Überwindung vs Verletzung

Wurde noch in der originären Definition des § 118 a Abs 1 idF des StRÄG 2002 ⁴⁷⁰ auf die » Verletzung « der Sicherheitsvorkehrung abgestellt, ist mit dem StRÄG 2008 ⁴⁷¹ diese Diktion auf das Erfordernis der »

Über-468 In diesem Sinn auch Birklbauer / Hilf / Tipold, Strafrecht BT I ² § 118 a Rz 5; aA Reindl-Krauskopf in WK ² § 118 a Rz 25; auch Pfister, Hacking, 110.

469 Erneut sei hierbei auf ein Trojanisches Pferd verwiesen.

470 BGBl I 134 / 2002.

471 BGBl I 109 / 2007.

windung « abgeändert worden, womit die Strafbarkeit insgesamt ausge-weitet wurde. Zu dieser Entwicklung ist am Rande anzumerken, dass bereits im ME ⁴⁷² zum StRÄG 2002 das Kriterium der Überwindung vor-gesehen war, doch wurde dieses in einigen Stellungnahmen im Zuge des Begutachtungsverfahrens als zu weitreichend erachtet.⁴⁷³ Der Ge-setzgeber schloss sich diesen Anregungen im Rahmen des Begutach-tungsverfahrens schließlich an, indem die Verletzung der spezifischen Sicherheitsvorkehrung in § 118 a Abs 1 aF tatbildlich wurde. Dies nicht zuletzt auch deshalb, weil diese Formulierung näher am Begriff » inf-ringing « des Originaltexts der CCC ⁴⁷⁴ wäre.⁴⁷⁵ Unter der Verletzung der spezifischen Sicherheitsvorkehrung wird nach den GMat das Eingrei-fen in die Daten- bzw Sachsubstanz derselben verstanden.⁴⁷⁶ Eine der-artige Handlung musste daher eine konkrete Einwirkung auf den spe-zifischen Schutzmechanismus der Sicherheitsvorkehrung bedeuten, der durch eine bewusste Manipulation außer Kraft gesetzt oder doch zumindest nachteilig modifiziert wird ( zB das Löschen eines Firewall-programms ). Damit war in der aF eindeutig mehr als nur die » Überwin-dung « gefordert.⁴⁷⁷

In Zusammenschau mit den in der Praxis gemachten Erfahrun-gen und Stellungnahmen im Begutachtungsverfahren zum ME ⁴⁷⁸, aber auch in Hinblick auf die diesbezügliche Rechtsentwicklung in Deutsch-land zu § 202 a dStGB ⁴⁷⁹ dehnte der Gesetzgeber die Strafbarkeit auf die bloße Überwindung der spezifischen Sicherheitsvorkehrung in § 118 a Abs 1 idgF aus, sodass eine Beeinträchtigung der Daten- bzw Sachsubs-tanz nicht mehr erforderlich ist. Dabei muss ein gewisses Mindestmaß an krimineller Energie zur Überwindung vorliegen, » so dass etwa die Verwendung eines von der berechtigten Person – wenn auch unbefug-terweise – mitgeteilt erhaltenen Passworts auch nicht unter den Begriff der › Überwindung ‹ einer Sicherheitsvorkehrung zu subsumieren sein wird «.⁴⁸⁰

472 ME zum StRÄG 2002, 308 / ME XXI. GP, 7.

473 Siehe dazu ErlRV 285 BlgNR XXIII. GP, 7.

474 Vgl Art 2 CCC.

475 Siehe ErlRV 1166 BlgNR XXI. GP, 24.

476 Siehe ErlRV 1166 BlgNR XXI. GP, 24 und ErlRV 285 BlgNR XXIII. GP, 7.

477 Siehe Fabrizy, StGB und ausgewählte Nebengesetze ¹¹ ( 2013 ) § 118 a Rz 2; siehe auch die Anmerkungen dazu in den ErlRV 285 BlgNR XXIII. GP, 8.

478 ME zum StRÄG 2008, 92 / ME XXIII. GP.

479 Mit der Deliktsbezeichnung » Ausspähen von Daten «.

480 Vgl ErlRV 285 BlgNR XXIII. GP, 7.

Man denke zB an den Fall, dass sich ein versierter Systembetreiber selbst eine grundsätzlich taugliche – aber fehlerbehaftete – Passwort-zugangssoftware programmiert hat, die jedoch ungewollt jedes einge-gebene Passwort für eine Zugangsfreigabe akzeptiert. Es wäre nicht zu verstehen, warum eine derartige – wenn auch mangelhafte – Vor-kehrung nicht geeignet sein soll, das Schutzinteresse des Systembe-rechtigten vor unbefugten Zugriffen Dritter zum Ausdruck zu bringen.

Nach außen hin würde man dieses Programm auch als eine Sicher-heitsmaßnahme ( vergleichbar mit einem » Einfahrt verboten – Ausge-nommen Berechtigte « Verkehrszeichen ) wahrnehmen können. Ob in solchen Fällen aber auch ein tatbestandliches Überwinden vorliegen würde, ist in einem anderen Zusammenhang zu prüfen. Reindl-Kraus-kopf verlangt ein bestimmtes Maß an » aktivem Zutun « ( iS einer gewis-sen Anstrengung ) des Täters, um die Schwelle der Strafbarkeit zu über-schreiten.⁴⁸¹ Dieses Zutun würde daher entfallen, wenn der Täter ohne aktiven Aufwand Kenntnis vom Passwort erlangen würde, weil zB der Systemberechtigte selbst dem Täter das Passwort mitgeteilt hat. Die-sem Erfordernis folgend dürfte daher im bloßen Eingabeversuch eines Passworts, der im Beispielsfall mit der fehlerhaften Zugangssoftware bereits zu einem Zugang führen würde, ebenfalls mangels » Überwin-dung « keine Tatbestandsmäßigkeit vorliegen. Das bloße Tippen auf ei-ner fremden Tastatur wäre als noch sozial adäquate Handlung straf-rechtlich unbeachtlich. Die Vorgehensweise des Täters ist vergleichbar mit dem Drücken einer Türklinke, um zu sehen, ob eine Türe versperrt ist oder nicht; ist diese nicht versperrt besteht keine wirksame Siche-rung. Dass darin bereits eine gewisse Anstrengung ⁴⁸² gesehen werden kann, um mit einer Schwierigkeit fertig zu werden, ist mE zu vernei-nen, ist doch wohl eine Sicherheitsvorkehrung wie ein Hindernis zu betrachten, das idR auch im Stande sein muss, Widerstand gegen ei-nen entsprechenden Zugriff zu leisten.

Ähnlich wäre ein Sachverhalt zu beurteilen, in dem als Vorberei-tungshandlung das neben dem Computersystem auf Papier geschrie-bene Passwort, das daher vom Systemverantwortlichen dem Täter nicht ausdrücklich mitgeteilt wurde und auch nicht allgemein kannt ist, durch Ablesen eruiert wird und in weiterer Folge ohne

be-481 Siehe Reindl-Krauskopf in WK ² § 118 a Rz 28.

482 Vgl Reindl-Krauskopf in WK ² § 118 a Rz 26, die auf die Definition des Begriffs » über-winden « nach dem Duden verweist.

rücksichtigungswürdigenden Aufwand dem Täter durch Eingabe des passenden Kennworts den Zugriff auf das fremde Computersystem er-möglicht. Es handelt sich dabei nämlich um das tatsächliche Passwort, das vom Täter ohne einer gewissen Anstrengung errechnet ⁴⁸³ oder ver-schafft wurde.

Die bloße Eingabe eines offen einsehbaren – ggf gleich neben dem System befindlichen – Passworts kann für einen vernünftig denkenden Menschen nicht mit der Bewältigung einer gewissen Schwierigkeit ver-glichen werden.⁴⁸⁴ Die im System angebrachte passwortbasierende Zu-gangssoftware ist zwar als spezifische Sicherheitsvorkehrung iSd § 118 a Abs 1 zu werten, doch wird diese mangels gehöriger Anstrengung ( hier:

bloße Eingabe eines vom Berechtigten nicht gehörig geheim gehalte-nen Passworts ) in einem solchen Fall nicht überwunden. In diesem Sinn urteilte wohl auch der OGH iZm § 129, wenn er einen zufällig pas-senden Schlüssel von einem nachgemachten Schlüssel unterscheidet.⁴⁸⁵

Eine Subsumtion dieser Vorbereitungshandlung unter das Vorbe-reitungsdelikt des § 126 c Abs 1 Z 2 ( iSd » Sich-Verschaffen von Zugangs-daten « ) wäre darüber hinaus ebenfalls nicht unproblematisch.⁴⁸⁶

Anders wäre der Fall jedoch zu beurteilen, wenn der Täter inten-sivere Anstrengungen unternehmen muss, um die Sicherheitsvorkeh-rung des gesicherten Servers zu passieren, indem er zB mittels » Brute Force « ⁴⁸⁷-Programmen das Passwort ermittelt, durch das Übermitteln

483 Siehe zu sog » Brute Force «-Programmen gleich im Anschluss.

484 Siehe dazu auch Reindl-Krauskopf, Computerstrafrecht ², 16.

485 Vgl OGH 29. 07. 1981, 11 Os 70 / 81.

486 Siehe dazu die Ausführungen zu § 126 c ( S 317 ff ).

487 » Rohe Gewalt «; dabei handelt es sich um Computerprogramme, die alle mögli-chen Kombinationen vordefinierter Zeimögli-chenketten ( wie etwa » abcdefghijklm-nopqrstuvwxyz « und » 0123456789 « ) durchprobieren, um so das » passende « Pass-wort ermitteln zu können. Dahinter steckt ein systematisches Abarbeiten von endlichen Zeichenfolgen, welche bei Verwendung aller als Passwort möglichen Zeichen, nach einer kurz oder lang andauernden Zeitspanne, die Berechnung des konkreten Kennworts durch Permutation mathematisch garantiert. Die Zeit-dauer eines solchen Angriffs ist allerdings unter Berücksichtigung des derzeitigen Stands der Technik bei Verwendung eines sinnvollen Zeichensatzes unverhältnis-mäßig lang. Eine weitere Angriffsmöglichkeit würde die sog » Dictionary-Attack « bieten, bei der eine Liste mit sehr häufig als Passwort verwendeten Zeichenfol-gen programmgesteuert durchgearbeitet wird. In dieser Variante werden eiZeichenfol-gene Sammlungen ( bei Passwort-Hash-Werten auch » Regenbogentabellen « genannt ) von potentiellen und häufig verwendeten Passwörtern durchprobiert, wobei dies zwar die Geschwindigkeit des Angriffs erhöht, jedoch zu Lasten der Trefferquote geht ( vgl dazu Gollmann, Computer Security ³ [ 2011 ] 52 ff ).

von Datenpaketen ( DoS ) die Software bzw den Zugangsdienst außer Funktion setzt oder sich Zugangsdaten im Wege des Phishing verschafft.

In solchen Fällen, die zB bei » Brute Force «-Attacken in weiterer Folge zur Ermittlung und letztlich Eingabe eines passenden Kennworts füh-ren, liegt – im Gegensatz zu den Fällen des freiwillig mitgeteilten bzw nicht gehörig geheim gehaltenen Kennworts – bereits ein tatbestand-liches Überwinden vor. So wird wohl auch das oben angeführte Bei-spiel der GMat gemeint sein, dass in einem Fall, in dem ein passendes Kennwort für den Systemzugriff unbefugt verwendet wird, das mittels ins Gewicht fallender krimineller Energie ( rechtswidrig ) erlangt wurde, eine Sicherheitsvorkehrung tatbestandlich überwunden werde.⁴⁸⁸