Schutz der informationstechnischen Infrastruktur

einem Eingriff verbunden, so dass § 303 Abs. 1 StGB bezüglich des Datenträgers neben

§ 303a Abs. 1 StGB bezüglich der auf dem Datenträger gespeicherten Daten treten würde (Stree & Hecker, 2010, § 303a Rdn. 25 m.w.N.) Beschädigt wäre ein Datenträger freilich nur bei Veränderung darauf gespeicherter Daten; das bloße Hinzufügen von Daten – und in weiterer Konsequenz wohl auch die hierfür notwendige, unerhebliche Veränderung von Metadaten – ist nicht tatbestandsmäßig.

Schutz der Funktionsfähigkeit

Datenveränderung Die informationstechnische Funktionsfähigkeit eines informa-tionstechnischen System steht und fällt mit der Integrität der Daten. Aus der soeben aufgezeigten Unsicherheit betreffend des strafrechtlichen Schutzes der Daten erklärt sich die Einführung des Straftatbestandes der Datenveränderung, § 303a Abs. 1 StGB. Dessen Tatobjekt sind Daten in ihrer konkreten Form, über die der Täter keine Verfügungsberechti-gung hat. Diese sind gelöscht, wenn sie unwiederbringlich und vollständig unkenntlich gemacht wurden. Die typischen Löschfunktionen des Betriebssystems bewirken hingegen nur ein – ebenso tatbestandsmäßiges – Unterdrücken von Daten. Sie sind unbrauchbar ge-macht, wenn sie in ihrer Gebrauchsfähigkeit beeinträchtigt sind, und schließlich verändert, wenn deren Informations- oder Aussagegehalt nunmehr ein anderer ist.

Zwei Einschränkungen der Strafbarkeit sind jedoch bedeutsam: Erstens sind auch hier, äquivalent zur Sachbeschädigung, ganz unerhebliche Verletzungshandlungen aus dem Tatbestand auszuschließen, wenn etwa der Originalzustand ohne nennenswerten Aufwand aus einer Sicherungskopie rekonstruiert werden kann (Hilgendorf, 2009, § 303a Rdn. 8).

Zweitens ist das bloße Kopieren von Daten und nachfolgende Veränderungen der Kopie nicht tatbestandsmäßig: Als Skribent der Kopie ist der Kopierende insoweit verfügungs-berechtigt (Fischer, 2011, § 303a Rdn. 12; Malek, 2005, Rdn. 177) Ebenso nicht erfasst ist das Hinzufügen von Daten, soweit hierdurch keine anderen Daten unbrauchbar, verän-dert, unterdrückt oder gar gelöscht werden (Fischer, 2011, § 303a Rdn. 12; Hilgendorf, 2009, § 303a Rdn. 11; Hilgendorf et al., 2005, Rdn. 201 f.; a.A. wohl M. Gercke &

Brunst, 2009, Rdn. 130). Das schlichte Hinzufügen eines Programms oder einer Datei auf einen Datenträger ist daher nicht tatbestandsmäßig, auch nicht im Hinblick auf die notwendige Veränderung der Metadaten auf Dateisystemebene, da es insoweit an jeglicher Erheblichkeit mangelt.

Computersabotage Als Tat- bzw. Angriffsobjekt setzt der Straftatbestand der Compu-tersabotage (§ 303b Abs. 1 StGB) eine Datenverarbeitung voraus, die für einen anderen objektiv von wesentlicher Bedeutung ist. Datenverarbeitung sind alle Vorgänge, bei denen Daten unter Zuhilfenahme informationstechnischer Systeme erfasst, aufbereitet, umge-wandelt oder bearbeitet werden. Für eine Strafbarkeit nach § 303b Abs. 1 StGB ist ferner erforderlich, dass der Täter die Datenverarbeitung nicht nur unerheblich beeinträchtigt, also gestört hat. An die Erheblichkeit können vergleichbare Anforderungen wie bei

§§ 303, 303a Abs. 1 StGB gestellt werden, so dass etwa bei ohne weiteren Aufwand verfügbaren Sicherheitskopien oder bei einer nur kurzzeitigen Nichterreichbarkeit einer Internetpräsenz der Taterfolg zu verneinen ist. Diese Störung wiederum muss durch eine der folgenden drei Varianten herbeigeführt worden sein:

• Der Täter hat eine Datenveränderung i.S.d. § 303a Abs. 1 StGB begangen,

• er hat Daten am informationstechnischen System eingegeben oder an dieses über-mittelt, und hatte dabei die Absicht, jemanden einen Nachteil zuzufügen, oder

• er hat eine Manipulation an der Hardware vorgenommen, etwa durch eine Sach-beschädigung, aber auch durch bloße Unterbrechung der Stromzufuhr.

Vorbereitungsdelikte

Die Kriminalisierung verschiedener Vorbereitungsdelikte der Cyberkriminalität in den

§§ 263a Abs. 3, 202c StGB, letzteres auch i.V.m. §§ 303a Abs. 3, 303b Abs. 5 StGB, stößt im Wesentlichen aus zwei Gründen auf rechtspolitische Kritik: Einerseits wird die – auch generell – zunehmende Tendenz des Gesetzgebers in Frage gestellt, bereits im Vorfeld signifikanter Rechtsverletzungen mit den Mitteln des Strafrechts einzugreifen (Herzog, 1991; Završnik, 2010). Besonders pikant sei dieser Auffassung zufolge etwa, dass bestimmte Vorbereitungshandlungen zu einem Ausspähen oder Abfangen von Daten gemäß § 202c StGB unter Strafe stünden, nicht jedoch der – in zeitlich näherer Folge zur Rechtsverletzung liegende – Versuch dieser Delikte (Gröseling & Höfinger, 2007, S. 628 ff.; Schumann, 2007, S. 679).

Andererseits aber ist problematisch, dass viele Programme, die zu strafrechtswidrigen Zwecken eingesetzt werden und daher vom Anwendungsbereich dieser Strafnormen erfasst sein können, auch höchst nützliche Dienste bereitstellen, um Sicherheitslücken in IT-Systemen aufzudecken. Doch selbst vermeintlich »eindeutige« Fälle schädlicher Programme finden unter IT-Sicherheitsexperten und nunmehr auch von staatlicher Seite – Stichwort: Online-Durchsuchung informationstechnischer Systeme – Verwendung. Die Vorbereitungsdelikte werden daher als einengende Kriminalisierung legitimer Verhaltens-weisen verstanden (vgl. Borges, Stuckenberg & Wegener, 2007; Böhlke & Yilmaz, 2008;

Cornelius, 2007; I. M. Hassemer & Ingeberg, 2008).

Diese Vorbereitungsdelikte knüpfen in einer Variante an Computerprogramme an, »deren Zweck die Begehung« einer folgender, bereits oben beschriebener Straftaten ist:

• Aussphähen von Daten (§ 202a Abs. 1 StGB),

• Abfangen von Daten (§ 202b StGB),

• Computerbetrug (§ 263a Abs. 1 StGB),

• Datenveränderung (§ 303a Abs. 1 StGB), und

• Computersabotage (§ 303b Abs. 1 StGB).

Die Tathandlungen betreffend Computerprogramme unterscheiden sich zwischen der Vorbereitung eines Computerbetrugs und den anderen Vorbereitungstatbeständen nur marginal und ohne große praktische Relevanz; eine Anpassung des § 263a Abs. 3 StGB an den Wortlaut des § 202c Abs. 1 Nr. 2 StGB sei aber angeregt (so schon oben 7.3.4., S. 107). Strafbar macht sich jedenfalls, wer solche Programme herstellt oder sich oder einem anderen verschafft, d.h. wenn der Täter, oder ein Dritter, die Verfügungsmacht – also die uneingeschränkte Nutzungsmöglichkeit – über ein Tatobjekt erlangt.

Schwierigkeiten bereitet nun aber der subjektive Tatbestand: Wie weitgehend muss der Täter bei der Herstellung oder bei dem Download eines solchen Programms bereits eine spätere Straftat konkretisiert haben? Einigkeit besteht dahingehend, dass diese wenigstens in ihren wesentlichen Umrissen feststehen muss (BVerfG ZUM 2009, 745, 750; Fischer, 2011, § 202c Rdn. 8 i.V.m. § 194 Rdn. 5; § 149 Rdn. 5; Hilgendorf, 2010b, § 202c Rdn. 28; Gröseling & Höfinger, 2007, S. 629). Ob darüber hinaus auch Wissentlichkeit oder Absicht vorliegen muss, ist umstritten und wird bisweilen auch trotz identischem Wortlaut bei § 202c Abs. 1 Nr. 2 StGB und § 263a Abs. 3 StGB unterschiedlich gesehen (so M. Gercke & Brunst, 2009, Rdn. 124 ff. entgegen Rdn. 196); das Bundesverfas-sungsgericht hat diese Frage noch offen gelassen (BVerfG ZUM 2009, 745). Sie hat aber bereits deswegen geringe praktische Bedeutung, weil nach dieser Rechtsprechung des Bundesverfassungsgerichts die Hürden an die Annahme eines tauglichen Tatobjekts hoch zu setzen sind: Ein Programm verfolge nur dann einen illegitimen Zweck im Sinne der Vorschriften, wenn es »mit der Absicht entwickelt oder modifiziert« wurde, es zur Bege-hung solcher Straften einzusetzen; diese Absicht müsse »sich ferner objektiv manifestiert haben« (BVerfG ZUM 2009, 745, 749 f.; krit. hierzu Höfinger, 2009; s. ferner Hornung, 2009; Popp, 2008; Stuckenberg, 2010). Wünschenswert wäre jedoch gleichwohl eine normative Klarstellung in §§ 202c, 263a StGB und auch in §§ 108b UrhG, 4 ZKDSG, wie sie auch an anderer Stelle im StGB zu finden ist (so auch Holzner, 2009):

(2) § 149 Abs. 2 und 3 gilt entsprechend.Absatz 1 ist nicht anzuwenden, wenn die Handlung der Wissenschaft, der Forschung oder der Lehre oder der Erfüllung rechtmäßiger beruflicher oder dienstlicher Pflichten dient.

§ 202c Abs. 1 Nr. 1 StGB stellt auch das Verschaffen von Passwörtern und Sicherungsco-des zur Vorbereitung einer Straftat nach §§ 202a, 202b StGB – und auch §§ 303a, 303b StGB – unter Strafe. Auf das fehlende Äquivalent bei § 263a Abs. 3 StGB und auf die praktischen Konsequenzen wurde bereits oben 7.3.4., S. 107 hingewiesen.

Angriffsmethoden

Viren, Trojaner und Würmer Die Herstellung, der Download, der Besitz und auch die Verwendung von Schadsoftware als solcher unterfällt daher nicht einem bestimmten Straf-tatbestand. Statt dessen ist zu differenzieren; hierbei zeigt sich, dass Strafbarkeitslücken nicht bestehen (s. auch Eichelberger, 2004; Ernst, 2003):

• Wird eine auf einem fremden Rechner installierte Schadsoftwareverwendet, etwa – um heimlich Bild- oder Tonaufnahmen,

– um auf einen anderen Rechner und dort gespeicherte, gesicherte Daten zuzu-greifen – hier reicht die bloße Möglichkeit zur Verwendung aus –,

– um Daten zu löschen oder zu unterdrücken, oder

– um hierdurch auf dritte Computersysteme schädigend und in Nachteilszu-fügungsabsicht zuzugreifen,

so begeht der Täter hierdurch jeweils ohne Weiteres eine der bereits aufgezeigten Straftaten – § 201, 201a, 202a, 303a oder 303b StGB.

• Wird eine Schadsoftware auf einen fremden Rechneraufgespielt, so kommt es auf die konkrete technische Vorgehensweise an. In aller Regel erfolgt wenigstens zwi-schenzeitlich eine Veränderung von anderer Software, etwa durch das Ausnutzen einer Sicherheitslücke und dem Einschleusen veränderter Programmanweisungen.

In all diesen Fällen liegt bei diesem Zwischenschritt eine strafbare Datenverände-rung gemäß § 303a Abs 1 StGB vor (vgl. auch Hilgendorf et al., 2005, Rdn. 202).

Ob in den übrigen, wenigen und eher theoretischen Fällen eine Straftat gemäß

§ 303b Abs. 1 Nr. 2 StGB vorliegt (in diese Richtung Weidemann, 2010, § 303b Rdn. 10), oder ob dieser Zwischenschritt im Einzelfall straflos sein könnte, bedarf noch weiterer rechtswissenschaftlicher Klärung.

• Wird eine entsprechende Schadsoftware – mit den aufgezeigten objektiven und subjektiven Anforderungen –hergestelltoderverschafft, so macht sich der Täter bereits hierdurch gemäß § 202c Abs. 1 StGB, ggf. i.V.m. §§ 303a Abs. 3, 303b Abs. 5 StGB strafbar.

Spam Der Versand von unerwünschten E-Mails (Spam), der zumeist kommerziell moti-viert ist, unterliegt als solcher keinem strafrechtlichen Verbot. Anderes gilt freilich, soweit der Inhalt einer E-Mails einem strafrechtlichen Verbot unterliegt, so etwa, wenn hierdurch unerwünschte Bilder pornographischen Inhalts (§ 184 Abs. 1 Nr. 6 StGB) oder kinderpor-nographische Bilddateien (§ 184b Abs. 2 StGB) versandt oder Schadsoftware verbreitet wird. Je nach Tatkonstellation kann allerdings eine Fälschung beweiserheblicher Daten gemäß § 269 Abs. 1 StGB oder auch eine Verletzung urheber- und markenrechtlicher Strafbestimmungen vorliegen (vgl. grundlegend Frank, 2004).

Im Kern handelt es sich aber bei Spam um eine bloß lästige Angelegenheit, der durch zivil- und auch ordnungsrechtliche (vgl. etwa § 6 Abs. 2 TMG) Maßnahmen begegnet werden kann. Soweit keine weiteren Schädigungen erfolgen ist ein Einsatz des Strafrechts nicht erforderlich; legislativer Änderungsbedarf ist daher derzeit nicht gegeben.

Denial-of-Service-Attacken Bei einer Denial-of-Service-Attacke wird ein – zumeist netzwerkbasiertes – informationstechnisches System durch eine geschickte oder massen-hafte Dateneingabe derart überlastet, dass es auf weitere (legitime) Anfragen nicht mehr reagiert.

Einer Literaturauffassung zufolge liege hierdurch eine Datenunterdrückung vor, die be-reits von § 303a Abs. 1 StGB erfasst werde (so M. Gercke & Brunst, 2009, Rdn. 130 m.w.N.). Dies überzeugt jedoch nicht: Nicht die Daten als solche werden unterdrückt, sondern es wird nur einer von mehreren Zugangswegen blockiert. Richtigerweise stellt daher die vorherrschende Auffassung in der Literatur auf § 303b Abs. 1 Nr. 2 StGB ab (Hilgendorf, 2009, § 303b Rdn. 10), der neben der Eingabe oder Übermittlung von Daten auch erfordert, dass es sich um eine Datenverarbeitung handelt, die für einen anderen von wesentlicher Bedeutung ist – was bei typischen Angriffszielen, etwa Internetauftritten von Unternehmen, aber in aller Regel gegeben ist. Ferner ist die Absicht des Täters erfor-derlich, dem Opfer einen Nachteil hinzuzufügen. Nach nicht unumstrittener Auffassung fehlt es hieran auch, wenn es sich um eine – nach Art. 5 Abs. 1 GG schützenswerte – konzertierte Meinungsäußerung (»Online-Demonstration«) handelt. Dem ist jedenfalls dann zuzustimmen, wenn es sich – vergleichbar »Offline-Demonstrationen« – nur um eine temporäre (etwa bloß wenige Stunden andauernde) Aktion handelt, andernfalls das Recht der Meinungsäußerung in rechtsmissbräuchlicher Weise ausgeübt würde (s. zu alledem auch BT-Drucks. 16/5449; OLG Frankfurt a.M. StV 2007, 244; sowie Kelker, 2009; Wolff, 2008, § 303b Rdn. 29).