IT-Strafrecht: BGH stärkt Bedeutung von Sachverständigen

Dann doch mit einiger Überraschung muss ich beim Bundesgerichtshof (1 StR 412/16) nachlesen, wie blind man in IT-Strafsachen den Ausführungen von Sachverständigen folgen darf:

Die Wirkungsweise der vom Computernutzer unbewusst installierten Schadsoftware hat das Landgericht auf der Grundlage der nachvollziehbar dargelegten Erläuterungen der Sachverständigen hinreichend genau festgestellt.

Das mag auf den ersten Blick wenig spektakulär erscheinen, allerdings muss man dazu wissen, dass der Bundesgerichtshof für Sachverständigengutachten, die bei bedeutenden Fragen hinzugezogen werden – insbesondere wenn es um DNA-Bewertungen aber auch forensisch-psychiatrische Fragen geht – von den Kammern erwartet, dass man sich im Urteil mit den Gutachten auseinandersetzt. Insbesondere gibt es bestimmte Kriterien, an Hand derer das Gutachten im Urteil darzustellen ist. Dass man hier nun mit einem Satz dem Sachverständigen schlicht folgt und der BGH dazu sonst nichts anzumerken hat – insbesondere keine Kriterien für die Instanzrechtsprechung – ist bei einer schuldrelevanten Frage dann doch überraschend. Safferling in NStZ 7/2018 spricht auf Seite 405 vollkommen zu Recht von einem “vorschnellen Folgen” der Ausführungen des Sachverständigen. Deutlich wird dies, wenn man sich vor Augen hält, dass nicht einmal ein Satz zur Methodik des Sachverständigen dargestellt werden muss – gerade bei der Frage der “Wirkungsweise einer Schadsoftware”.

Es sind nur wenige Zeilen, die erst im Umkehrschluss deutlich machen, dass Strafgerichte jedenfalls derzeit recht freie Hand bei dem Umgang mit IT-Sachverständigen haben. Es dürfte nicht allzu lange dauern, bis erste Kriterien entwickelt werden, an Hand derer ein Gericht sich in seinem Urteil mit einem IT-Sachverständigengutachten auseinander zu setzen hat. Insgesamt zeigt diese Entscheidung (die ich gesondert noch weiter besprechen werde), allerdings dass man sich auf dünnem Boden in Deutschland bewegt, wenn etwa pauschale Abzüge bei der Schätzung der Anzahl von Geschädigten in IT-Strafsachen mit Schadsoftware ermöglicht werden. 

Cybercrime in NRW: Ermittler rüsten auf

Manchmal ist es die Wortwahl, die zeigt, woher der Wind weht: Wenn etwa in einer Pressemitteilung des Justizministeriums NRW von einer “Gefechtslage Cybercrime” gesprochen wird, dann wird deutlich, dass die Politik sich im Kampf, wenn nicht gar im Krieg, sieht wenn es um das IT-Strafrecht geht. Und tatsächlich wird zumindest auf Seiten der Ermittler aufgerüstet, wie der Pressemitteilung zu entnehmen ist:

Die ZAC NRW ist zum Mai 2018 erheblich personell verstärkt und vollständig neu organisiert worden. Bald werden 21 spezialisierte Staatsanwältinnen und Staatsanwälte in sechs thematisch differenzierten Dezernaten Cybercrime Verfahren bearbeiten. Unterstützt werden die Juristen durch ein Team aus Wirtschaftswissenschaftlern, Rechtspflegern und Justizbeschäftigten. 2017 wurden rund 270 neue Verfahrenskomplexe eingeleitet. Seit Januar 2018 sind es bis heute 563 neue Verfahrenskomplexe.

Diese Zahlen machen deutlich, dass die Angebote von Waffen, Rauschgift, Sprengstoff, Falschgeld und Kinderpornografie, aber auch kriminelle Dienstleistungen („Cybercrime-as-a-Service“) im Darknet weiter wachsen. Dem will Nordrhein-Westfalen entsprechend begegnen.

Tatsächlich entwickelt sich seit längerem die Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW) immer weiter, Ermittlungsverfahren können zielgerichtet und effektiv von Fachleuten im Bereich Cybercrime geführt werden – während die Strafgerichte weder spezialisiert sind noch spezialisierte Kammern bereit halten.

Cybercrime Bundeslagebild 2016

Sowohl das Bundeskriminalamt als auch das LKA NRW haben zwischenzeitlich wieder Veröffentlichungen zum Lagebild Cybercrime veröffentlicht – die Presse hat die Meldungen wie gewohnt unreflektiert aufgenommen, dabei ist in den Publikationen durchaus offen angesprochen, warum die Zahlen mit Hintergrundwissen aufgenommen werden müssen.

Überblick des BKA Lagebild Cybercrime 2016

Auf den ersten Blick besteht ein massiver Anstieg der Fälle von Cybercrime im engeren Sinn – allerdings muss man die Hintergründe kennen: So wird der Computerbetrug in der polizeilichen Kriminalstatistik (PKS) nun klarer ausgewiesen, der überdies den Grossteil der erfassten Taten ausmacht. Durch diese differenzierte Erfassung des vom Anteil der beträchtlichsten Delikts steigen automatisch die Fallzahlen massiv an, ein. Vergleich aber ist nur mittelbar möglich (so auch auf Seite 5 des Berichts). Dabei ist auch daran zu denken, dass Massenhacks, ausgehend von einer Tat und einem Täter, die aber zu einer Vielzahl von Betroffenen führen (wie etwa standardisierte Router-Hacks) letztlich nur zu einer Fallzahl führen!

„Cybercrime Bundeslagebild 2016“ weiterlesen

Urheberstrafrecht: Zurechnung von Vervielfältigungshandlungen der Uploader zu Lasten einer Plattform

Der Bundesgerichtshof (5 StR 164/16) konnte sich im Bereich des Urheberstrafrechts zur Zurechnung von Vervielfältigungshandlungen bei der Annahme von Mittäterschaft äussern – hier im Rahmen einer Plattform (kino.to), die Links zu anderseitig hochgeladenen Videos verteilte. Der BGH verweist wie üblich in diesem Zusammenhang auf die hergebrachte Rechtsprechung zur Annahme von Mittäterschaft und macht dann deutlich, dass auch zwar nur randbedingte Handlungen die aber einen echten Mehrwert haben, bei der vorzunehmenden Wertung eine erhebliche Rolle spielen können:
„Urheberstrafrecht: Zurechnung von Vervielfältigungshandlungen der Uploader zu Lasten einer Plattform“ weiterlesen

Strafbarkeit von Datenveränderung im Arbeitsverhältnis

Die Veränderung von Daten durch einen Arbeitnehmer kann schnell arbeitsrechtliche Fragen aufwerfen, insbesondere wenn es hierbei um Straftatbestände geht. Das Landesarbeitsgericht Köln (11 Sa 405/15) hatte beispielsweise einen Sachverhalt zu bewerten, der Verschränkungen zum IT-Strafrecht bietet: Frau A und Herr B arbeiten beim gleichen Arbeitgeber und sind liiert, wobei gegen Frau A der Verdacht des Arbeitszeitbetruges besteht. Sie wird freigestellt und händigt die überlassene Hardware aus. Nun plötzlich werden private Einträge in ihrem Kalender von aussen gelöscht, es kommt heraus, dass dies über den Account des Herrn B passierte. Liegt eine strafbare Datenveränderung vor?
„Strafbarkeit von Datenveränderung im Arbeitsverhältnis“ weiterlesen

Hausdurchsuchung: Durchsuchung wegen Vorwürfen im IT-Strafrecht

Der Schock ist in IT-Strafsachen gross, wenn plötzlich die Polizei mit einem Durchsuchungsbeschluss vor der Türe steht. Und er wird noch grösser, weil die teilweise nicht speziell geschulten Beamten erst einmal alles – und zwar wirklich alles – mitnehmen, was irgendwie nach etwas aussieht, was man auswerten kann. Da werden dann nicht nur die Rechner, sondern auch Monitore, Tastaturen und auch sinnbefreite Kabel erst einmal mitgenommen. Dieser Druckmoment, in dem man zusieht wie die gesamte Hardware aus dem Haus geschleppt wird, veranlasst viele dazu, drauf los zu plappern in der Hoffnung, sich irgendetwas zu ersparen. Allein: Es bringt nichts.

„Hausdurchsuchung: Durchsuchung wegen Vorwürfen im IT-Strafrecht“ weiterlesen

Diebstahl einer EC-Karte

Nicht wirklich IT-Strafrecht aber durchaus interessant ist eine Entscheidung des Oberlandesgerichts Hamm (III-3 RVs 103/10), das sich im Jahr 2011 mit dem Diebstahl einer EC-Karte befasst hatte. Die Karte befand sich im Abfalleimer einer Bank und wurde von jemandem, der dort reinigte, an sich genommen. Da die PIN sich bei der EC-Karte befunden hatte konnte dann Geld abgehoben werden. Durchaus diskussionswürdig war die Frage, ob ein Diebstahl der EC-Karte vorlag.
„Diebstahl einer EC-Karte“ weiterlesen

Zur strafrechtlichen Haftung des Host-Providers

In einer sehr relevanten Entscheidung hat sich das Landgericht Berlin (506 KLs 13/13, bestätigt durch das Kammergericht) zur strafrechtlichen Haftung des Host-Providers, also des Anbieters eines Webservers, beschäfitgt. Es ging dabei um Propagandadelikte wie Volksverhetzung, die von Dritten begangen wurden. Dem Provider wurde vorgeworfen, er hätte seinen Server wissentlich darum zur Verfügung gestellt, welche Inhalte dort hinterlegt werden würden.

Das Landgericht Berlin hat eine Strafbarkeit verneint, da bedingt durch das Haftungsprivileg des §10 TMG, der auch in der Strafrecht hineinstrahle, ein stärkerer Vorsatz zu verlangen ist, der bei Providern nicht ohne weiteres anzunehmen ist. Damit untermauert das Landgericht Berlin, dass eine strafrechtliche Haftung für die Speicherung von Inhalten für einen Provider nur dort in Betracht kommt, wo auch positive Kenntnis der Inhalte nachgewiesen werden kann.

„Zur strafrechtlichen Haftung des Host-Providers“ weiterlesen

BKA-Gesetz: Bundestrojaner im Einsatz (?)

Das BKA-Gesetz sieht im §20k den “Verdeckten Eingriff in informationstechnische Systeme” vor. Dahinter verbirgt sich die Ermächtigung zu dem, was gemeinhin “Bundestrojaner” genannt wird. Es geht darum, dass das Bundeskriminalamt in der Lage ist, in “informationstechnische Systeme” mit einer Software einzudringen und hierüber Daten zu erheben. Dabei bieten sich vielzählige Anwendungsmöglichkeiten, speziell bei einer Überwachung des Umfelds des informationstechnischen Systems. Im Februar 2016 nun wurde angeblich der Einsatz der entsprechenden Software die als Bundestrojaner zum Einsatz kommen soll “genehmigt”, so dass man gespannt sein darf, wann erstmals Erkenntnisse aus dem Einsatz dieser Software eine Rolle spielen.

Aktuell läuft noch ein Verfahren beim Bundesverfassungsgericht; insgesamt ist es it herbem Beigeschmack verbunden, dass nicht nur der Eingriff heimlich ist, sondern die eingesetzte Software insgesamt “heimlich” ist, also beispielsweise ein Missbrauchspotential nicht beurteilt werden kann, weil man eben nicht weiss, wie die Software arbeitet. Es bleibt abzuwarten, wie es sich weiter entwickelt.

Linkliste dazu:

Zum Mißbrauch von Titeln im Internet, §132a StGB

§ 132a StGB stellt den “Mißbrauch von Titeln, Berufsbezeichnungen und Abzeichen” unter Strafe. So liest man dort u.a.:

Wer unbefugt (…) inländische oder ausländische Amts- oder Dienstbezeichnungen, akademische Grade, Titel oder öffentliche Würden führt (…)wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

Dies trifft auf immer häufiger aus Spaß gekaufte “Titel”, die – mehr oder minder offenkundig – nicht ernst gemeint dass verwendet werden. Beim AG Lübeck (65 Cs 24/13) ging es um die Bezeichnung als “Dr.H.C.”, die auf der Profilseite des sozialen Netzwerks XING verwendet wurde und die Frage, ob dieser via GroupOn gekaufte und eingesetzte Titel eine Strafbarkeit begründet.
„Zum Mißbrauch von Titeln im Internet, §132a StGB“ weiterlesen