Nachfolgend ein Beitrag vom 20.5.2016 von Seidl, jurisPR-ITR 10/2016 Anm. 3

Orientierungssatz zur Anmerkung

Die Urteilsgründe einer Verurteilung nach § 202a StGB erfordern eine hinreichend genaue Darstellung der Wirkweise der vom Angeklagten bereitgestellten Malware, die auch die Benennung der im konkreten Einzelfall umgangenen Zugangssicherung erfassen muss. Ein pauschaler Verweis auf das Bestehen der Zugangssicherungen ohne nähere Darlegung reicht nicht aus, denn eine revisionsgerichtliche Überprüfung ist nur auf der Grundlage einer ausreichend deskriptiven Darlegung der konkreten tatsächlichen und technischen Umstände möglich.

A. Problemstellung

Die digitale Währung Bitcoin sorgt seit Jahren für Schlagzeilen. Mal verboten (vgl. http://www.btc-echo.de/in-welchen-laendern-ist-bitcoin-illegal_2015052802/, abgerufen am 11.05.2016), mal für tot erklärt (vgl. http://www.wallstreet-online.de/nachricht/8265726-chef-entwickler-aus-bitcoin-gescheitert-blockchain-kollaps-china-digitalwaehrung, abgerufen am 11.05.2016), in Krisen und bei Spekulanten beliebt, sind Bitcoins seit jeher spektakulären Kursschwankungen unterworfen. Dennoch wird diese Kryptowährung immer beliebter. So stieg die Gesamtzahl aller Bitcoin-Transaktionen weltweit von April 2014 bis April 2016 von 37,74 auf 125,9 Millionen (Statista, Gesamtzahl aller Bitcoin-Transaktionen weltweit von April 2014 bis April 2016, abrufbar unter: http://de.statista.com/statistik/daten/studie/315084/umfrage/gesamtzahl-aller-bitcoin-transaktionen-weltweit/, abgerufen am 11.05.2016).
Kein Wunder, dass sich auch Kriminelle vermehrt für diese Währung interessieren (vgl. http://www.spiegel.de/netzwelt/web/bitcoin-betrueger-locken-mit-angeblicher-studie-a-1072516.html; http://www.handelsblatt.com/finanzen/maerkte/devisen-rohstoffe/internet-kriminalitaet-milliarden-geldwaescheskandal-aufgedeckt/8269242.html; http://www.btc-echo.de/europol-report-bitcoin-ist-eine-waehrung-fuer-kriminelle_2015100201/, abgerufen am 11.05.2016).

B. Inhalt und Gegenstand der Entscheidung

Der Angeklagte beabsichtigte, ein sog. Botnetz(werk) aufzubauen und dieses dann missbräuchlich zum Generieren von Bitcoins zu nutzen. Als Botnetz wird der missbräuchliche Zusammenschluss einer Vielzahl dezentral verorteter informationstechnischer Systeme bezeichnet, die ferngesteuert und für kriminelle Zwecke eingesetzt werden können. Zu diesen Systemen zählen nicht nur, aber insbesondere Computersysteme und mobile Anwendungen. Damit ein informationstechnisches System Teil eines Botnetzes wird, muss es zuvor mit Schadsoftware, z.B. einem Trojaner, infiziert werden. Die gekaperten und dadurch fernsteuerbaren Systeme werden als „Zombie”-Rechner bezeichnet; die heimliche Fernsteuerung erfolgt über einen Command-and-Control-Server, den sog. Bot-Master. Botnetze bestehen häufig aus Zusammenschlüssen von mehreren Millionen infizierten Rechnern. Für die Inhaber der betroffenen „Zombie“-Rechner ergeben sich häufig kaum Anzeichen, dass ihr Rechner für ein Botnetz missbraucht wird. Schätzungen gehen davon aus, dass bis zu einem Viertel aller Computer weltweit Teil von Botnetzen sind (Roos/Schumacher, MMR 2014, 377, 378).
Um Rechner für das geplante Botnetz zu infiltrieren, entwickelte der Angeklagte eine spezielle Schadsoftware, die unerkannt über das Usenet – ein selbstständig neben dem World Wide Web auf dem Internet beruhendes Netzwerk, das derzeit häufig zum Download illegaler Kopien von Filmen und Musikdateien genutzt wird – verbreitet werden sollte. Zur Verbreitung der Schadsoftware stellte der Angeklagte diverse Dateien im Usenet zum Download zur Verfügung, an welche die programmierte Malware für den Anwender nicht wahrnehmbar angehängt war und die sich nach dem Download automatisch auf dem betroffenen Computer installierte. Die Malware, ein Trojaner, war für die zu dieser Zeit gängigen Windows-Betriebssysteme programmiert, die standardmäßig eine Firewall aktiviert haben, um derartige Angriffe abzuwehren. Das Landgericht führte hierzu aus, dass diese Firewall „durch den Trojaner umgangen“ und das jeweilige Betriebssystem des Computers verändert wurde. An späterer Stelle in den Urteilsgründen findet sich die Feststellung, dass in vielen Fällen der Trojaner „durch Virenprogramme der Nutzer nicht erkannt wurde“. Detaillierte Feststellungen zu den auf den betroffenen Computern installierten Schutzprogrammen hat das Landgericht nicht, auch nicht exemplarisch, getroffen. Die Schadsoftware führte dazu, dass jede Eingabe an dem infizierten Rechner, darunter Zugangsdaten zu diversen Accounts nebst Passwörtern, an eine von dem Angeklagten eingerichtete Datenbank übertragen wurde. Zudem hatte sie die Eigenschaft, bei einer Inaktivität von mehr als 120 Sekunden die Rechenleistung des Computers für die Lösung komplexer Rechenaufgaben zu nutzen, wofür dem Angeklagten Bitcoins gutgeschrieben wurden.
Hierfür hatte das Landgericht den Angeklagten wegen Ausspähens von Daten (§ 202a StGB) in Tateinheit mit Datenveränderung (§ 303a StGB) verurteilt. Auf die Revision des Angeklagten hob der BGH den Schuldspruch samt Feststellungen auf.
Der BGH führt aus, dass der Schuldspruch von den getroffenen Feststellungen nicht getragen wird. Die Feststellungen seien teilweise lückenhaft und würden zudem einen inneren, auch durch den Gesamtzusammenhang der Urteilsgründe nicht auflösbaren Widerspruch aufweisen. Sie belegten nicht hinreichend, dass der Angeklagte jeweils eine Zugangssicherung überwunden hat, die für die Erfüllung des Straftatbestands des § 202a Abs. 1 StGB erforderlich ist.
Der Schutzbereich des § 202a Abs. 1 StGB erstrecke sich nur auf Daten, die gegen unberechtigten Zugang besonders gesichert sind. Dies seien nur solche, bei denen der Verfügungsberechtigte durch seine Sicherung sein Interesse an der Geheimhaltung der Daten dokumentiert habe (vgl. BGH, Beschl. v. 06.07.2010 – 4 StR 555/09 – NStZ 2011, 154). Hierfür müsse die Zugangssicherung darauf angelegt sein, den Zugriff Dritter auf die Daten auszuschließen oder wenigstens nicht unerheblich zu erschweren (vgl. BGH, Beschl. v. 06.07.2010 – 4 StR 555/09 – NStZ 2011, 154). Wie der BGH weiter ausführt, fallen hierunter insbesondere Schutzprogramme, die geeignet sind, unberechtigten Zugriff auf die auf einem Computer abgelegten Daten zu verhindern, und die nicht ohne fachspezifische Kenntnisse überwunden werden können und den Täter zu einer Zugangsart zwingen, die der Verfügungsberechtigte erkennbar verhindern wollte (vgl. BT-Drs. 16/3656, S. 10). Darüber hinaus müsse der Zugangsschutz auch gerade im Zeitpunkt der Tathandlung bestehen (vgl. Graf in: MünchKomm StGB, 2. Aufl. 2012, § 202a Rn. 32).
Nach dem BGH fehlt in den Urteilsgründen des Landgerichts eine hinreichend genaue Darstellung der Wirkweise der vom Angeklagten bereitgestellten Malware, die auch die Benennung der im konkreten Einzelfall umgangenen Zugangssicherung erfassen müsse. Der pauschale Verweis auf deren Bestehen reiche ohne nähere Darlegung nicht aus, denn eine revisionsgerichtliche Kontrolle der genannten Voraussetzungen sei nur auf der Grundlage einer ausreichend deskriptiven Darlegung der konkreten tatsächlichen und technischen Umstände möglich. Die insoweit bestehende Lücke lasse sich durch die Feststellungen auch in ihrer Gesamtheit nicht schließen.
Hinzu komme, dass das Landgericht zwischen den Begrifflichkeiten der „Firewall“ und des „Virenschutzprogramms“ nicht erkennbar differenziert, wodurch unklar bleibe, ob es die technischen Voraussetzungen der Zugangssicherung in tatsächlicher Hinsicht zutreffend bewertet. Während es zunächst nämlich darauf abstellte, der Trojaner wäre so konzipiert gewesen, die vorinstallierte Firewall bestimmter Betriebssysteme zu umgehen, finde sich im Widerspruch dazu an späterer Stelle der Urteilsgründe die Feststellung und Wertung, die vom Angeklagten bereitgestellte Schadsoftware wäre durch die Virenprogramme der Nutzer nicht erkannt worden. Der BGH schließt daraus, dass unter Zugrundelegung der zu der Schadsoftware zuletzt getroffenen Feststellungen eine Firewall als tatbestandsmäßige Schutzvorrichtung bereits dem Grunde nach nicht in Betracht käme.

C. Kontext der Entscheidung

Bereits im Jahr 2010 hatte der 4. Strafsenat des BGH (BGH, Beschl. v. 14.01.2010 – 4 StR 93/09 m. Anm. Seidl/Fuchs, jurisPR-ITR 9/2010 Anm. 6) im Rahmen des Auslesens von auf einem Magnetstreifen einer Zahlungskarte gespeicherten Daten (sog. Skimming) zum Ausspähen von Daten unter Überwindung einer Zugangssicherung entschieden.
Der BGH entschied, dass § 202a Abs. 1 StGB insbesondere voraussetzt, dass der Täter sich oder einem anderen den Zugang zu Daten, die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft. Zugangssicherungen seien Vorkehrungen, die den unbefugten Zugriff auf Daten ausschließen oder zumindest erheblich erschweren. Eine Überwindung einer solchen Zugangssicherung liege aber nicht vor, wenn die Daten auf dem Magnetstreifen lediglich ausgelesen werden, weil dies ohne weiteres mittels eines handelsüblichen Lesegeräts und einer ebenfalls im Handel erhältlichen Software möglich sei. Dass Daten magnetisch und damit nicht unmittelbar wahrnehmbar gespeichert sind, stelle keine besondere Sicherung gegen unberechtigten Zugang dar, vielmehr handelt es sich gemäß § 202a Abs. 2 StGB nur bei Daten, die auf diese Weise gespeichert sind, um Daten i.S.d. § 202a Abs. 1 StGB.
In der vorliegenden Entscheidung werden die Ausführungen des 4. Strafsenats zu den Anforderungen an die Schutzvorkehrungen und das Überwinden der Zugangssicherung bestätigt. Darüber hinaus macht der BGH Ausführungen, welche Feststellungen in tatsächlicher Hinsicht getroffen werden müssen. Hierfür sei „eine hinreichend genaue Darstellung der Wirkweise der von dem Angeklagten bereitgestellten Schadsoftware, welche die Benennung der im konkreten Einzelfall umgangenen Zugangssicherung erfasst“, erforderlich. Der pauschale Hinweis auf das Bestehen von Zugangssicherungen ohne nähere Darlegung reiche nicht aus, erforderlich sei vielmehr eine ausreichend deskriptive Darlegung der konkreten tatsächlichen und technischen Umstände.

D. Auswirkungen für die Praxis

Die Entscheidung des BGH präzisiert die Mindestfeststellungen, die von Polizei, Staatsanwaltschaften und Instanzgerichten für eine Verurteilung gemäß § 202a StGB in tatsächlicher und technischer Hinsicht erhoben werden müssen.