§303a StGB: Strafbarkeit wegen Datenveränderung

Entsprechend § 303a Abs. 1 StGB macht sich strafbar, wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert.

Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

Mit dieser Vorschrift wird das Interesse des Verfügungsberechtigten an der unversehrten Verwendbarkeit der gespeicherten oder übermittelten Daten geschützt.

„§303a StGB: Strafbarkeit wegen Datenveränderung“ weiterlesen

Cybercrime: Illegales Crypto-Mining ist strafbar und kann teuer werden – Einziehung von Bitcoins

Die Kehrseite von Cybercrime sind zivilrechtliche Forderungen – Straftäter können hier schnell erheblich belastet sein. Beim illegalen Crypto-Mining erscheint das auf den ersten Blick schwer – hier geht es darum, dass unbemerkt Rechner von Opfern genutzt werden, um beispielsweise Bitcoins zu schürfen. Dabei einen Schaden zu beziffern ist recht schwer: Rechnerzeit, verbrauchter Strom … wie will man das beziffern? Es scheint so, als würde man hier am Ende seinen Erlös behalten können. Doch weit gefehlt, Der Bundesgerichtshof macht deutlich, dass derart erlangte Bitcoins einzuziehen sind.

Hinweis: Der BGH hatte die Sache nach alter Rechtslage zu beurteilen, weswegen hier noch vom Verfall die Rede ist. Heute wurde der Begriff im neuen §73 StGB reformiert und man spricht einheitlich von einer Einziehung, hier “Einziehung von Taterträgen”. Inhaltlich sind die Ausführungen des BGH aus meiner Sicht auch auf das neue Recht zu übertragen.

„Cybercrime: Illegales Crypto-Mining ist strafbar und kann teuer werden – Einziehung von Bitcoins“ weiterlesen

Ransomware

Ransomware ist zumindest seit den Jahren 2015/2016 ein massiv gestiegenes Problemfeld: Als Ransomware werden üblicher Weise Schadprogramme bezeichnet, die Daten oder ganze Systeme verschlüsseln und den Zugriff darauf verhindern. Zur Freigabe wird die Zahlung eines Lösegeldes (auf englisch: “ransom”) gefordert.  Es geht also im Kern um eine Kombination aus Datenveränderung/Datenunterdrückung und digitaler Erpressung. Eine Variante hiervon ist Ransomware, die zwar nicht verschlüsselt aber durch sonstige Manipulation – etwa des Dateisystems – den Zugriff auf Daten verhindert.

Ransomware kann sich ideal verbreiten durch kontaminierte Dateianhänge an Mails und sorglose Internetnutzer. Gegen Ransomware hilft aus meiner Sicht am besten eine präventive Tätigkeit: Rotierende Backups, ein durchdachtes IT-Sicherheitskonzept und geschulte Mitarbeiter. Sollte der Fall der Fälle eingetreten sein ist ein allgemeiner Rat, nicht auf Forderungen von Erpressern einzugehen; jedenfalls aber lohnt es sich, dauerhaft die folgenden Entwicklungen im Blick zu haben, die notwendigen Masterschlüssel für eine Entschlüsselung werden nicht selten im Nachhinein (irgendwann) bekannt.

Virus: Trojaner Locky

Für immer mehr Unsicherheit sorgt der Trojaner “Locky”, der nach einiger Wartezeit Dateien auf dem eigenen Rechner verschlüsselt und zur Zahlung auffordert, um eine Entschlüsselung zu erreichen.

Bei dem Verhalten handelt es sich um ein offenkundig strafbares Verhalten: Zum einen liegt mindestens eine versuchte Erpressung vor (§253 StGB) aber auch eine strafbare Datenveränderung die bereits im Verschlüsseln der Dateien zu erkennen ist (§303a Abs.1 StGB). Da von einem koordinierten Handeln auszugehen ist, wird jedenfalls das Merkmal der gewerbsmäßigkeit kein Problem darstellen, so dass eine Freiheitsstrafe von mindestens 1 Jahr im Raum steht.

Es gibt angesichts solcher Bedrohungen, die in Zukunft zunehmen dürften, vor allem einen Rat: Sauber getrennte und laufend aktuell gehaltene Backups auf externen Datenträgern. Unternehmen die gehackt wurden finden einen speziellen Beitrag von mir dazu; grundsätzlich sei ohnehin geraten, von Zahlungen Abstand zu nehmen. Es bleibt insbesondere abzuwarten, ob sich nicht nach einer gewissen Wartezeit ein Tool ergibt, dass die Verschlüsselung wieder rückgängig machen kann, dies wäre nicht das erste Mal in einem solchen Fall.

Links dazu:

Zur Strafbarkeit des Jackpotting

Es war der 2013 tragsich viel zu früh verstorbene “Barnaby Jack”, der auf der Black Hat Konferenz 2010 das Jackpotting vorstellte: Man greift einen Geldautomaten dadurch an, dass man einen Steckplatz für Flashspeicher freilegt und ein eigenes Rootkit (“Schadsoftware”) installiert, damit der Geldautomat – ohne ein Konto zu belasten – seinen Inhalt schlicht ausgibt.

Nunmehr gibt es erste Fälle dieser Angriffsmethode in Deutschland und man kann sich die Frage stellen, wonach ist das strafbar – welcher Tatbestand wird beim Jackpotting verwirklicht?
„Zur Strafbarkeit des Jackpotting“ weiterlesen

DDOS-Angriff: Bericht aus einer Strafverhandlung

Meinem Mandanten wurde ein DDoS-Angriff vorgeworfen. Er hatte – freilich ohne dazu beauftragt worden zu sein – eine Webseite auf Sicherheitslöcher “prüfen” wollen, indem er ein Penetrationstool (wie Acunetix) eingesetzt hat. Der etwas betagte Server ging in die Knie und brach letztlich ganz zusammen. Der Betreiber erstattete Strafanzeige, letztlich wurde Anklage erhoben wegen einer begangenen Computersabotage entsprechend §303b StGB. Mit der Anklageschrift kam ich ins Spiel.
„DDOS-Angriff: Bericht aus einer Strafverhandlung“ weiterlesen

Cybercrime Bundeslagebild 2014

Ich hatte zuletzt etwas zur Statistik 2012 geschrieben, inzwischen gibt es einige bemerkenswerte Änderungen, auf die das BKA hinweist und die sich aus meiner Sicht ergeben:

  1. So ist als erstes zu sehen, dass seit dem Jahr 2014 Delikte des Cybercrime nur noch in der polizeilichen Statistik erfasst werden, wenn konkrete Anhaltspunkte für eine Tatbegehung in Deutschland vorliegen. Das bedeutet, dass Zahlen ab 2014 keine brauchbare Vergleichsbasis zu vorhergehenden Zahlen darstellen, man sollte daher die Zahlen getrennt betrachten.
  2. Für das Jahr 2013 war noch zu sehen, dass 64.426 Fälle von Cybercrime festgehalten wurden – dies stellte lediglich eine Steigerung von rund 1 Prozent gegenüber dem Vorjahr (63.959) dar.
  3. Im Jahr 2014 wurden dann fast 50.000 Straftaten im Bereich des Cybercrime im engeren Sinn festgestellt. Das BKA erfasst hierunter alle Straftaten, die sich gegen das Internet, Datennetze, informationstechnische Systeme oder deren Daten richten.
  4. Bei der Verteilung der Straftaten ist zu sehen, dass gut 22.300 Taten auf den Computerbetrug entfallen, was fast der Hälfte anteilig an den Straftaten entspricht. Weitere Straftaten mit Bedeutung waren die „Fälschung beweiserheblicher Daten” sowie die „Datenveränderung/Computersabotage“.
  5. Eine immer noch, insbesondere vom Mittelstand, unterschätze Gefahr sind gezielte Angriffe auf die Infrastruktur von Firmen (Stichwort Wirtschaftsspionage). Es ist seltsam, dass dieser Bereich zwar immer stärker von der Polizei betont wird, aber kaum von Unternehmen ernst genommen wird.

Download: Bundeslagebild Cybercrime 2014

Polizeiliche Kriminalstatistik 2012: Entwicklung der IT-Straftaten

Die Polizeiliche Kriminalstatistik 2012 wurde vorgestellt, dabei spielt erneut die “Cyberkriminalität” eine Rolle, wie der Pressemitteilung zu entnehmen ist:

Zunehmend beschäftigt die sog. Cyberkriminalität die Polizeien des Bundes und der Länder, also Straftaten, die unter Ausnutzung moderner Informations- und Kommunikationstechnik begangen werden, indem etwa Daten ausgespäht und abgefangen werden oder indem mit einer Schadsoftware Daten verändert oder Computer beschädigt werden. 2012 sind solche Delikte im Vergleich zum Vorjahr um 7,5 Prozent auf 63.959 Fälle angestiegen, bei einem vermutlich erheblichen Dunkelfeld.

Der Handreicher zur Statistik spricht insgesamt von 3,4% mehr an Straftaten in diesem Bereich. Von mir ein paar kurze Erläuterungen zu dieser Entwicklung,basierend auf der Gesamtstatistik. Im vorweggenommenen Fazit gibt es eine insgesamt überraschende Entwicklung, die bisher kaum Aufmerksamkeit erhalten hat: Bei den Persönlichkeitsrechtsverletzungen ist eine starke Steigerung zu verzeichnen, während im Bereich klassischer Delikte eher ein Rückgang zu sehen ist. Es scheint sich der Trend zu entwickeln, dass Delikte im individuellen Bereich, also zum Schutz der einzelnen Personen, “im Trend” liegen und Betroffene hier zunehmend zum Mittel der Strafanzeige greifen. Nachdem seit Jahren Smartphones unseren Alltag prägen während ein Bewusstsein zur Nutzung der damit verbundenen Möglichkeiten kaum vorhanden ist, eine ebenso überfällige wie vorhersehbare Entwicklung.
„Polizeiliche Kriminalstatistik 2012: Entwicklung der IT-Straftaten“ weiterlesen

Entwenden von Mobiltelefon alleine zum Löschen von Daten kein Raub

Handy weggenommen um Fotos zu löschen: Der Bundesgerichtshof hat sich inzwischen in mehreren Fällen zur Wegnahme eines Handys zwecks Zugriff auf die darin befindlichen Daten beschafften müssen.

In einem Fall (BGH, 3 StR 392/11) etwa hatte sich der BGH mit dem widerrechtlichen Entwenden eines Handys zu beschäftigen. Jemand hatte einem Dritten das Handy gegen dessen Willen abgenommen, alleine getragen von dem Willen, sich darauf befindliche Fotos kopieren zu können. Das Landgericht hatte hier ursprünglich einen Raub (§249 I StGB) erkannt, was vom BGH aufgehoben wurde.

„Entwenden von Mobiltelefon alleine zum Löschen von Daten kein Raub“ weiterlesen

Landgericht Düsseldorf bestätigt: Denial of Service ist strafbar

Sind “Denial-of-Service”-Attacken strafbar? Ich habe das in der Vergangenheit bereits bejaht (hier ausführlich nachzulesen), nunmehr gibt es ein aktuelles Urteil (Landgericht Düsseldorf, 3 KLs 1/11, hier bei OpenJur) – meines Wissens sogar das erste Urteil – dass die Strafbarkeit einer DDoS-Attacke untersucht und bejaht.

Im Sachverhalt ging es um die klassische Variante: Der Angeklagte hat mehrere Unternehmen angeschrieben und verlangt, dass eine bestimmte Summe gezahlt wird. Ansonsten würde er die Firmenwebseiten mittels DDoS-Attacken “lahm legen”. Immerhin in 3 Fällen wurde ihm Geld gezahlt (2x 2.000 Euro, 1×1.000 Euro – alles via UKash), in 3 weiteren Fällen wurde nicht gezahlt. Dabei wurden sämtliche Seiten mehrmals “lahm gelegt”, insbesondere zur Untermauerung der Geldforderung. Zur DDoS-Attacke nutzte der Angeklagte einen gemiteten russischen Server, über den er wiederum auf ein Bot-Netz zurückgriff. Zur Vertiefung empfehle ich den Wikipedia-Artikel und verzichte auf Ausführungen zum Aufbau eines BotNets sowie zu Botnet-Operatoren.

Das Landgericht Düsseldorf sah in allen 6 Fällen eine unproblematische Strafbarkeit wegen Computersabotage nach §303b I Nr.2 StGB, wobei von einer “gewerbsmäßigen Computersabotage” ausgegangen wird, da Firmeninteressen betroffen sind (§303b II StGB). Bemerkenswert ist, dass die Subsumtion des Gerichts hinsichtlich der Computersabotage mit jeweils einem Satz auskommt, was nochmals unterstreichen sollte, wie unproblematisch die Feststellung der Strafbarkeit einer DDoS-Attacke ist.

Hinweis: Neben der Computersabotage wurde selbstverständlich noch die Strafbarkeit wegen (versuchter) gewerbsmäßiger Erpressung festgestellt, was wenig überraschen sollte. Ich sehe hier keinen Ansatz für eine weitergehende Vertiefung.

Das Ergebnis: Die Entscheidung des LG Düsseldorf überrascht nicht und liegt auf einer Linie mit meiner früheren Analyse. DDoS-Attacken sind keine Bagatell-Delikte. Dabei sind gerade Teenager aufgerufen, die Konsequenzen einer scheinbar anonymen Attacke – etwa im Rahmen von gruppenbasierten Angriffen wie von Anonymous – nicht zu unterschätzen, auch hinsichtlich evt. auflaufender zivilrechtlicher Schadensersatzansprüche. Die Entscheidung aus Düsseldorf sollte wachrütteln und warnen. Evt. anders lautende Analysen im Internet sind kritisch zu sehen. Insbesondere wenn sich auf eine frühere Entscheidung des OLG Frankfurt a.M. berufen wird, ist hier nur kurz festzustellen, dass diese Entscheidung auf Grund der Änerungen des StGB sich schlicht überholt hat. Dazu kommt die Problematik, dass auch der Versuch bereits unter Strafe stehen wird (§303b III StGB).

Dazu ausführlich:

Update: Es gibt nun erste Zweifel, ob der §303b StGB verfassungsgemäß ist – zum einen, weil er zu unbestimmt sein soll. Diesen Gedanken finde ich zwar nachvollziehbar, teile ihn aber nicht, da letztlich m.E. die Grenzen der Bestimmtheit (noch) eingehalten werden. Dass Wertungsgesichtspunkte bei der Analyse der Datenverarbeitung eine Rolle spielen ist im StGB keineswegs selten und gerade im Daten-Strafrecht ein typisches Kriterium. Dies gerade, da man häufig mit einem bestimmungsgemäßen Gebrauch einer Datenverarbeitung, einfach durch Häufigkeit, Probleme hervorrufen kann. Es verbleibt bei vielen Szenarien alleine die Intention des Handelnden als Differenzierungskriterium. Daneben wird angemerkt, dass eine Ähnlichkeit zum §202c StGB besteht, der ja bereits das BVerfG beschäftigt hat. Auch das ist auf den ersten Blick nachvollziehbar, wird von mir aber abgelehnt: Zum einen ist mit dem BVerfG gerade festzustellen, dass die Wertung auf Grund der Intention des Handelnden keinen Bedenken begegnet. Zum anderen stellt der §303b StGB – anders als der §202c StGB bei weiter Auslegung – eben nicht auch grundsätzlich rechtmässiges Verhalten unter Strafe.

Zu guter Letzt möchte ich darauf verweisen, dass bis heute – also nach nunmehr 5 Jahren Existenz des §303b StGB – weder in der Literatur noch in der Rechtsprechung jemals Zweifel an der Verfassungsmässigkeit der Norm aufgekommen sind. Dabei ist in der Begründung zum §303b StGB nachzulesen, dass ausdrücklich DDoS-Attacken unter Strafe gestellt werden sollten – auch das begegnete niemals irgendeiner Form von Kritik. Stattdessen war von Anfang an klar, dass die Norm restriktiv anzuwenden ist (dazu nur Hilgendorf/Wolf in K&R 2006, S.541ff.)