Computerstrafrechts im engen Sinn
5. Exkurs: Trojanische Pferde
Die Bezeichnungen » Trojanisches Pferd « bzw in darauffolgender syno-nymer Verwendung » Trojaner « 428 stammen ursprünglich aus der grie-chischen Mythologie um den Trojanischen Krieg.429
426 Siehe Thiele in SbgK § 118 a Rz 39.
427 IdS auch Reindl-Krauskopf in WK 2 § 118 a Rz 25; vgl auch Reindl-Krauskopf, Compu-terstrafrecht 2, 15; AA offenbar Thiele in SbgK § 118 a Rz 39, der nicht auf die Wirk-samkeit im Einzelnen oder auf eine » Geheimtechnik « abstellen will.
428 Im einschlägigen Jargon hat sich das Kurzwort » Trojaner « verbreitet, was aber ei-gentlich eine Verkehrung der Analogie bedeutet, da sich die Trojaner selbst vom Holzpferd der Griechen täuschen haben lassen.
429 Siehe zur Etymologie des Begriffs » Trojanisches Pferd « bei Schmeh, Das Trojani-sche Pferd. KlassiTrojani-sche Mythen erklärt ( 2007 ) 30 f.
Ähnliche Wirkung wie das Holzpferd in der Geschichte um Troja er-zielt das Trojanische Pferd auch in der Datenwelt des Computers. Ein Computerprogramm wird möglichst unbemerkt in ein fremdes Com-putersystem eingeschleust, damit es dort bestimmte Aufgaben ausfüh-ren kann. Eine dieser Aufgabe ist zB die Bereitstellung einer Hintertüre zum Zielsystem, sog » Backdoor Trojan « oder » Remote Access Trojan « ( RAT ).430
Ein Trojanisches Pferd ist ein Computerprogramm, das sich prinzi-piell hinter einer für einen Nutzer nützlich erscheinenden Funktiona-lität versteckt.431 Wenn zB ein Programm, das eine Festplatte formatie-ren 432 soll, die Festplatte formatiert, dann handelt es sich offensichtlich um kein Trojanisches Pferd. Wird aber das Formatieren der Festplatte vom Nutzer nicht erwartet, dann handelt es sich um einen Trojaner. Es geht daher darum zu vergleichen, was ein Programm tut und was der Nutzer vom Programm erwartet.433
Trojanische Pferde verbergen sich idR in seriös wirkenden Webpa-ges, E-Mail-Anhängen oder hinter nützlichen Programmeigenschaften diverser Software. Sie sollen den Nutzer respektive das Opfer dazu ver-leiten, sich das Schadprogramm durch aktives Mitwirken selbst ( unbe-merkt ) im System zu implementieren.434 Diese Interaktion führt
letzt-430 Vgl etwa Kersken, IT-Handbuch 5, 1064 f; weiters Solomon, Elements of Computer Security ( 2010 ) 344; auch Winterer, Windows 7 Sicherheit ( 2011 ) 149 ff.
431 Siehe etwa Kersken, IT-Handbuch 5, 1064 f; siehe aber auch ErwG 65 RL 2009 / 136 / EG:
» Computerprogramme, die heimlich zugunsten Dritter das Verhalten des Nutzers überwachen oder die Funktionsweise seines Endgerätes beeinträchtigen ( › Späh-software ‹ ) sind genauso wie Viren eine ernste Bedrohung für die Privatsphäre des Nutzers. Ein hoher und einheitlicher Schutz der Privatsphäre der Nutzer muss un-abhängig davon gewährleistet werden, ob unerwünschte Spähprogramme oder Viren versehentlich über elektronische Kommunikationsnetze heruntergeladen werden oder aber versteckt in anderer Software, die auf externen Speichermedien wie CD, CD-ROM oder USB-Speicherstift verbreitet wird, ausgeliefert und instal-liert werden. Die Mitgliedstaaten sollten zur Bereitstellung von Information an Endnutzer über mögliche Schutzvorkehrungen auffordern und die Endnutzer auffordern, die notwendigen Maßnahmen zu ergreifen, um ihre Endgeräte vor Viren und Spähsoftware zu schützen «.
432 Dabei wird auf der Festplatte ein magnetisches Muster aufgebracht, das Spuren und Sektoren festlegt ( vgl etwa Gumm / Sommer, Informatik 10, 50 ).
433 Vgl auch von Gravenreuth, Computerviren – Technische Grundlagen und rechtliche Gesamtdarstellung 2 ( 1998 ) 11 f; weiters Clough, Principles of Cybercrime ( 2010 ) 34.
434 Siehe dazu auch Slade, Software Forensics. Collecting Evidence from the scene of a digital crime ( 2004 ) 101 ff; weiters Eckert, IT-Sicherheit. Konzepte – Verfahren – Protokolle 9 ( 2014 ) 73 ff; auch Moore, Cybercrime: Investigating High-Technology Computer Crime 2 ( 2011 ) 38.
lich dazu, dass der Nutzer an seiner Schädigung selbst mitwirkt ( sog
» [ Computer Based ] Social Engineering « 435 ).
Würde man Schadprogramme in hierarchische Kategorien fassen wollen, so sind Trojanische Pferde unter dem Sammelbegriff » Mal-ware « 436 in erster Linie der Spyware 437 ( Spionagesoftware ) zuzuordnen.
Neben den klassischen Remote Access Trojanern gibt es noch weitere schädigende Programmfunktionalitäten 438, die den Trojanischen Pfer-den zuzuordnen sind.
a. Logische Bomben
Logische Bomben sind Computerprogramme, die den mitgeführten Payload 439 erst nach Eintritt einer bestimmten Bedingung ( sog » Trig-ger 440-Funktion « ) aktivieren.441 Unter dem Payload versteht man im Be-reich der Malware die konkrete schädigende Funktion, also den Ak-tionscode, eines jeweiligen Schadprogramms ( zB das Öffnen einer Hintertüre, das Formatieren eines Datenträgers ).442 Der Trigger bildet den Auslösemechanismus ab, der bestimmt, wann der Payload letzt-lich ausgeführt werden soll. Beispielsweise wartet das Programm auf den Eintritt einer bestimmten Bedingung, wie etwa ein bestimmtes Datum ( zB 1. April ) oder der Payload wird erst aktiviert, wenn ein Da-tenträger zu mehr als die Hälfte ausgelastet ist.443
435 Siehe dazu Lipski, Social Engineering – Der Mensch als Sicherheitsrisiko in der IT ( 2009 ) 9; vgl auch Borges / Schwenk / Stuckenberg / Wegener, Identitätsdiebstahl, 96 ff;
ebenso Feiler, Technische Aspekte der Online-Durchsuchung, in Zankl ( Hrsg ), Auf dem Weg zum Überwachungsstaat ? ( 2009 ) 173 ( 173 f ).
436 Zusammengesetztes Kurzwort für » malicious software « und bezeichnet jegliche Arten von Schadprogrammen in informationstechnischen Systemen ( siehe dazu auch Slade, Software Forensics, 95 ).
437 Siehe dazu Clough, Cybercrime, 36.
438 Auch » Malicious Code « genannt.
439 Engl für Nutzlast, Ladegut.
440 Engl für Auslöser, Abzug.
441 Vgl Janowicz, Sicherheit im Internet 3 ( 2007 ) 218.
442 Siehe dazu Harley / Slade / Gattiker, Anti-Viren-Buch, 37 bzw 130 f; weiters Slade, Soft-ware Forensics, 98 und 100.
443 Siehe dazu Winterer, Viren, Würmer & Trojanische Pferde ( 2002 ) 194 f; weiters Har-ley / Slade / Gattiker, Anti-Viren-Buch, 130 f; weiters Slade, Software Forensics, 100.
b. Dialer
Die Begriffe Dialer-Software bzw Dialer Trojans sind nach dem derzei-tigen Begriffsverständnis 444 deutlich negativ besetzt. Man verbindet damit unerwünschte kostenpflichtige Einwahlprogramme ins Inter-net.445 Beispielsweise werden dabei vordefinierte Einwahlprogramme ( zB des Telefonmodems oder der ISDN-Karte ) zum jeweils verwende-ten Internet Service Provider ( ISP ) durch eigene Programme der Tä-ter ersetzt. Dies führt dazu, dass die InTä-ternetverbindungen unbemerkt über einen anderen – allerdings kostenpflichtigen – Mehrwertdienst zustande kommen.446 Mit dem Aufkommen von Breitband-Internetan-schlüssen sind Dialer-Programme mittlerweile auf andere Systeme als PCs, wie zB Mobiltelefone und Smartphones, ausgewichen. Man ver-wendet diesen Begriff inzwischen als Überbegriff für sämtliche » Trick-betrügereien «, die elektronische Dienste zu hohen Minuten- bzw SMS-Preisen anbieten.447
c. Browser-Hijacker
» Browser-Hijacker « manipulieren das Verhalten des verwendeten In-ternet Browsers. Dabei werden zum Teil schwerwiegende Systemein-griffe vorgenommen, die auch von versierten Nutzern kaum mehr rückgängig gemacht werden können. Beispielsweise werden unaufge-fordert » Pop-Up-Seiten « 448 erzeugt oder Browser-Startseiten auf andere Webpages, die mit Werbung oder » Malicious Code « versehen sind, um-geleitet.449 Über aktive Inhalte 450 dieser Webpages kann es den Hija-ckern schließlich auch gelingen, Zugriff auf das Zielsystem zu nehmen.
Damit das Wiederherstellen der ursprünglichen Einstellungen
weitge-444 Ursprünglich wurden Dialer als seriöse Bezahldienste im Bereich des ( unkörper-lichen ) Softwareerwerbs durch Download verwendet. Der Käufer konnte die ent-sprechende Software nur über einen kostenpflichtigen Mehrwert-Zugang herun-terladen. Die Bezahlung erfolgte dadurch unmittelbar durch die Download-Zeit über die kostenpflichtige Telefonnummer ( siehe Winterer, Viren, 229 f ).
445 Siehe dazu Janowicz, Sicherheit 3, 258.
446 Vgl Winterer, Viren, 229 ff.
447 Siehe Janowicz, Sicherheit 3, 258.
448 Darunter versteht man plötzlich auftauchende Browser-Fenster oder Bildschirm-meldungen.
449 Siehe auch Pfister, Hacking, 33.
450 ZB ActiveX-Komponenten.
hend unterbunden wird, werden Hijacking-Trojaner dauerhaft ins Sys-tem implementiert, die das » Browser-Hijacking « bei jedem Neustart des Zielsystems neu veranlassen.
d. Keylogger
Keylogger werden dazu eingesetzt, sämtliche Tastatur-Eingaben des Nutzers unbemerkt aufzuzeichnen und dem Täter zukommen zu las-sen. Man unterscheidet zwischen Software- und Hardware-Keylog-ger 451, wobei Letztere eigenständige sehr kleine Computersysteme 452 darstellen, die mit dem zu überwachenden System in physische Ver-bindung gebracht werden müssen. Beispielsweise kann ein als Verbin-dungsstecker getarnter Hardware-Keylogger zwischen Tastatur und PC angeschlossen werden, der in weiterer Folge sämtliche Tastaturan-schläge des Nutzers speichert.453 Die aufgezeichneten Daten können – je nach Ausstattung der Schnüffelsoftware – zB per Funkverbindungen ( zB Bluetooth ) dem Täter in entsprechenden Abständen automatisiert übermittelt werden, oder die Geräte müssen – wie bereits beim Anbrin-gen derselben – vor Ort manuell demontiert werden, um die Daten aus-werten zu können. Sie unterscheiden sich von Keylogger-Programmen ua dadurch, dass ein Zugriff auf bzw über die Software des Zielsystems zur Installation des Schnüffelgeräts, aber auch für dessen Funktions-fähigkeit nicht erforderlich ist. Daher sind auch software-basierende Standard-Schutzmaßnahmen, wie Antivirenprogramme, Firewalls etc wirkungslos.
Software-Keylogger hingegen werden möglichst unbemerkt in das Zielsystem eingeschleust und verrichten ihre Arbeit zwischen Be-triebssystem und Anwendungsprogrammen, wo sie zuerst sämtliche Tastaturanschläge einlesen und speichern und im Anschluss an das Betriebssystem zur Weiterverarbeitung weiterleiten.454 Die
aufgezeich-451 Werden umgangssprachlich auch als » Hardware-Wanzen « bezeichnet; siehe dazu allgemein auch Winterer, Windows, 170 f.
452 Bestehend aus Hardware- und Software-Komponenten.
453 Siehe dazu auch Feiler in Zankl, Überwachungsstaat, 173 ( 183 ).
454 Siehe dazu Emigh / Ramazan, Overview of Crimeware, in Jacobsson / Ramzan ( Eds ), Crimeware. Understanding New Attacks and Defenses ( 2008 ) 2 ( 8 ff ); weiters Win-terer, Viren, 198 f; siehe auch Bergauer, Ausgewählte Aspekte der strafrechtlichen Betrachtung von Spyware, in Schweighofer / Liebwald / Drachsler / Geist ( Hrsg ), e-Staat und e-Wirtschaft aus rechtlicher Sicht – Tagungsband des 9. Internationalen Rechtsinformatik Symposions IRIS 2006 ( 2006 ) 327 ( 327 ff ).
neten Daten werden dabei idR über bestimmte TCP 455-Dienste 456 in re-gelmäßigen Abständen an den Täter übermittelt. Zur Installation die-ser Schadprogramme ist aber ein Zugriff auf das Zielsystem notwendig.
Für das Implementieren der Software am Zielsystem stehen dem Tä-ter, neben der Vor-Ort-Manipulation 457, viele Möglichkeiten des Fern-zugriffs über das Internet offen.
( Exkurs Ende )
Ein Virenschutzprogramm wäre grundsätzlich ein taugliches Instru-ment, um derartige Schadprogramme als Tatwerkzeuge des Täters auf-zuspüren und abzufangen. Das Versenden eines E-Mails, das ein Schad-programm im Anhang mitführt, reicht allerdings zur Verwirklichung des Tatbestandes nicht aus, um Daten eines » ungeschützten « Systems selbst nach Ausführung des Trojanischen Pferdes dem Täter zu über-mitteln. Ein derartiger Fall wäre bei personenbezogenen Daten insb nach § 51 DSG 2000 bzw bei Daten, die sich gerade am Übertragungs-weg befinden ( zB unter Verwendung eines Keyloggers oder Sniffers 458 ), nach §§ 119, 119 a zu beurteilen. Darüber hinaus läge nicht einmal eine Versuchsstrafbarkeit iSd §§ 15, 118 a Abs 1 vor, wenn keine Sicherheits-vorkehrung installiert ist und das Schadprogramm auch nicht in der Lage wäre, auf eine Sicherheitsvorkehrung entsprechend zu reagieren bzw diese gar zu deaktivieren.
Es kann für einen Betreiber eines Computersystems notwendig werden, mehrere spezifische Vorkehrungen zu treffen, um einen um-fassenden technischen wie strafrechtlichen Schutz für sein Computer-system iSd § 118 a zu erlangen. Als spezifische Sicherheitsvorrichtungen kommen sowohl Hardware-Maßnahmen ( zB biometrische Verfahren der Zugangskontrolle, Hardwarefirewall 459 ), aber auch Software-Vor-kehrungen ( wie zB Passwortkontrollen und Firewall-Programme 460 ) in
455 Transmission Control Protocol ( vgl Gumm / Sommer, Informatik 10, 638 ff ).
456 ZB E-Mail und FTP.
457 ZB im Fall einer systematisierten Überwachung der Mitarbeiter auf den einzelnen Arbeitsplatzrechnern; oder die Programme befinden sich bereits ab » Werk « auf den Computersystemen, Smartphones.
458 Siehe dazu Bergauer, RdW 2006 / 391, 412; zu Sniffer-Vorrichtungen siehe auch Ku-rose / Ross, Computernetzwerke 4, 81 f.
459 Siehe Bergauer, RdW 2006 / 391, 412; vgl auch generell für das schweizerische Straf-recht Pfister, Hacking, 108 ff.
460 Siehe Reindl, E-Commerce, 153 ff; vgl Bergauer, RdW 2006 / 391, 412.
Betracht.461 Auch könnte Antivirensoftware eine derartige Sicherungs-vorkehrung sein, um Spionagezugriffe mittels Schadprogrammen, wie etwa Trojanischen Pferden, zu identifizieren und abzuwehren. Tatbild-lich würde daher ein Täter agieren, der mittels solcher Spionagetools die Virenschutzsoftware überwinden bzw aus technischer Sicht wohl eher verletzen würde. Datenverschlüsselungen mittels kryptografi-scher Schlüssel etwa, sind keine spezifischen Sicherheitsvorkehrungen iSd § 118 a Abs 1. Sie schützen ausschließlich vor der Erfassung des Be-deutungsinhalts der Daten, nicht vor dem Zugriff auf das System bzw die ( verschlüsselten ) Daten an sich.
Auch muss die spezifische Sicherheitsvorkehrung prinzipiell wirk-sam sein.462 Das heißt, es würde bspw nicht ausreichen, bloß eine Pass-wortabfrage zu simulieren 463 oder ein System mit passwortgestütz-ter Zugangssoftware auszustatten, wenn das entsprechende Passwort leicht 464 für jedermann zugänglich wäre oder ausdrücklich bekannt-gegeben wurde.465 Reindl-Krauskopf spricht dabei vom geheimen Cha-rakter von Zugangscodes.466 Der BGH hat iZm der zivilrechtlichen ( Störer- ) Haftung einer Privatperson wegen des Betriebs eines ungesi-cherten WLAN-Routers bei ( Urheber- ) Rechtsverletzungen durch Dritte festgehalten, dass einer Privatperson lediglich die im privaten Bereich marktüblichen Sicherungsmaßnahmen eines solchen Geräts zumut-bar sind, wobei die Wahl eines persönlichen, ausreichend langen und sicheren Passworts anstelle der werkseitigen Standardeinstellungen des WLAN-Routers jedenfalls üblich und zumutbar ist.467 Die Anforde-rungen sind aber für die Anwendbarkeit des § 118 a Abs 1 und die Frage, ob eine spezifische Sicherheitsvorkehrung vorliegt, die das Schutzin-teresse an den im System gespeicherten Daten zum Ausdruck bringt, wohl nicht zu streng anzusetzen, sodass etwa ein sehr einfaches und leicht zu eruierendes Passwort ( zB 123456 ), aber auch ein vordefiniertes generelles Hersteller- bzw Master-Passwort ( zB 0000 ) für das
Vorhan-461 Vgl Thiele in SbgK § 118 a Rz 39.
462 Siehe Reindl-Krauskopf in WK 2 § 118 a Rz 25.
463 ZB sind » Fake-Programme « oder ähnliche » digitale Attrappen «, die nur den Ein-druck vermitteln es handle sich um gesicherte Systeme keine wirksamen tatbild-lichen Sicherheitsvorkehrungen.
464 Als Beispiel ließe sich ein auf ein Stück Papier aufgeschriebenes Passwort anfüh-ren, das unmittelbar neben bzw auf dem Monitor oder PC vorzufinden ist.
465 Vgl Reindl-Krauskopf, Computerstrafrecht 2, 15; siehe auch Reindl, E-Commerce, 155.
466 Siehe Reindl-Krauskopf, Computerstrafrecht 2, 16.
467 BGH 12. 05. 2010, I ZR 121 / 08 = jusIT 2010 / 63, 138 ( Staudegger ).
densein einer wirksamen Sicherheitsvorkehrung spricht und der An-wendung des § 118 a Abs 1 nicht entgegensteht.468
Thiele will nicht auf die Wirksamkeit im Einzelnen abstellen. Das würde aber dazu führen, dass auch eine völlig untaugliche Sicherheits-vorkehrung, die nicht in der Lage ist einen konkreten individuellen Zu-griff zu verhindern, ebenfalls für die Tatbildlichkeit ausreichen würde.
Wie im oben geschilderten Fall wäre nach Thiele die Installation eines Virenschutzprogramms ausreichend, um vor Zugriffen eines Täters vor Ort und ohne Verwendung eines entsprechenden Computerpro-gramms als Tatmittel 469 schützen zu können. Da der Täter in diesem Fall kein Schadprogramm verwendet, wäre das Virenschutzprogramm, da es für völlig andere Zwecke geschaffen wurde, als Schutz gegen der-artige Zugriffe völlig ungeeignet und wirkungslos. In anderen Fällen, nämlich wenn sich der Täter über ein Netzwerk mittels eines Trojani-schen Pferdes Zugang zu diesem System verschaffen wollte, könnte das Antivirenprogramm jedoch sehr wohl als taugliches Schutzprogramm agieren. Die Aktualität des Virenschutzprogramms kann jedoch mE keine entscheidende Rolle für die Qualifizierung als spezifische und grundsätzlich wirksame Sicherheitsvorkehrung sein, da es in der Na-tur der Sache liegt, dass bei neu auftretenden Schadprogrammen, de-ren Signatur bzw Muster des Programmcodes noch unbekannt ist, die Antivirensoftware-Hersteller stets der Aktualisierung der Virendefini-tionsdatensätze hinterher hinken. Vielmehr muss die Vorrichtung nur individuell für diese Art des Angriffs konzipiert sein. Auf eine grund-sätzliche Wirksamkeit der Sicherheitsmaßnahme wird jedoch idR ab-zustellen sein, zumal bei völliger Untauglichkeit nicht einmal von einer Überwindung gesprochen werden kann.