Digitale Erpressung

Die digitale Erpressung ist nur ein technisierter Begriff, der strafrechtlich auf eine hergebrachte Erpressung entsprechend §253 StGB hinaus läuft. Typisch ist hierbei der Einsatz von Ransomware um Benutzer blockierter Systeme zur Zahlung von Geld zu verleiten. Da die Erpressung in einem besonders schweren Fall bereits mit einer Freiheitsstrafe von mindestens einem Jahr, etwa bei gewerbsmäßiger Begehung, bewehrt ist, sollte dieses Verhalten nicht unterschätzt werden.

Zentrale Ansprechstelle Cybercrime der Polizei

Die Bedeutung des IT-Strafrechts nimmt immer weiter zu, auch die Ermittlungsbehörden fokussieren sich: Im Bundeskriminalamt wurde eine “Nationale Kooperationsstelle Cybercrime” eingerichtet, auch in jedem Bundesland wurde eine zentrale Ansprechstelle Cybercrime geschaffen. Die Aufgaben beschreibt das BKA so:

Die Komplexität der Angriffsvektoren, das hohe Schadenspotenzial und die gesamtgesellschaftliche Auswirkungen in Fällen von Cybercrime erfordern eine vertrauensvolle Kooperation zwischen betroffenen Unternehmen und Strafverfolgungsbehörden.
Auf die Bedarfslage wurde von Seiten der Polizei in Bund und Ländern durch die Einrichtung zentraler Ansprechstellen Cybercrime (ZAC) beim BKA und den Länderpolizeien reagiert.
Die ZAC des BKA als Bestandteil der Nationalen Kooperationsstelle Cybercrime fungiert dabei als Vermittler und Berater für die Wirtschaft, um im Schadensfall die polizeilichen Ermittlungen zu koordinieren.

Welche Ansprechstellen es jeweils gibt wurde unter Polizei.de zusammen gefasst, die Auflistung findet sich auch am Ende dieses Beitrags als PDF.

In NRW etwa wurde nun bei der Staatsanwaltschaft Köln ein ZAC eingerichtet, wobei die StA Köln bereits seit einiger Zeit eine spezielle Abteilung mit entsprechender Kompetenz bereit gehalten hatte. In den Aachener Nachrichten findet sich hierzu auch ein Interview.

Die Bündelung ist ebenso wie der Fokus dringend geboten: In IT-Strafsachen hat sich zunehmend fehlende Kompetenz in der Sache als erheblicher Hemmschuh erwiesen. Erste Überlegungen, dass fehlendes Wissen sich eher zu Gunsten von Beschuldigten auswirken könnte, haben sich als fatale Fehleinschätzung erwiesen. Auf der anderen Seite ist zu sehen, dass gerade Unternehmen zunehmend mit Straftaten konfrontiert sind, etwa Angriffen auf die eigene Infrastruktur oder wirtschaftlich bedeutsame Daten; aber auch zielgerichtet auf das Unternehmen in Form von digitaler Erpressung oder Betrug. Hier erwies sich für Betroffene Unternehmen mangelnde Kompetenz und viel zu lange Arbeitszeit als grösstes Problem bei der Suche nach Tätern – eine Kompetenzbündelung kann hier durchaus hilfreich sein.

Virus: Trojaner Locky

Für immer mehr Unsicherheit sorgt der Trojaner “Locky”, der nach einiger Wartezeit Dateien auf dem eigenen Rechner verschlüsselt und zur Zahlung auffordert, um eine Entschlüsselung zu erreichen.

Bei dem Verhalten handelt es sich um ein offenkundig strafbares Verhalten: Zum einen liegt mindestens eine versuchte Erpressung vor (§253 StGB) aber auch eine strafbare Datenveränderung die bereits im Verschlüsseln der Dateien zu erkennen ist (§303a Abs.1 StGB). Da von einem koordinierten Handeln auszugehen ist, wird jedenfalls das Merkmal der gewerbsmäßigkeit kein Problem darstellen, so dass eine Freiheitsstrafe von mindestens 1 Jahr im Raum steht.

Es gibt angesichts solcher Bedrohungen, die in Zukunft zunehmen dürften, vor allem einen Rat: Sauber getrennte und laufend aktuell gehaltene Backups auf externen Datenträgern. Unternehmen die gehackt wurden finden einen speziellen Beitrag von mir dazu; grundsätzlich sei ohnehin geraten, von Zahlungen Abstand zu nehmen. Es bleibt insbesondere abzuwarten, ob sich nicht nach einer gewissen Wartezeit ein Tool ergibt, dass die Verschlüsselung wieder rückgängig machen kann, dies wäre nicht das erste Mal in einem solchen Fall.

Links dazu:

Entwenden von Mobiltelefon alleine zum Löschen von Daten kein Raub

Der Bundesgerichtshof (3 StR 392/11) hatte sich mit dem widerrechtlichen Entwenden eines Handys zu beschäftigen. Jemand hatte einem Dritten das Handy gegen dessen Willen abgenommen, alleine getragen von dem Willen, sich darauf befindliche Fotos kopieren zu können. Das Landgericht hatte hier ursprünglich einen Raub (§249 I StGB) erkannt, was vom BGH aufgehoben wurde.

Hintergrund ist, dass der Tatbestand des Raubes erfordert, eine fremde bewegliche Sache (hier: das Handy) wegzunehmen, “um die Sache sich oder einem Dritten rechtswidrig zuzueignen”. Das Problem hier ist die Frage, ob tatsächlich eine “Zueignung” vorliegt. Das ist gerade deswegen fraglich, weil derjenige der sich hier das Handy zweitweise aneignet, dies nur tut, um Zugriff auf die Daten zu erlangen. Um das Handy selbst geht es ihn gar nicht. Beim BGH liest sich das dann so:

Es fehlt an dem für eine Aneignung erforderlichen Willen des Täters, den Bestand seines Vermögens oder den eines Dritten zu ändern, wenn er das Nötigungsmittel nur zur Erzwingung einer Gebrauchsanmaßung einsetzt (Fischer, StGB, 59. Aufl., § 249 Rn. 19a) oder wenn er die fremde Sa- che nur wegnimmt, um sie “zu zerstören”, “zu vernichten”, “preiszugeben”, “wegzuwerfen”, “beiseite zu schaffen”, “zu beschädigen”, sie als Druckmittel zur Durchsetzung einer Forderung zu benutzen oder um den Eigentümer durch bloßen Sachentzug zu ärgern […]

Auch eine räuberische Erpressung scheidet letztlich mit dem BGH zu Recht aus, da keine Bereicherung(sabsicht) zu erkennen ist.

Das Ergebnis ist gleichwohl keine straflosigkeit, sondern vielmehr eine Strafbarkeit wegen Nötigung (§240 I StGB). Die Unterscheidung ist nicht ohne Belang, handelt es sich hierbei doch um vollkommen unterschiedliche Strafrahmen, so dass im Ergebnis für ein solches Verhalten eine angemessene Strafe im unteren Bereich zu erkennen sein wird.

Hinweis: Hier ging es um das widerrechtliche Wegnehmen eines Handys. Konkret hat jemand Fotos gesucht als “Beweis” für eine Beziehung zwischen seiner Schwester und einem Dritten. Die Frage der Strafbarkeit wird dann anders zu bewerten sein, wenn jemand ein Handy an sich nimmt um mit berechtigtem Interesse darin nach Inhalten zu suchen! Wer etwa wirklich widerrechtlich Fotografiert wurde und Sorge haben muss, das bis zur Durchsetzung des Löschungsanspruchs das Foto längst im Internet verteilt wurde, kann sich u.a. auf §229 BGB berufen. Wenn er dies erfolgreich tut, wäre er rechtfertigt und die Frage nach der Strafbarkeit würde sich auf diesem Wege lösen. Allerdings wird dies immer eine sehr schwierige Gratwanderung sein, gerade bei der Frage der Widerrechtlichkeit der Aufnahme. Hier kommt dem Betroffenen §17 StGB zu Gute, der bei einer Unvermeidbarkeit des Irrtums eine Straflosigkeit normiert.

Landgericht Düsseldorf bestätigt: Denial of Service ist strafbar

Sind “Denial-of-Service”-Attacken strafbar? Ich habe das in der Vergangenheit bereits bejaht (hier ausführlich nachzulesen), nunmehr gibt es ein aktuelles Urteil (Landgericht Düsseldorf, 3 KLs 1/11, hier bei OpenJur) – meines Wissens sogar das erste Urteil – dass die Strafbarkeit einer DDoS-Attacke untersucht und bejaht.

Im Sachverhalt ging es um die klassische Variante: Der Angeklagte hat mehrere Unternehmen angeschrieben und verlangt, dass eine bestimmte Summe gezahlt wird. Ansonsten würde er die Firmenwebseiten mittels DDoS-Attacken “lahm legen”. Immerhin in 3 Fällen wurde ihm Geld gezahlt (2x 2.000 Euro, 1×1.000 Euro – alles via UKash), in 3 weiteren Fällen wurde nicht gezahlt. Dabei wurden sämtliche Seiten mehrmals “lahm gelegt”, insbesondere zur Untermauerung der Geldforderung. Zur DDoS-Attacke nutzte der Angeklagte einen gemiteten russischen Server, über den er wiederum auf ein Bot-Netz zurückgriff. Zur Vertiefung empfehle ich den Wikipedia-Artikel und verzichte auf Ausführungen zum Aufbau eines BotNets sowie zu Botnet-Operatoren.

Das Landgericht Düsseldorf sah in allen 6 Fällen eine unproblematische Strafbarkeit wegen Computersabotage nach §303b I Nr.2 StGB, wobei von einer “gewerbsmäßigen Computersabotage” ausgegangen wird, da Firmeninteressen betroffen sind (§303b II StGB). Bemerkenswert ist, dass die Subsumtion des Gerichts hinsichtlich der Computersabotage mit jeweils einem Satz auskommt, was nochmals unterstreichen sollte, wie unproblematisch die Feststellung der Strafbarkeit einer DDoS-Attacke ist.

Hinweis: Neben der Computersabotage wurde selbstverständlich noch die Strafbarkeit wegen (versuchter) gewerbsmäßiger Erpressung festgestellt, was wenig überraschen sollte. Ich sehe hier keinen Ansatz für eine weitergehende Vertiefung.

Das Ergebnis: Die Entscheidung des LG Düsseldorf überrascht nicht und liegt auf einer Linie mit meiner früheren Analyse. DDoS-Attacken sind keine Bagatell-Delikte. Dabei sind gerade Teenager aufgerufen, die Konsequenzen einer scheinbar anonymen Attacke – etwa im Rahmen von gruppenbasierten Angriffen wie von Anonymous – nicht zu unterschätzen, auch hinsichtlich evt. auflaufender zivilrechtlicher Schadensersatzansprüche. Die Entscheidung aus Düsseldorf sollte wachrütteln und warnen. Evt. anders lautende Analysen im Internet sind kritisch zu sehen. Insbesondere wenn sich auf eine frühere Entscheidung des OLG Frankfurt a.M. berufen wird, ist hier nur kurz festzustellen, dass diese Entscheidung auf Grund der Änerungen des StGB sich schlicht überholt hat. Dazu kommt die Problematik, dass auch der Versuch bereits unter Strafe stehen wird (§303b III StGB).

Dazu ausführlich:

Update: Es gibt nun erste Zweifel, ob der §303b StGB verfassungsgemäß ist – zum einen, weil er zu unbestimmt sein soll. Diesen Gedanken finde ich zwar nachvollziehbar, teile ihn aber nicht, da letztlich m.E. die Grenzen der Bestimmtheit (noch) eingehalten werden. Dass Wertungsgesichtspunkte bei der Analyse der Datenverarbeitung eine Rolle spielen ist im StGB keineswegs selten und gerade im Daten-Strafrecht ein typisches Kriterium. Dies gerade, da man häufig mit einem bestimmungsgemäßen Gebrauch einer Datenverarbeitung, einfach durch Häufigkeit, Probleme hervorrufen kann. Es verbleibt bei vielen Szenarien alleine die Intention des Handelnden als Differenzierungskriterium. Daneben wird angemerkt, dass eine Ähnlichkeit zum §202c StGB besteht, der ja bereits das BVerfG beschäftigt hat. Auch das ist auf den ersten Blick nachvollziehbar, wird von mir aber abgelehnt: Zum einen ist mit dem BVerfG gerade festzustellen, dass die Wertung auf Grund der Intention des Handelnden keinen Bedenken begegnet. Zum anderen stellt der §303b StGB – anders als der §202c StGB bei weiter Auslegung – eben nicht auch grundsätzlich rechtmässiges Verhalten unter Strafe.

Zu guter Letzt möchte ich darauf verweisen, dass bis heute – also nach nunmehr 5 Jahren Existenz des §303b StGB – weder in der Literatur noch in der Rechtsprechung jemals Zweifel an der Verfassungsmässigkeit der Norm aufgekommen sind. Dabei ist in der Begründung zum §303b StGB nachzulesen, dass ausdrücklich DDoS-Attacken unter Strafe gestellt werden sollten – auch das begegnete niemals irgendeiner Form von Kritik. Stattdessen war von Anfang an klar, dass die Norm restriktiv anzuwenden ist (dazu nur Hilgendorf/Wolf in K&R 2006, S.541ff.)