Computersabotage: Ver­däch­ti­ger Te­le­kom-Ha­cker in Lon­don fest­ge­nom­men

Staatsanwaltschaft Köln und Bundeskriminalamt haben in einer gemeinsamen Pressemitteilung die Festnahme des “Telekom-Hackers” verkündet:

Die Festnahme erfolgte aufgrund eines von der Zentral- und Ansprechstelle Cybercrime NRW (ZAC NRW) der Staatsanwaltschaft Köln erwirkten europäischen Haftbefehls. Die Ermittlungen werden durch das Bundeskriminalamt (BKA) geführt, das in enger Kooperation mit den britischen Strafverfolgungsbehörden die Festnahme des Beschuldigten in England vorbereitet hat. Beamte des Bundeskriminalamtes sind vor Ort in die weiteren Ermittlungen eingebunden.

Dem Briten wird versuchte Computersabotage in einem besonders schweren Fall vorgeworfen. Er wird verdächtigt, Ende November 2016 eine Angriffskampagne gegen Internetzugangsrouter durchgeführt zu haben, wodurch mehr als 1.000.000 Kunden der Deutschen Telekom AG ihren Internetanschluss nicht mehr nutzen konnten. Die Folge waren unter anderem Ausfälle von Internet- und Telefoniediensten der betroffenen Anschlüsse.

Ziel des seinerzeitigen Angriffs – der massive Auswirkungen hatte – soll der Aufbau eines umfassenden Botnetzwerks gewesen sein. Der Fall hat aus mehrerlei Gründen Beachtung verdient.
„Computersabotage: Ver­däch­ti­ger Te­le­kom-Ha­cker in Lon­don fest­ge­nom­men“ weiterlesen

Vorratsdatenspeicherung: Die Gesetzessystematik der Datenabfrage

Die Vorratsdatenspeicherung wurde am 16. Oktober 2015 vom Bundestag beschlossen, wobei auf Grund des doch sehr plötzlichen “Hau-Ruck-Durchwinkens” in kurzer Zeit kein brauchbarer Zeitrahmen bestand, um in Ruhe im Vorhinein die geplante Vorratsdatenspeicherung inhaltlich aufzubereiten. Entsprechend hektisch ist die Berichterstattung nun im Nachhinein. Ich möchte das Thema langsam aufarbeiten und beginne mit der Darstellung der Systematik der Datenabfrage.
„Vorratsdatenspeicherung: Die Gesetzessystematik der Datenabfrage“ weiterlesen

Computerbetrug: Zu den Konkurrenzen beim Abheben mit fremder Geldkarte

Wenn jemand eine fremde Geldkarte betrügerisch nutzt um Geld abzuheben (etwa indem er PIN und Geldkarte dem rechtmäßiger Inhaber ohne dessen Wissen entwendet hat), liegt mit ständiger Rechtsprechung des BGH ein Computerbetrug vor. Regelmäßig schwer tun sich die Gerichte weniger bei der Feststellung dieses Tatbestandes, als vielmehr bei der richtigen Feststellung, wie viele Taten vorliegen. Es ist hier nämlich üblich, dass eben nicht nur einmal abgehoben wird, sondern dass mehrmals Geld abgehoben wird – wobei Gerichte dann gerne jedes einzelne Abheben als eigene Tat werten, somit entsprechend hohe Gesamtstrafen bilden. Dies ist aber falsch.
„Computerbetrug: Zu den Konkurrenzen beim Abheben mit fremder Geldkarte“ weiterlesen

Gesetzentwurf zur Strafbarkeit der Datenhehlerei – der missverstandene Entwurf

Das Bundesjustizministerium hat mitgeteilt, dass man im Zuge der Wiedereinführung einer Vorratsdatenspeicherung auch den Straftatbestand der “Datenhehlerei” einführen möchte. In diesem Zusammenhang gab es bereits erste sehr kritische Beiträge, wobei allerdings schon vielfach von dem wohl falschen Gesetzesentwurf ausgegangen wurde. Dabei hatte sich der Gesetzgeber zumindest mit seinem ersten Entwurf ohnehin ein ganz anderes Ziel gesetzt als die Einführung der Strafbarkeit der Datenhehlerei.
„Gesetzentwurf zur Strafbarkeit der Datenhehlerei – der missverstandene Entwurf“ weiterlesen

AG Aachen zur Strafbarkeit von “Finanzagenten”

Das Amtsgericht Aachen (556 Ds-703 Js 236/11-102/11) hatte sich mit zwei Finanzagenten zu beschäftigen: Um Finanzagenten handelt es sich, wenn jemand sein Konto “zur Verfügung” stellt, um hier Geld aus erfolgreichen Phishing-Attacken eingehen zu lassen. Das Geld wird sodann abgehoben und den – meist unbekannten – Hintermännern an verabredeten Orten persönlich übergeben.
„AG Aachen zur Strafbarkeit von “Finanzagenten”“ weiterlesen

Landgericht Düsseldorf bestätigt: Denial of Service ist strafbar

Sind “Denial-of-Service”-Attacken strafbar? Ich habe das in der Vergangenheit bereits bejaht (hier ausführlich nachzulesen), nunmehr gibt es ein aktuelles Urteil (Landgericht Düsseldorf, 3 KLs 1/11, hier bei OpenJur) – meines Wissens sogar das erste Urteil – dass die Strafbarkeit einer DDoS-Attacke untersucht und bejaht.

Im Sachverhalt ging es um die klassische Variante: Der Angeklagte hat mehrere Unternehmen angeschrieben und verlangt, dass eine bestimmte Summe gezahlt wird. Ansonsten würde er die Firmenwebseiten mittels DDoS-Attacken “lahm legen”. Immerhin in 3 Fällen wurde ihm Geld gezahlt (2x 2.000 Euro, 1×1.000 Euro – alles via UKash), in 3 weiteren Fällen wurde nicht gezahlt. Dabei wurden sämtliche Seiten mehrmals “lahm gelegt”, insbesondere zur Untermauerung der Geldforderung. Zur DDoS-Attacke nutzte der Angeklagte einen gemiteten russischen Server, über den er wiederum auf ein Bot-Netz zurückgriff. Zur Vertiefung empfehle ich den Wikipedia-Artikel und verzichte auf Ausführungen zum Aufbau eines BotNets sowie zu Botnet-Operatoren.

Das Landgericht Düsseldorf sah in allen 6 Fällen eine unproblematische Strafbarkeit wegen Computersabotage nach §303b I Nr.2 StGB, wobei von einer “gewerbsmäßigen Computersabotage” ausgegangen wird, da Firmeninteressen betroffen sind (§303b II StGB). Bemerkenswert ist, dass die Subsumtion des Gerichts hinsichtlich der Computersabotage mit jeweils einem Satz auskommt, was nochmals unterstreichen sollte, wie unproblematisch die Feststellung der Strafbarkeit einer DDoS-Attacke ist.

Hinweis: Neben der Computersabotage wurde selbstverständlich noch die Strafbarkeit wegen (versuchter) gewerbsmäßiger Erpressung festgestellt, was wenig überraschen sollte. Ich sehe hier keinen Ansatz für eine weitergehende Vertiefung.

Das Ergebnis: Die Entscheidung des LG Düsseldorf überrascht nicht und liegt auf einer Linie mit meiner früheren Analyse. DDoS-Attacken sind keine Bagatell-Delikte. Dabei sind gerade Teenager aufgerufen, die Konsequenzen einer scheinbar anonymen Attacke – etwa im Rahmen von gruppenbasierten Angriffen wie von Anonymous – nicht zu unterschätzen, auch hinsichtlich evt. auflaufender zivilrechtlicher Schadensersatzansprüche. Die Entscheidung aus Düsseldorf sollte wachrütteln und warnen. Evt. anders lautende Analysen im Internet sind kritisch zu sehen. Insbesondere wenn sich auf eine frühere Entscheidung des OLG Frankfurt a.M. berufen wird, ist hier nur kurz festzustellen, dass diese Entscheidung auf Grund der Änerungen des StGB sich schlicht überholt hat. Dazu kommt die Problematik, dass auch der Versuch bereits unter Strafe stehen wird (§303b III StGB).

Dazu ausführlich:

Update: Es gibt nun erste Zweifel, ob der §303b StGB verfassungsgemäß ist – zum einen, weil er zu unbestimmt sein soll. Diesen Gedanken finde ich zwar nachvollziehbar, teile ihn aber nicht, da letztlich m.E. die Grenzen der Bestimmtheit (noch) eingehalten werden. Dass Wertungsgesichtspunkte bei der Analyse der Datenverarbeitung eine Rolle spielen ist im StGB keineswegs selten und gerade im Daten-Strafrecht ein typisches Kriterium. Dies gerade, da man häufig mit einem bestimmungsgemäßen Gebrauch einer Datenverarbeitung, einfach durch Häufigkeit, Probleme hervorrufen kann. Es verbleibt bei vielen Szenarien alleine die Intention des Handelnden als Differenzierungskriterium. Daneben wird angemerkt, dass eine Ähnlichkeit zum §202c StGB besteht, der ja bereits das BVerfG beschäftigt hat. Auch das ist auf den ersten Blick nachvollziehbar, wird von mir aber abgelehnt: Zum einen ist mit dem BVerfG gerade festzustellen, dass die Wertung auf Grund der Intention des Handelnden keinen Bedenken begegnet. Zum anderen stellt der §303b StGB – anders als der §202c StGB bei weiter Auslegung – eben nicht auch grundsätzlich rechtmässiges Verhalten unter Strafe.

Zu guter Letzt möchte ich darauf verweisen, dass bis heute – also nach nunmehr 5 Jahren Existenz des §303b StGB – weder in der Literatur noch in der Rechtsprechung jemals Zweifel an der Verfassungsmässigkeit der Norm aufgekommen sind. Dabei ist in der Begründung zum §303b StGB nachzulesen, dass ausdrücklich DDoS-Attacken unter Strafe gestellt werden sollten – auch das begegnete niemals irgendeiner Form von Kritik. Stattdessen war von Anfang an klar, dass die Norm restriktiv anzuwenden ist (dazu nur Hilgendorf/Wolf in K&R 2006, S.541ff.)

Nachmachen einer Zahlungskarte mit Garantiefunktion: BGH zum Versuchsbeginn beim Skimming

Gerade beim Skimming (genauer: dem Tatbestand des Nachmachens einer Zahlungskarte mit Garantiefunktion) stellt sich die Frage, wann eigentlich ein Versuchsbeginn vorliegt. Dieser setzt das unmittelbare Ansetzen voraus und wirft auf Grund der vielschichtigen Vorgehensweise die Frage auf, ob man bereits beim Ansetzen zum Erlangen der Daten, dem eigentlichen Erlangen oder noch vorher bei Herstellen der Kartenrohlinge ansetzt. Die BGH-Rechtsprechung ist hier noch nicht abgeschlossen.

Hinweis: Hinsichtlich des Konkurrenzverhältnisses bei der Verabredung zum Verbrechen bitte die aktuelle Entscheidung des BGH mit dem Aktenzeichen 3 StR 419/10 beachten.

Vorher zum Thema:

„Nachmachen einer Zahlungskarte mit Garantiefunktion: BGH zum Versuchsbeginn beim Skimming“ weiterlesen

Distributed Denial of Service (DDoS) Attacken: DDoS Strafbar?

Aktuell sind wegen der Wikileaks-Debatte und so genannter “Rache”-Aktionen u.a. der Gruppe “Anonymous” so genannte DDoS-Angriffe wieder in aller Munde. Spätestens nachdem in den Niederlanden der zweite jugendliche “Hacker” von der Polizei festgenommen wurde, der sich an einem solchen DDoS-Angriff beteiligt haben soll, stellt sich auch zunehmend die Frage nach der Strafbarkeit. Bei Telemedicus etwa wurde es schon (sehr kurz) thematisiert, auch Stadler hat bereits etwas längeres dazu verfasst. Speziell wegen des Mythos des “Online-Demonstrationsrechts” in diesem Zusammenhang möchte ich das weiter konkretisieren.

„Distributed Denial of Service (DDoS) Attacken: DDoS Strafbar?“ weiterlesen

Zur Strafbarkeit des “Cyber-Groomings”

Es findet sich bei Heise-Online ein Artikel, in dem mehrere bekannte Strafrechtler auf das “Cyber-Grooming” und dessen Strafbarkeit (§176 IV Nr.3 StGB) eingehen. Zu Recht finden sich dabei erhebliche Kritikpunkte in den Äußerungen – wobei allerdings nicht thematisiert wird, ob es wirklich strafbar ist.

„Zur Strafbarkeit des “Cyber-Groomings”“ weiterlesen

Aktuelles zum Skimming

Das Skimming bei EC-Karten erfreut sich weiter hoher Beliebtheit – ein guter Grund, auf die aktuellen Entwicklungen zum Thema zu blicken. Noch im März 2010 hatte sich der 4. BGH-Strafsenat zu Wort gemeldet und verkündet, dass beim Auslesen von Daten, die in einem Magnetstreifen gespeichert sind, nicht automatisch der §202a StGB gegeben sein muss – ich hatte hier berichtet und kommentiert.

Nun gab es dazu eine anders lautende Rechtsprechung des 3. Strafsenats beim BGH (3 StR 425/04) sowie Probleme mit Ansichten des 1. und 5. Strafsenats. Der 4. Strafsenat hat daher bei den anderen Senaten angefragt, ob diese ihre Auffassungen aufrecht erhalten – und von den Senaten die Antwort erhalten, das man der Rechtsprechung des 4. Strafsenats beitreten möchte. Das Ergebnis ist nunmehr ein aktueller Beschluss des 4. Senats beim BGH (4 StR 555/09), in dem die bisherige Auffassung “zementiert” wird: Alleine das auslesen der (evt. Verschlüsselten) Daten aus einem Magnetstreifen einer EC-Karte fällt nicht unter den Tatbestand des §202a StGB. Die Argumentation:

Dass Daten magnetisch und damit nicht unmittelbar wahrnehmbar gespeichert sind, stellt keine besondere Sicherung gegen unberechtigten Zu- gang dar. Vielmehr handelt es sich gemäß § 202 a Abs. 2 StGB nur bei Daten, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespei- chert oder übermittelt werden, um Daten im Sinne des ersten Absatzes dieser Vorschrift. Demgemäß schützt § 202 a Abs. 1 StGB nur diejenigen nicht unmit- telbar wahrnehmbar gespeicherten Daten im Sinne des § 202 a Abs. 2 StGB, die darüber hinaus besonders gesichert sind. Das sind nur solche Daten, bei denen der Verfügungsberechtigte durch seine Sicherung sein Interesse an der Geheimhaltung der Daten dokumentiert hat (vgl. BTDrucks. 10/5058, S. 29 zu § 202 a StGB a.F.; BTDrucks. 16/3656, S. 10). Erforderlich ist, dass der Verfü- gungsberechtigte – hier das Unternehmen, das die Zahlungskarte mit Garantie- funktion ausgegeben hat (vgl. BGH, Urt. vom 10. Mai 2005 – 3 StR 425/04, NStZ 2005, 566) – Vorkehrungen getroffen hat, um den Zugriff auf die auf dem Magnetstreifen der Zahlungskarte gespeicherten Daten auszuschließen oder wenigstens nicht unerheblich zu erschweren.

Bezüglich dieser Argumentation kann ich auf meine bisherigen Ausführungen verweisen, hier hat sich inhaltlich nichts getan.

Ergänzend dazu ist eine weitere aktuelle Entscheidung des BGH (5 StR 336/10) zu beachten, die sich mit dem Versuchsbeginn beim gewerbs- und bandenmäßigen Fälschung von Zahlungskarten mit Garantiefunktion (§152a StGB) auseinandersetzt. So ist die Frage gewesen – und vom Landgericht bejaht worden – ob bereits mit dem Versuch des Skimmings auch der Versuch der Fälschung der Karten beginnt. Relevant wird dies, wenn das Skimming-Gerät so früh gefunden wird, dass noch keine Daten kopiert werden konnten. Der BGH stellte zu Recht fest, dass alleine durch den Versuch des Skimmings noch kein Versuchsbeginn der Fälschung angenommen werden kann: Es ist auf die tatbestandliche Handlung abzustellen, zu welcher der potentielle Täter unmittelbar ansetzen muss. Und wer gerade einmal versucht, Daten überhaupt zu erhalten, der setzt noch lange nicht dazu an, Karten zu fälschen. Hier fehlt ein wesentlicher Zwischenschritt.

Lese-Hinweise: