Vorbereitung und Versuch
Vorbereitung: Ausspähen, Abfangen
   und Sabotage
Passwörter und Sicherungscode
Computerprogramme
  Graubereich
Tathandlungen, tätige Reue
Organisationsverschulden
 

 
Eine Straftat versucht, wer nach seiner Vorstellung von der Tat zur Verwirklichung des Tatbestandes unmittelbar ansetzt, heißt es in § 22 StGB. Mit anderen Worten: Wenn der Täter meint, alles gemacht zu haben, um die Straftat zu verwirklichen, dann ist das Stadium des Versuchs erreicht.

Der Versuch ist nicht immer strafbar. Entweder es handelt sich um ein Verbrechen, das eine Strafe von mindestens 1 Jahr Freiheitsstrafe androht ( § 12 Abs. 1 StGB), dann ist der Versuch immer strafbar ( § 23 Abs. 1 StGB), oder das Gesetz muss die Strafbarkeit des Versuchs im Einzelfall anordnen (z.B. wegen der versuchten Sachbeschädigung, § 303 Abs. 3 StGB).

Vorbereitungen, die der Täter mit dem Bewusstsein macht, dass er auch noch weitere Handlungsschritte unternehmen muss, um die Tat durchzuführen, sind grundsätzlich noch nicht strafbar. Das gilt zum Beispiel für den Kauf eine Brecheisens als Einbruchswerkzeug oder für die Einrichtung einer Auslandsfirma, um sie später für Betrügereien oder Steuerhinterziehungen zu missbrauchen.

Besonders gefährliche Vorbereitungen kann der Gesetzgeber hingegen als strafbar erklären. So haben betrunkene Autofahrer nichts im Straßenverkehr zu suchen, weil sie sich, andere und wertvolle Sachgüter gefährden können. Die "Trunkenheit im Verkehr" ( § 316 StGB) ist ein anschauliches Beispiel dafür, dass bereits äußerst gefährliche Handlungen unter Strafe stehen, ohne dass ein Mitmensch wirklich in Gefahr geraten ist. Juristisch nennt man das ein abstraktes Gefährdungsdelikt. Allein der betrunkene Zustand des Autofahrers reicht, um ihn zu bestrafen.
 

 
Daneben stellen konkrete Gefährdungsdelikte das momentane Verhalten des Täters unter Strafe, weil er eine Gefährdung schafft, die andere nur durch Zufall oder durch ihre Geistesgegenwart abwenden können. Das gilt z.B. für die Straßenverkehrsgefährdung ( § 315c StGB), die den Autofahrer wegen seines bewusst wahrgenommenen Allgemeinzustandes (Krankheit, Rausch) oder seiner eklatanten Regelverstöße mit Strafe bedroht.

Schließlich gibt es noch die abstrakt-konkreten Gefährdungsdelikte (siehe strafbare Bombenbauanleitungen). Sie sind eine Variante der abstrakten Gefährdungsdelikte (und sollten auch als solche bezeichnet werden). Sie müssen darauf geprüft werden, ob sie im Einzelfall ein Rechtsgut gefährden, ohne dass tatsächlich ein Schaden nachgewiesen werden muss.

Ein (nicht optimales) Beispiel dafür: "Alle Beamten sind faul" ist eine dumme Äußerung und irgendwo in dem Bereich der Beleidigung anzusiedeln. Sie ist aber keine Volksverhetzung ( § 130 StGB).

Das soll heißen: abstrakt-konkrete Gefährdungsdelikte sind gelegentlich gefährlich, abstrakte Gefährdungsdelikte nahezu immer. Wegen der abstrakt-konkreten muss der Einzelfall in seiner Erscheinungsform geprüft werden.
 

 
Das Vorbereiten des Ausspähens und Abfangens von Daten nach § 202c StGB als abstraktes Gefährdungsdelikt (E 19) knüpft unmittelbar an die Tathandlungen in den §§ 202a und 202b StGB an. D.h. die strafbaren Vorbereitungshandlungen müssen deren Deliktsbereich betreffen. Mit dieser (objektivierten) Zweckbestimmung will der Gesetzgeber ausdrücklich eine Überkriminalisierung verhindern, wie es in dem Regierungsentwurf heißt (E 18).

Die Erklärung dessen, wogegen sich das Gesetz wendet, bleibt sehr abstrakt. Es soll sich um Vorrichtungen und Computerprogramme handeln, die in erster Linie dafür ausgelegt oder hergerichtet worden ist, bestimmte Computerstraftaten zu begehen (E 17). Erfasst werden insbesondere die so genannten Hacker-Tools, die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind, illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden können (E 17).

Man kann ahnen was gemeint ist. Unter Vorrichtungen würde ich jedenfalls technische Geräte wie Keylogger, Splitter, um Datenströme zu duplizieren, und Geräte zum Abfangen der elektromagnetischen Strahlung fassen. Für alle gibt es aber auch technisch sinnvolle Anwendungsbereiche.

Mit den Hackertools dürften Rootkits, die Spionageformen der Malware und die Steuersoftware für Botnetze gemeint sein. Auf sie werden wir noch einmal zurück kommen.

§ 202c StGB bestimmt die Vorbereitungshandlungen nicht abschließend. Auch § 303a Abs. 3 StGB und § 303b Abs. 5 StGB verweisen auf diese Vorschrift. Das bedeutet, dass der Anwendungsbereich der strafbaren Vorbereitungshandlungen auch die Datenveränderung und die Computersabotage betreffen.

Diese Weiterungen erleichtern ganz überwiegend die Rechtsanwendung, weil die Daten und Programme, die § 202c StGB benennt, häufig unspezifisch sind und für beide Hauptgruppen der IT-Kriminalität eingesetzt werden können.

04.09.2008: Darüber hinaus enthält auch § 263a Abs. 3 StGB eine vorverlagerte Strafbarkeit wegen Computerprogramme, deren Zweck der Computerbetrug ist (siehe vorverlagertes Hackerstrafrecht).

Nach den ausführlichen Ausführungen des Gesetzesentwurfes wider die Überkriminalisierung in Bezug auf § 202c StGB und seine strikte Begrenzung auf die Deliktsgruppen aus den §§ 202a, 202b StGB wirken die Gründe für die Erweiterungen auf die §§ 303a und 303b StGB äußerst knapp (E 19, E 23).
 

Die Verständlichkeit des § 202c StGB wird zusätzlich erschwert. Aus seinem Wortlaut selber ergibt sich kein Hinweis darauf, dass er auch für die Datenveränderung und die Computersabotage gilt.

Auch handwerklich ist das keine gute Gesetzessystematik. Querverweise sollten nur dort vorgenommen werden, wo die tatbestandliche Prüfung erfolgt. So ist es z.B. völlig in Ordnung, wenn wegen des Betruges § 263 Abs. 4 StGB auf die §§ 247 (Familiendiebstahl) und 248a StGB (Diebstahl geringwertiger Sachen) verweist, weil sich die Verweise aus der angewendeten Vorschrift über den Betrug ergeben.

Anders ist es wegen der hier erörterten Vorbereitungshandlungen. Sie sind selbständige Tatbestände und ihre Prüfung geht deshalb vom § 202c StGB aus, der aus sich selbst heraus geschlossen zu sein scheint. Ist er aber nicht, wie gesagt ...
 

 
§ 202c Abs. 1 Nr. 1 StGB betrifft Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten ( § 202a Abs. 2) ermöglichen.

Der Verweis auf § 202a Abs. 2 StGB stellt nur klar, dass es sich um Daten handeln muss. Gemeint sind nach dem ausdrücklichen Wortlaut und der Querverweise aber alle vier Varianten des Ausspähens und Abfangens einerseits sowie der Datenveränderung und der Computersabotage andererseits.

Der Regierungsentwurf spricht insoweit von Computerpasswörtern, ... Zugangscodes oder ähnliche Daten, die den Zugang zu einem Computersystem als Ganzem oder zu einem Teil davon ermöglichen (E 17). Gemeint sind also Kontodaten (Accounts) und z.B. Zugangssperren für Einzelkomponenten und administratorische Rechte. Sie umfassen nach der Neufassung des § 202a StGB sicherlich auch die ausgeschnüffelten Kontodaten für das Homebanking und andere Webdienste (Identitätsklau, Phishing, Man-in-the-Middle).
 

Wegen der Begriffe Sicherungs- und Zugangscodes fallen mir in erster Linie die von den Herstellern voreingestellten Masterkennwörter oder die Daten für Zugänge zur Fernwartung ein. Im übrigen dürfte es sich um ein offenes Tatbestandsmerkmal handeln, das auch bei künftigen Entwicklungen greift.

"Code" ist eine Aneinanderreihung von digitalen Zeichen. Mit "Sicherungscode" dürfte wegen des Sinnzusammenhangs - "Passwörter oder sonstige ..." - und der gesonderten Nennung der "Computerprogramme" in § 202c Abs. 1 Nr. 2 StGB nur passiver Code, nicht aber ausführbarer Source Code (Befehle und Programme) gemeint sein.

Praktische Schwierigkeiten werden die Wörterbücher bereiten, die für Brute-Force-Angriffe verwendet werden können. Neben Listen mit umgangssprachlichen Wörtern in englischer oder in anderen Sprachen kommen z.B. Namenslisten mit üblichen Vor- und Familiennamen zum Einsatz, die häufig in Kennwörtern verwendet werden. Hierzu lassen sich auch die Wörterbücher missbrauchen, die die gängigen Textverarbeitungsprogramme zur Prüfung der Rechtschreibung einsetzen. Damit wird sich jetzt die Rechtspraxis auseinander setzen müssen.
 

 
§ 202c Abs. 1 Nr. 2. StGB betrifft die Computerprogramme, die zum Ausspähen und Abfangen von Daten bestimmt sind.

Die gemeinten Programme müssen zum unbefugten Zugang zu Datenverarbeitungsanlagen als Ganze oder zu Teilen von ihnen dienen (E 17). Die angegriffenen Systeme müssen mit einem Zugangsschutz versehen sein, der ausdrücklich dem Schutz der verarbeiteten Daten und ihrer Speicherung dient (E 13). Nicht erfasst werden solche Zugangssicherungen, die allein die  missbräuchliche Nutzung von Hardware verhindern sollen (E 13); das gilt auch dann, wenn der Schutz von Daten ein reiner Nebeneffekt ist. Ausgeschlossen sind ausdrücklich solche Programme, die einen Kopierschutz umgehen sollen (E 13).

Die Ausnahmen machen die Eingrenzung nicht unbedingt leichter. Als weitere Ausnahme muss auch bedacht werden, dass die Systemanalyse im Auftrag des Inhabers ausdrücklich zulässig ist (E 14), so dass § 202c Abs. 1 Nr. 2. StGB nur solche Programme meinen darf, die nicht für die Systemanalyse, sondern nur für den Missbrauch bestimmt sind.

 
Verboten: Malware mit Spionagefunktionen ist von der Strafvorschrift sicher umfasst. Das dürfte auch für die Virenbaukästen gelten (Toolkits), die zum Malwarebau einladen, und für Rootkits, also die geschlossenen Programmsammlungen, die zum Einrichten von Hintertüren (Backdoors), getarnten Administratorenkonten und zur Tarnung des erfolgreichen Angriffs dienen.

Nicht verboten: Crackingprogramme gegen kopiergeschützte Komponenten und Datenträger sind nach der Begründung des Gesetzentwurfes nicht von dieser Strafvorschrift umfasst, sondern von § 108b Abs. 2 UrhG ( Cracking). Dasselbe gilt für ausdrückliche Systemkommandos (Ping) und -verwaltungsprogramme (Traceroute). Nicht verboten dürften auch die Bestandteile aus den Tool- und Rootkits sein, die ausdrücklich für die Systemanalyse und zur Erkennung von Sicherheitslücken bestimmt sind. Diese dürfen im Auftrag des Inhabers der Datenverarbeitungsanlage eingesetzt werden, so dass sie nicht prinzipiell als Hacker-Programme für Straftaten bestimmt sind.

Graubereich: Der (im Doppelsinne) Graubereich, der wegen der nicht verbotenen Programme angesprochen wurde, hat eine große Dimension.

Deutlich wird das bei der modularen Malware, wie sie bei den Botnetzen (und modernen Würmern) zum Einsatz kommt.

Der erste Schritt besteht in der Infiltration und der Installation der Malware. Spätestens bei der Installation werden Daten verändert, Systemdaten erforscht und missbraucht. Die Programmteile zur Installation sind somit verbotene Programme.

Die Besonderheit der modularen Malware besteht darin, dass sie je nach ihrer Programmierung beliebige Komponenten aus dem Internet nachinstallieren kann. Wird eine Konsole eingerichtet, so werden sicherlich Daten verändert. Ob allerdings allein das öffentliche Angebot des Moduls "Konsole" als Computerprogramm i.S.v. § 202c Abs. 1 Nr. 2. StGB betrachtet werden kann, bleibt fraglich. Ihren Ursprung haben die Komponenten der Botnetzsteuerung in der Verwaltung des Internet-Relay-Chats und der Softwareverteilung. Ihre Brisanz bekommen sie durch den kriminellen Einsatz.
 

Andere Botnetz-Komponenten bereiten noch viel größere Praxisprobleme. Um nach außen Kontakt aufnehmen zu können, muss die Botware einen FTP-Server installieren (Datenübertragung mit dem File Transfer Protocol). "Normalere" Programme gibt es kaum, sie werden von den meisten Betriebssystemen mitgeliefert und im Internet reihenweise angeboten. Trotz ihrer Allgemeingebräuchlichkeit sind FTP-Server-Programme eine unabdingbare Voraussetzung, um den Zombie als Konsole einzusetzen oder für Netzangriffe zu missbrauchen ( verteilte Angriffe, Man in the Middle).

Weitere Graubereiche werden sich in der Praxis zeigen. Ich vermute, dass die Zuordnung der strafbaren Vorbereitungshandlungen zur leichten Kriminalität und die aufgezeigten Bewertungsprobleme in der Praxis zu einer zurückhaltenden oder zu gar keiner Strafverfolgung führen werden. Diese Beurteilung wird noch verstärkt durch die fehlende personelle und fachliche Ausstattung der Strafverfolgungsbehörden.

 
Die Tathandlungen sind das Herstellen, das sich oder einem anderen Verschaffen, der Verkauft, die Überlassung, Verbreitung oder Zugänglichmachung der verbotenen Daten und Programme. Der Besitz ist nicht strafbar, nur geht dem Besitz in aller Regel ein Sichverschaffen voraus, wenn es sich dabei um einen willentlichen Akt handelt (Besitzerwerbswille, § 854 Abs. 1 Bürgerliches Gesetzbuch - BGB).

Vorbereitungshandlungen kennen keinen Rücktritt vom Versuch ( § 24 StGB). Deshalb verweist § 202c Abs. 2 StGB auf § 149 Abs. 2 und 3 StGB, um eine ähnliche Konstellation zu schaffen.
 

 
Zur Vervollständigung: Durch eine kleine Änderung in § 130 Abs. 1 S.1 Ordnungswidrigkeitengesetz - OWiG - will der Gesetzgeber das Organisationsverschulden wegen mangelnder Überwachung und Kontrolle erweitern (E 23). Es richtet sich gegen die Leitungspersonen in juristischen Personen (Kapitalgesellschaften, Körperschaften des öffentlichen Rechts) und greift dann ein, wenn die mangelhafte Kontrolle der Mitarbeiter und technischen Einrichtungen zur Begünstigung allgemeiner Straftaten geführt haben, mithin auch wegen der neuen Straftaten im IT-Strafrecht. Die Einschränkungen des § 30 OWiG gelten jedoch fort (E 24).