Überwindung vs Umgehung

Ein Überwinden ist aber mehr als ein bloßes Umgehen.⁴⁸⁹ Würden zwei unterschiedliche Datenübertragungswege, nämlich einer davon durch eine spezifische Sicherheitsvorkehrung gesichert, der andere ungesi-chert, die Verbindung zum konkreten Zugriffsobjekt ermöglichen, so würde der Täter im zweiten Fall die Sicherheitsvorkehrung bloß um-gehen.⁴⁹⁰

Ein Überwinden erfordert mE die Konfrontation des Täters mit der spezifischen Sicherheitsvorkehrung, etwa durch Ausarbeitung eines Überwindungsplans und die anschließende direkte Bezwingung. In Anlehnung an die Begrifflichkeit in § 109 Abs 3 Z 2 oder § 129 Z 4 könnte man auf das Überwinden eines Widerstandes der Sicherheitsvorkeh-rung schließen.⁴⁹¹ Auch hat der OGH iZm § 129 Z 1 hins des Begriffs

» einsteigen « festgestellt: » [ … ] die größere verbrecherische Energie zur Überwindung von Hindernissen und Widerständen, die andere Diebe scheuen oder umgehen, macht diesen Täter gefährlicher und darum strafwürdiger [ … ] «.⁴⁹² Ebenso legt » eine solche größere verbrecherische

488 Vgl ErlRV 285 BlgNR XXIII. GP, 7.

489 Vgl Bergauer / Schmölzer in Jahnel / Mader / Staudegger, IT-Recht ³, 635 ( 658 ).

490 Abgesehen davon kann davon ausgegangen werden, dass der Täter in einem der-artigen Fall die Überwindung der Sicherheitsvorkehrung nicht in seinen Vorsatz aufgenommen hat, weshalb die Tatbestandsmäßigkeit zudem am subjektiven Tatbestand scheitert würde.

491 In den genannten Bestimmungen zum Hausfriedensbruch oder Einbruchsdieb-stahl geht es darum, » [ … ] den Widerstand einer Person zu überwinden [ … ] «.

492 Vgl OGH 30. 09. 1976, 9 Os 101 / 75.

Energie ein Dieb an den Tag, der einen Schlüssel nachmacht, das heißt sich eigenmächtig einen für das betreffende Schloss passenden Schlüs-sel entweder nach dem OriginalschlüsSchlüs-sel dieses Schlosses oder nach einem Abdruck desselben etc anfertigt oder anfertigen lässt, indem er sich das Original oder den Abdruck verschafft hat oder der sich den Originalschlüssel widerrechtlich aneignet und damit aufsperrt, nicht aber ein Dieb, der bloß den Umstand nützt, dass er zufällig über einen passenden, an sich aber zu einem anderen Schloss gehörenden Schlüs-sel verfügt und mit diesem aufsperrt «.⁴⁹³

Auch aus dieser Aussage, die im Wesentlichen auf die kriminelle Energie Bezug nimmt, lässt sich ableiten, dass ein Überwinden mehr an krimineller Energie erfordert als das bloße Umgehen. In diesem Sinn erläutert der OGH auch in einer weiteren E, dass die Umgehung des Zündschlosses eines PKW durch Kurzschließen ( der Zündkabel ) nicht die Voraussetzungen der Überwindung einer Sperrvorrichtung iSd § 129 Z 3 darstellt.⁴⁹⁴

Der Täter muss somit auch iZm § 118 a Abs 1 auf die im System in-stallierte Sicherheitsvorkehrung entsprechend reagieren, um dieses Hindernis direkt bezwingen zu können. Eröffnet sich daher eine zusätz-liche Möglichkeit für einen Zugriff, ohne auf ein Hindernis zu stoßen, so liegt kein tatbestandliches Überwinden vor. Zu denken wäre bspw an ein Netzwerk, zu dem man sich über zwei unterschiedliche Remote Ac-cess Server ( RAS ) anmelden kann, wovon jedoch nur einer mit Zugangs-software gesichert ist. Verwendet der Täter den ungesicherten Zugang, so würde zwar eine im System angebrachte Sicherheitsvorkehrung um-gangen, nicht jedoch in Form eines Hindernisses überwunden werden.

Wählt der Täter den anderen ( gesicherten ) Weg, weil er etwa von der zweiten Variante nichts wusste, so kommt ihm die zwar ebenfalls mög-lich gewesene ungesicherte Zugriffsmögmög-lichkeit nicht zu gute.⁴⁹⁵ Man könnte aber in diesem Fall auch so weit gehen, die Eigenschaft der Si-cherheitsvorkehrung als eine spezifische anzuzweifeln, da ein System, das über mehrere Zugänge verfügt, eben an allen diesen Zugangsmög-lichkeiten entsprechend gesichert sein muss, andernfalls keine »

spezi-493 Siehe OLG Linz 07. 01. 1997, 7 Bs 350 / 96 mit Verweis auf OGH 21. 04. 1977, 12 Os 9 / 77 verst Senat; OGH 29. 10. 1985, 10 Os 124 / 85; OGH 12. 01. 1993, 14 Os 156 / 92.

494 Siehe OGH 29. 07. 1981, 11 Os 70 / 81.

495 Siehe dazu den annähernd vergleichbar iZm dem Einbruchsdiebstahl Bertel in WK ² § 129 Rz 11 ( Stand Dezember 2008 ).

fische « – weil nicht geeignete – Schutzmaßnahme besteht.⁴⁹⁶ Meines Er-achtens ist nämlich die Sicherheitsvorkehrung so auszugestalten, dass sie jeden Zugreifenden ausschließlich über einen gesicherten Zugangs-weg zum System führen muss. Ist dies nicht der Fall, liegt auch keine geeignete und wirksame Sicherheitsvorkehrung vor.

Allerdings besteht dabei das Problem in der Abgrenzung der Sys-temkomponenten und der damit einhergehenden Beurteilung der ge-genständlichen technischen Infrastruktur als tatbildliches Computer-system, weshalb in derartig gelagerten Sachverhalten ⁴⁹⁷ die Frage der Zuordnung einer Sicherheitsvorkehrung zum tatgegenständlichen Computersystem eine zentrale Bedeutung einnimmt.⁴⁹⁸

Auch das durchaus realistische Beispiel von Reindl-Krauskopf ⁴⁹⁹, in dem eine mit einem ausführbaren Betriebssystem selbstständig lauffä-hige CD-ROM ⁵⁰⁰ verwendet wird, ohne das Betriebssystem des Zielsys-tems samt etwaiger Zugangssoftware ausführen zu müssen, um an die Daten desselben zu gelangen, ist mE – in Anlehnung an die oben be-schriebenen Fälle, aber entgegen der Ansicht Reindl-Krauskopfs – bloß eine Umgehung der Sicherheitsvorrichtung und daher keine Überwin-dung. In concreto liegen ebenfalls zwei unterschiedliche Zugriffswege vor, von denen nur einer gesichert ist ⁵⁰¹, der andere – vom Täter geschaf-fene – nicht. Die bloße Umgehung ist dort zu erblicken, wo das Hin-dernis des technischen Widerstandes der Sicherheitsvorkehrung eben nicht berührt wird, sondern dieser Hürde ausgewichen wird. Lässt eine Sicherheitsvorkehrung einen Umweg zu, so ist sie nach den oben ge-troffenen Aussagen weder spezifisch noch wirksam gegen diesen kon-kreten Zugriffsversuch konzipiert.⁵⁰² Es ist für den Systemverantwort-lichen technisch leicht realisierbar, die » Boot-Funktion « für externe Medien im System zu unterbinden und die diesbezüglichen

Einstell-496 Siehe dazu bereits oben.

497 Insbesondere iZm Datenverarbeitungen über Netzwerke.

498 Siehe dazu auch Bergauer, RdW 2006 / 391, 412.

499 Siehe die aA Reindl-Krauskopf, Computerstrafrecht ², 17.

500 Aktueller wäre das Beispiel wohl mit einem bootfähigen und mit einem lauffähi-gen Betriebssystem ausgestatteten USB-Stick anstelle einer CD-ROM.

501 Gesichert, und daher mit einer spezifischen Sicherheitsvorkehrung ausgestaltet, wäre der Zugang zum System nur über das dort installierte Betriebssystem.

502 Vgl den Virenscanner, der zwar gegen Zugriffe mittels Schadprogrammen als Si-cherheitsvorkehrung geeignet wäre, nicht aber gegen vor Ort-Zugriffe des Täters ohne diese Tatwerkzeuge.

möglichkeiten im System ⁵⁰³, ebenfalls mit einer Passwortabfrage vor Veränderungen zu schützen. Auch wäre es möglich lediglich zB die interne Festplatte ⁵⁰⁴ mit entsprechendem Zugriffsschutz zu versehen, sodass erst diese Festplattensicherung die tatbildliche Sicherheitsvor-kehrung darstellte. Mit einer solchen SchutzvorSicherheitsvor-kehrung könnte ein Zu-griff über externe Boot-Medien wirksam unterbunden werden.

Ein derartiger Sachverhalt ist mit dem oben angeführten Fall des

» Kurzschließens « eines PKW insoweit vergleichbar ⁵⁰⁵, als hierbei nur eine Umgehung und nicht eine Überwindung der Sperrvorrichtung vorliegt.⁵⁰⁶ In diesem Sinn ist auch » die Umgehung eines Fahrrad-Schlosses « durch Abmontieren des Gepäckträgers zu verstehen.⁵⁰⁷

Eine derartige Vorgehensweise mittels externer Boot-Medien ⁵⁰⁸ stützt sich – im Gegensatz zu den in den GMat ⁵⁰⁹ angesprochenen Angriffsmethoden der » Code Injection « ⁵¹⁰, » SQL ⁵¹¹ Injection « ⁵¹² oder

» Race Conditions « ⁵¹³ – gerade nicht auf Systemschwachstellen der in-stallierten ( Software- ) Sicherheitsvorkehrung, sondern nützt generell die unzureichende Systemsicherung durch den Systembetreiber aus.

503 Gemeint ist zB die Konfiguration der » BIOS-Einstellungen « ( BIOS = Basic Input Output System ).

504 Grundsätzlich ist iSd von Neumann-Architektur jede Festplatte ein externes Gerät.

An dieser Stelle ist allerdings mit der Bezeichnung » intern « eine im Gehäuse des Computers eingebaute Festplatte gemeint.

505 Man beachte das Analogieverbot, doch dient dieser Vergleich lediglich der Inter-pretation des Begriffs » überwinden «.

506 Siehe OGH 10. 10. 1978, 11 Os 144 / 78; OGH 29. 07. 1981, 11 Os 70 / 81.

507 Vgl OGH 28. 06. 1994, 14 Os 78 / 94.

508 Denkbar wäre auch, dass der Täter die Festplatte des Zielsystems ausbaut, um die Passwortabfrage des BIOS im Zuge des Bootens des Rechners zu » umgehen «.

509 Siehe dazu ErlRV 285 BlgNR XXIII. GP, 7.

510 » Code Injection « ist der generelle Überbegriff für Handlungen, bei denen der Täter versucht eigenen ( schädigenden ) Code ins Zielsystem einzuschleusen, vgl etwa » Cross-Site-Scripting « ( XSS ), » SQL Injection «, » PHP Injection « uÄ.

511 » Structured Query Language «.

512 Dabei versucht der Angreifer über eine Benutzereingabeaufforderung oder URL-Requests zur Abfrage einer SQL-Datenbank eigenen SQL-Code einzuschleusen, um Zugriff auf die Datenbank zu erhalten; siehe dazu ausf Clarke, SQL Injection.

Attacks and Defense ( 2012 ) 6 ff.

513 Hierbei bleiben mehrere Prozesse im Wartezustand gefangen, weil sie wechsel-seitig auf sich oder auf dieselben Ressourcen zugreifen wollen. Das » Wettrennen « um den Zugriff wird » Race Condition « genannt, wobei eine solche Situation auch zu einem » Deadlock « führen kann, wenn sich dabei beide Programme gegenseitig sperren oder anderwärtig behindern. Ein solcher Deadlock führt zumindest zum Absturz der betroffenen Prozesse, wenn nicht sogar zum Absturz des Gesamtsys-tems ( vgl Kersken, IT-Handbuch ⁵, 301 ).

Mit dem Erlangen des Zugangs zu einem Computersystem durch Überwindung einer spezifischen Sicherheitsvorkehrung im Computer-system ist der tatbestandliche Erfolg eingetreten ( Erfolgsdelikt ), der objektive Tatbestand daher erfüllt und die Tat – entsprechenden de-liktsspezifischen Vorsatz vorausgesetzt – auch formell vollendet.⁵¹⁴