Strafbarkeit von Botnetzwerk: In einem Beschluss hat sich der Bundesgerichtshof (1 StR 16/15) zur Frage der Strafbarkeit beim Betrieb eines Botnetzwerks geäußert. Die Entscheidung bietet zum einen nochmals vertieften Einblick in die Voraussetzungen des §202a StGB; zum anderen wird nochmals überdeutlich aufgezeigt, mit welchen Schwächen im Bereich des IT-Strafrechts selbst bei Landgerichten zu rechnen ist.
Sachverhalt zur Strafbarkeit von Botnetzwerk
Der Sachverhalt stellt sich als Klassiker dar: Der Angeklagte (Jugendliche) erstellte eine Schadsoftware, die er trickreich als nützliches Programm getarnt verbreitete. Wer sie installierte, dessen Rechner wurde Teil eines Botnetzwerks. Die dem Angeklagten so zur Verfügung stehende Rechenleistung wurde genutzt um die Rechner zur Generierung von Bitcoins einzusetzen, wobei die Rechner erst ab 2 Minuten inaktivität in Anspruch genommen wurden. Dabei stellt der BGH fest
Die Schadsoftware, ein Trojaner, war für die Betriebssysteme ab Windows XP bis Windows 7 bestimmt, „welche standardmäßig eine ‚Firewall‘ aktiviert haben, um derartige Angriffe abzuwehren“ (UA S. 3). Diese Firewall „wurde durch den Trojaner umgangen“ (UA S. 3) und das jeweilige Betriebssystem des Computers verändert. An späterer Stelle in den Urteilsgründen findet sich die Feststellung, dass in vielen Fällen der Trojaner „durch Virenprogramme der Nutzer nicht erkannt wurde“ (UA S. 4). Detaillierte Feststellungen zu den auf den betroffenen Com-putern installierten Schutzprogrammen hat das Landgericht nicht (…) getroffen.
Mit Verlaub: Wenn man das alleine liest, rollen sich schon die Zehennägel hoch. Es wird nicht überraschen, dass das dem BGH so nicht reicht.
Was ist eine Zugangssicherung im Sinne des §202a StGB?
Der BGH fasst noch einmal die Rechtslage zur Zugangssicherung zusammen:
Die Zugangssicherung im Sinne von § 202a Abs. 1 StGB muss darauf angelegt sein, den Zugriff Dritter auf die Daten auszuschließen oder wenigstens nicht unerheblich zu erschweren (vgl. BGH, Beschluss vom 6. Juli 2010 – 4 StR 555/09, NStZ 2011, 154; LK-StGB/Hilgendorf, StGB, § 202a Rn. 30; MüKo-StGB/Graf, StGB, § 202a Rn. 35; Rübenstahl/Debus, NZWiSt 2012, 129, 131). Darunter fallen insbesondere Schutzprogramme, welche geeignet sind, unberechtigten Zugriff auf die auf einem Computer abgelegten Daten zu verhindern, und die nicht ohne fachspezifische Kenntnisse überwunden werden können und den Täter zu einer Zugangsart zwingt, die der Verfügungsberechtigte erkennbar verhindern wollte (vgl. BT-Drucks. 16/3656 S. 10). Schließlich muss der Zugangsschutz auch gerade im Zeitpunkt der Tathandlung bestehen (vgl. MüKo-StGB/Graf, StGB, § 202a Rn. 20).
Dies entspricht der ständigen Rechtsprechung des BGH zur Zugangssicherung beim §202a StGB, die ich hier zusammen gefasst habe.
Botnetze im Metaverse?
Die Möglichkeit eines Botnetzes im Metaverse, das für Cyberangriffe genutzt wird, ist durchaus denkbar. Das Metaverse bietet mit seiner komplexen Struktur und seinen vielfältigen Interaktionsmöglichkeiten eine potenziell fruchtbare Umgebung für Cyberkriminelle. In einem solchen Szenario könnten Bots im Metaverse programmiert werden, um verschiedene Aufgaben auszuführen, die von harmlosen Interaktionen bis hin zu schädlichen Aktivitäten reichen können.
Beispielsweise könnten Botnetze im Metaverse dazu genutzt werden, große Datenmengen zu sammeln, DDoS-Angriffe (Distributed Denial of Service) durchzuführen oder sogar komplexere Cyberangriffe wie das Ausnutzen von Sicherheitslücken oder das Phishing von Zugangsdaten zu starten. Aufgrund des immersiven und interaktiven Charakters des Metaverse könnten solche Angriffe schwieriger zu erkennen und zu verfolgen sein, insbesondere wenn sie durch scheinbar legitime Avatare oder programmierte Objekte im virtuellen Raum ausgeführt werden.
Die rechtlichen Fragen, die sich aus solchen Aktivitäten ergeben, wären vielfältig und komplex. Sie würden unter anderem die Verantwortlichkeit und Haftung für durch Bots verursachte Schäden, Fragen des Datenschutzes, insbesondere im Zusammenhang mit der unerlaubten Sammlung von Daten, sowie die Durchsetzung von Rechtsnormen in einem dezentralisierten und grenzüberschreitenden virtuellen Raum umfassen. Darüber hinaus würden solche Szenarien die Notwendigkeit einer verstärkten Zusammenarbeit zwischen Strafverfolgungsbehörden, Technologieanbietern und Nutzern des Metaverse unterstreichen, um wirksame Strategien zur Prävention, Erkennung und Reaktion auf Cyberangriffe zu entwickeln.
Die Prävention und Bekämpfung solcher Bedrohungen im Metaverse würde eine Kombination aus technologischen Lösungen, rechtlichen Rahmenbedingungen und globaler Zusammenarbeit erfordern, um die Sicherheit und Integrität dieses neuen digitalen Raums zu gewährleisten.
Firewall und Antiviren-Programm
Ich kenne es leider aus diversen Verfahren: Gerichte werfen ständig Begrifflichkeiten in diesem Bereich durcheinander. Vor allem „Firewall“ und „Antovirenprogramm“ werden geradezu inflationär benutzt und alleine für sich als „Argument“ herangezogen. Der BGH stellt klar, dass es so einfach nicht ist. In Bezug auf das vorangegangene Zitat nunmehr vollkommen vorhersehbar führt der BGH daher dann aus:
Hinzu kommt, dass das Landgericht zwischen den Begrifflichkeiten der Firewall und des Virenschutzprogrammes nicht erkennbar differenziert hat, wodurch unklar bleibt, ob es die technischen Voraussetzungen der Zugangssicherung in tatsächlicher Hinsicht zutreffend bewertet hat. Während es zunächst nämlich darauf abstellt, der Trojaner sei so konzipiert gewesen, die vorinstallierte Firewall bestimmter Betriebssysteme zu umgehen (UA S. 3), findet sich im Widerspruch dazu an späterer Stelle der Urteilsgründe die Feststel-lung und Wertung, die vom Angeklagten bereitgestellte Schadsoftware sei durch die Virenprogramme der 327.379 Nutzer nicht erkannt worden (UA S. 4). Unter Zugrundelegung der zu der Schadsoftware zuletzt getroffenen Feststellungen käme eine Firewall als tatbestandsmäßige Schutzvorrichtung bereits dem Grunde nach nicht in Betracht.
Sprich: Das Landgericht hat schlichtweg nicht kapiert, was Firewall und Antivirenprogramm da tun und damit dann auch noch das Urteil verhunzt. Dass darüber hinaus weder beschrieben wurde wie die Schadsoftware funktionierte und wie die angenommene Zugangssicherung umgangen wurde, überrascht dann auch nicht mehr:
Es fehlt in den Urteilsgründen eine hinreichend genaue Darstellung der Wirkweise der von dem Angeklagten bereitgestellten Schadsoftware, welche die Benennung der im konkreten Einzelfall umgangenen Zugangssicherung erfasst. Der pauschale Verweis auf deren Bestehen reicht dafür ohne nähere Darlegung nicht aus (…)
Typischer Eindruck
Es liest sich ernüchternd, was der BGH da an Basics für das Landgericht zusammenfassen muss, ist aber leider wenig überraschend. Vielmehr wird hier mein typischer Eindruck wiedergespiegelt dahin gehend, dass technische Umstände unsauber bis gar nicht verstanden werden, man gleichwohl sich nicht scheut, ein Urteil zu schreiben bevor man alles vollständig verstanden hat.
Strafbarkeit von Botnetzwerk
Dabei soll die Strafbarkeit des Aufbaus und Betrieb eines Botnetzes nicht in Abrede gestellt werden. Etwas schwer tue ich mich damit, pauschal auf den §202a StGB zu verweisen, dafür muss man tatsächlich Feststellungen treffen als Gericht, die sich nicht in Pauschalitäten erschöpfen wie etwa dass ein Betriebssysteminterner Grundschutz vorhanden ist. Letztlich dürfte aber immer der §303b StGB vorliegen.
Konkurrenzen bedenken im IT-Strafrecht
Zum Abschluss sei nochmals daran erinnert, dass die Konkurrenzen sauber zu prüfen sind – hier wird gerade im IT-Strafrecht gut und gerne derart geschlampt, wie man es sonst nur aus dem BTM-Strafrecht kennt. Es gibt viele Ansätze für die Annahme einer Tateinheit, etwa bei zwar zeitlich auseinanderfallenden Vorfällen, die letztlich aber auf einheitlichem Willensentschluss bei automatisierter Durchführung beruhen. Auch darauf weist der BGH hin, es ist davon auszugehen, dass es nicht der letzte Hinweis dieser Art sein muss. Dabei hat die Feststellung von Tateinheit ganz erhebliche Auswirkungen auf das Strafmaß, es geht also um keine nur rein dogmatische Problematik.
- Entwicklung der Robotik weltweit - November 22, 2024
- Zukunft der Robotik: Einfluss des Data Act auf Innovation und rechtliche Rahmenbedingungen - Oktober 4, 2024
- Allgemeine Überlegungen zu Robotern: Definitionen, Bewusstsein und Asimovs Gesetze - August 18, 2024