eigenmächtig entsperrte Handys veräußern möchte, da eine Markenverletzung vorliegt (so auch OLG Frankfurt a.M., 6 U 68/01). Neben den oben benannten Normen des StGB sind immer auch markenrechtliche sowie urheberrechtliche Ansprüche zu bedenken, die nicht nur zivilrechtliche sondern mitunter auch strafrechtliche Folgen haben können. Dabei hat der BGH bereits klar gestellt, dass man sich weder auf eine Erschöpfung nach §24 MarkenG, noch auf eine Fehlerberichtigung nach §69d UrhG berufen kann (BGH, I ZR 255/02).

In Göttingen ermittelt die Staatsanwaltschaft schon seit längerem gegen eine Vielzahl von Kunden eines SIM-Lock-“Entsperrers”, insofern ist mit weiteren Entscheidungen zu rechnen.

Amtsgericht zum SIM-LOCK entfernen: Strafbar?

Vor einiger Zeit schon hat Heise darauf aufmerksam gemacht, dass Staatsanwälte gegen einige ermitteln, die SIM-LOCKs aus ihren Handys entfernt haben. Nun gibt es bei denjenigen, die gewerbsmäßig SIM-LOCKs entfernen, kein Problem eine Strafbarkeit anzunehmen, bewegt man sich doch im Dunstkreis des §17 II Nr.2 UWG. Aber eine Strafbarkeit des Einzelnen, der einen SIM-LOCK durch einfache Eingabe eines Freischaltcodes beseitigt? Undenkbar. Oder?

“Amtsgericht zum SIM-LOCK entfernen: Strafbar?” weiterlesen