Digitaler Hausfriedensbruch

Seit dem Cyberangriff eines 20-jährigen Anfang des Jahres ist überall die Rede vom „digitalen Hausfriedensbruch“.

Immer wenn etwas Medienwirksames passiert, folgt die Forderung nach härteren strafrechtlichen Konsequenzen! In diesem Fall namentlich die Schaffung eines neuen Straftatbestandes: 

Der „digitale Hausfriedensbruch“.

Was war geschehen?

Anfang des Jahres 2019 überschlugen sich die Nachrichten über einen „Hackerangriff“, bei dem zahllose persönliche Informationen von Politikern und Prominenten im Netz landeten. Darunter: E-Mail-Adressen, Anschriften, Telefonnummern, Dokumente, Chatverläufe und private Fotos.

Ein junger Mann hatte die Daten zuletzt im Dezember 2018 Tag für Tag über seinen Twitter-Account veröffentlicht – wie bei einem Adventskalender.

Bei dem Vorfall ging es zunächst um das sogenannte „Doxing“ (auch: „Doxxing“). Damit ist das Zusammentragen und Veröffentlichen personenbezogener Daten im Internet gemeint. Viele dieser Daten sind frei im Netz verfügbar, und wurden legal gesammelt. Allerdings lassen sich die Daten auch auf illegalen Wegen ausspionieren.

Was ist ein „digitaler Hausfriedensbruch“?

Als „digitaler Hausfriedensbruch“ wird die unbefugte Benutzung informationstechnischer Systeme verstanden. Bildlich gesprochen, geht es also bspw. um den Sitznachbarn im Zug, der ungefragt das Smartphone oder den Laptop des Nachbarn benutzt.

Was zunächst absurd klingt, passiert massenhaft in der digitalen Welt.

40% aller Internetgeräte mit Schadsoftware verseucht

Im Gesetzesentwurf des Bundesrats (Drucksache 19/1716) ist davon die Rede, dass bis zu 40% aller internetfähigen informationstechnischen Systeme in Deutschland mit Schadsoftware verseucht sind.

Die betroffenen Systeme stellen potentielle Bots – also durch Dritte unerkannt fernsteuerbaren Computer – dar, ohne dass der betroffene Nutzer davon etwas mitbekommt. Die infizierten Geräte bilden zugleich eine der wichtigsten Täterinfrastrukturen im Bereich der Cyberkriminalität („Cyber Crime“). Die Nutzung reicht vom Versenden von Spam-Mails über die Verschleierung von Servern mit kriminellen Inhalten bis hin zu Betrugstaten beim Onlinebanking. Häufig wird die mittels Botnetzwerken gewonnene Rechenleistung zum Krypton-Mining genutzt.

Ein neuer Straftatbestand: Entwurf des Bundesrates

Ein neuer Straftatbestand muss her!

Es soll die unbefugte analoge wie digitale Nutzung von Daten unterbunden werden. Der Entwurf des Bundesrates liefert folgendes Beispiel zur Veranschaulichung:

Das Opfer befindet sich im öffentlichen Raum, z. B. in einem Zug. Um zu telefonieren, gibt es den PIN-Code zur Entsperrung seines Smartphones ein. Der Täter beobachtet das und merkt sich die PIN. Anschließend, nachdem das Opfer sein Smartphone wieder eingesteckt hat, gelingt es dem Täter, das Gerät – vom Opfer unbemerkt – an sich zu bringen und es mittels des PIN-Codes zu entsperren, um anschließend private oder auch geschäftliche Daten auszulesen oder Fotos zu betrachten. Danach steckt der Täter das Smartphone zurück in die Tasche des Opfers.

„Alter Wein in neuen Schläuchen“

Der geplante Straftatbestand des „digitalen Hausfriedensbruchs“ wurde dabei nicht spontan aus dem Hut des Bundesrates gezaubert, sondern ist vielmehr ein „alter Hut“.

Denn der selbe Entwurf wurde über das Bundesland Hessen bereits im Jahr 2016 eingebracht. Die Bundesregierung hatte dem Entwurf damals aus einer ganzen Reihe von Gründen eine Absage erteilt. Gleichwohl empfand auch die Bundesregierung zumindest die Zielrichtung lobenswert.

In Zeiten erneuter „Cyberangriffe“ scheint ein guter Zeitpunkt gegeben zu sein, eben jenen Entwurf für „Runde 2“ wieder ans Tageslicht zu befördern.

Lösung des Entwurfs

Als Lösung sollen die Rechtsgedanken des „klassischen“ Hausfriedensbruchs (§ 123 StGB) und des „unbefugten Gebrauchs von Fahrzeugen“ (§ 248b StGB) von der analogen in die digitale Welt übertragen werden. 

Zur Begründung heißt es: 

Mit der neuen Vorschrift soll die unbefugte Benutzung informationstechnischer Systeme unter Strafe gestellt werden. IT-Systeme sind mindestens ebenso schutzwürdig wie das Hausrecht und wie das ausschließliche Benutzungsrecht an Fahrzeugen. Derzeit sind sogar Fahrräder besser geschützt als Computer mit höchstpersönlichen Daten. Die Gefahr für die Allgemeinheit, die von unbefugt genutzten informationstechnischen Systemen ausgeht, ist, wie oben dargelegt, hoch.

Daher soll ein neuer § 202e StGB – „Unbefugte Benutzung informationstechnischer Systeme“ – in das Strafgesetzbuch eingefügt werden. Der erste Absatz zum digitalen Hausfriedensbruch soll folgendermaßen lauten: 

(1) Wer unbefugt

1. sich oder einem Dritten den Zugang zu einem informationstechnischen System verschafft,
2. ein informationstechnisches System in Gebrauch nimmt oder
3. einen Datenverarbeitungsvorgang oder einen informationstechnischen Ablauf auf einem informations- technischen System beeinflusst oder in Gang setzt,

wird mit Geldstrafe oder Freiheitsstrafe bis zu einem Jahr bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist. Die Tat nach Satz 1 ist nur strafbar, wenn sie geeignet ist, berechtigte Interessen eines anderen zu beeinträchtigen. 

In den folgenden Absätzen sind Begriffsbestimmungen, strafschärfende Qualifikationen sowie „besonders schwere Fälle“ vorgesehen.

(2) Mit Geldstrafe oder Freiheitsstrafe bis zu fünf Jahren wird bestraft, wer eine in Absatz 1 bezeichnete Handlung

1. gegen Entgelt oder

2. in der Absicht, sich oder einen Dritten zu bereichern oder einen Dritten zu schädigen,

begeht, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.

(3) In besonders schweren Fällen ist die Strafe Freiheitsstrafe von sechs Monaten bis zu zehn Jahren. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter

1. gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung von Strafta- ten unter Nutzung von informationstechnischen Systemen verbunden hat,

2. den Zugang zu einer großen Anzahl von informationstechnischen Systemen verschafft oder eine große Anzahl von informationstechnischen Systemen in Gebrauch nimmt oder eine große Anzahl von Daten- verarbeitungsvorgängen oder informationstechnischen Abläufen beeinflusst oder in Gang setzt oder

3. in der Absicht handelt,

a) eine Gefahr für die öffentliche Sicherheit,

b) eine gemeingefährliche Straftat oder

c) eine besonders schwere Straftat gegen die Umwelt nach § 330 herbeizuführen oder zu ermögli- chen.

(4) Handelt der Täter in der Absicht, einen Ausfall oder eine Beeinträchtigung der Funktionsfähigkeit kritischer Infrastrukturen zu bewirken, so ist die Strafe Freiheitsstrafe von einem Jahr bis zu zehn Jahren.

(5) Der Versuch ist strafbar.

(6) Im Sinne dieser Vorschrift ist 

1. informationstechnisches System nur ein solches, das

a) zur Verarbeitung personenbezogener Daten geeignet oder bestimmt ist oder

b) Teil einer Einrichtung oder Anlage ist, die wirtschaftlichen, öffentlichen, wissenschaftlichen, künstlerischen, gemeinnützigen oder sportlichen Zwecken dient oder die den Bereichen Energie, Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Versorgung, Haus- technik oder Haushaltstechnik angehört;

2. kritische Infrastruktur

eine Einrichtung, Anlage oder Teile davon, die

a) den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Ge- sundheit, Wasser, Ernährung oder Finanz- und Versicherungswesen angehören und

b) von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung ein erheblicher Versorgungsengpass oder eine Gefährdung für die öffentli- che Sicherheit eintreten würde.

(7) Ist in den Fällen der Absätze 1 und 2 ein Angehöriger, der Vormund oder der Betreuer verletzt oder lebt der Verletzte mit dem Täter in häuslicher Gemeinschaft, so wird die Tat nur auf Antrag verfolgt.“

Besteht eine Strafbarkeitslücke?

Es stellt sich die Frage, ob das Verhalten im obigen Beispiel nicht ohnehin bereits nach geltendem Recht strafbar ist, sodass es einer Gesetzesänderung nicht bedürfte. 

Zu denken wäre an jene Vorschriften, die als „IT-Strafrecht“ in das Strafgesetzbuch eingezogen sind und zuletzt vor gut 10 Jahren angepasst wurden.

In Betracht kommt insbesondere das Ausspähen von Daten gemäß § 202a StGB. 

(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

Im Entwurf wird mit Blick auf das Beispiel im Zug argumentiert, dass das Beobachten der Zahlenkombination und der anschließende Einsatz durch den Täter den Zugangsschutz bestimmungsgemäß aufhebe, so dass es am Überwinden der Zugangssicherung fehle. Eine Überwindung im Sinne von § 202a Absatz 1 StGB soll nämlich dann nicht gegeben sein, wenn nur noch ein unerheblicher technischer oder zeitlicher Aufwand erforderlich sei. 

Unabhängig von der Frage, ob man dem Zugbeispiel überhaupt mit den Mitteln des Strafrechts begegnen muss, ist schon fraglich, ob es im Beispiel tatsächlich an einem „Überwinden“ fehlt. 

Dass es sich bei dem PIN-Code um eine zu überwindende Zugangssicherung handelt, steht nicht in Abrede. Dabei kann es für das „Überwinden“ der Zugangssicherung keinen Unterschied machen, ob der Täter das Passwort zufällig kennt, schnell errät oder erst durch wiederholte Eingaben herausbekommt. 

Daneben scheint der digitale Hausfriedensbruch – wie sich auch dem Entwurf entnehmen lässt –  vor allem auch die Betreiber von Bot-Netzwerken ins Visier nehmen zu wollen. Also stellt sich auch hier die Frage, ob das „Infizieren“ fremder Rechner mit Software, um sodann mithilfe dieser Rechner ein Botnetz zu betreiben, nicht ohnehin bereits strafbar ist. 

Der missverstandene BGH 

Mit Blick auf Bot-Netzwerke kommt der § 202a StGB in Betracht. 

Auch im ersten Entwurf zum digitalen Hausfriedensbruch von 2016 beruft sich der Bundesrat auf hier vermeintlich bestehende Strafbarkeitslücken. Insbesondere wird sich auf eine Entscheidung des Bundesgerichtshofs (Beschluss vom 21.07.2015, 1 StR 16/15) berufen, wonach – so die Interpretation im Entwurf – Botnetze nicht dem § 202a StGB unterfallen sollen.

In besagtem Fall wurde eine Software mittels Trojaner auf den Rechnern Dritter installiert und ein beachtliches Botnetz aufgebaut, das u.a. dazu diente, bei Inaktivität des jeweiligen Computers ab 2 Minuten Bitcoins zu generieren. 

Im Entwurf heißt es dazu:

Eine jüngst ergangene Entscheidung des BGH (Beschluss vom 21.07.2015, 1 StR 16/15) belegt eindrucksvoll die Lückenhaftigkeit des derzeitigen Rechtsgüterschutzes und das Leerlaufen von § 202a StGB selbst in gravierenden Fällen. (…) Die Entscheidung verdeutlicht, dass die §§ 202a, 303a, 303b StGB in ihrer jetzigen Fassung bereits im Tatbestand untauglich sind, die heutigen Erscheinungsformen der Botnetzkriminalität wirkungsvoll zu bekämpfen. 

Im aktuellen Entwurf vom April 2019 wird diese Begründung wortgleich übernommen. Dabei wird allerdings völlig verkannt, dass der BGH keineswegs die Verwirklichung von § 202a StGB verneinte. In besagter Entscheidung hat der BGH der Vorinstanz lediglich Schlampigkeit hinsichtlich der notwendigen Feststellungen vorgeworfen und die Sache deshalb zur Neuverhandlung und -Entscheidung an das zuständige Landgericht zurückverwiesen. 

Nachdem erneut vor jenem Landgericht verhandelt und eine Entscheidung gefällt wurde, legte der Angeklagte Revision zum Bundesgerichtshof ein (BGH v. 27.07.2017 – 1 StR 412/16). Dieses Mal wurde der Schuldspruch im Wesentlichen bestätigt. Insbesondere an der Verurteilung wegen § 202a StGB hat der 1. Strafsenat nicht gerüttelt. Ein Hauptargument in der (aktuellen wie alten) Entwurfsbegründung scheint damit nicht nachvollziehbar. 

Strafbarkeit nach §§ 303a, 303b StGB

Daneben wird das Einrichten eines Bot-Netzwerkes auch regelmäßig den Tatbestand der Datenveränderung nach § 303a (und 303b) StGB erfüllen. 

Der BGH führte hierzu in vorgenannter Entscheidung folgendes aus: 

Durch die Datenveränderung wurde auf dem betroffenen Computersystem eine Verbindung zum Command-and-Control-Server über das Internet hergestellt, die vor dem Eingriff durch die Schadsoftware nicht stattgefunden hätte und auch nicht möglich gewesen wäre. 

Diese Internetverbindung wurde genutzt, um nach 120 Sekunden Inaktivität durch den Computersystemnutzer die Rechnerleistung von dessen Grafikkarte für die Rechenoperationen zu nutzen, die dem Schürfen der Bitcoins dienten. Durch die Nutzung der Rechenleistung erwarb der Angeklagte auch nicht lediglich eine Chance zum Schürfen von Bitcoins, die er erst später realisierte (vgl. hierzu BGH, Urteil vom 21. März 2002 – 5 StR 138/01, BGHSt 47, 260 [269 f.]). Vielmehr flossen ihm die 1.816 Bitcoins ohne jeden weiteren Zwischenschritt, mithin unmittelbar durch die – während der Nutzung der fremden Rechnerkapazitäten – andauernde Verwirklichung des Tatbestandes der Datenveränderung gemäß § 303a Abs. 1 StGB zu.

Fazit

Das Gesetz vermag sich oft schwer tun, mit aktuellen technischen Entwicklungen mitzuhalten. Das gilt insbesondere für rasante Bewegungen im digitalen Bereich. Beim Entwurf der derzeit gültigen Vorschriften des Cyberstrafrechts hatte man wohl nicht unbedingt das obige Beispiel aus dem Zug, noch Bitcoin generierende Botnetze oder den jüngsten „Cyberangriff“ auf Prominente und Politiker vor Augen. Dennoch bieten die aktuellen Strafvorschriften einen adäquaten Schutz. 

Hürden wie die „Überwindung einer Zugangssicherung“ in § 202a StGB wurden bewusst platziert um ein Ausufern der Strafbarkeit auf Alltagsverhalten zu vermeiden. Echte Strafbarkeitslücken lassen sich bei den Fällen von „digitalem Hausfriedensbruch“ also kaum erkennen. 

Bei Fällen von Doxing, wie bei der genannten Veröffentlichung privater Informationen von Politikern und Prominenten wäre zudem an Straftatbestände aus dem Bundesdatenschutzgesetz (insbesondere § 42 BDSG) zu denken. 

Der Entwurf zu § 202e StGB erscheint daher schon mangels der behaupteten Strafbarkeits-Lücken unnötig. Mit dem Verzicht auf Hürden – wie sie noch in § 202a StGB vorgesehen sind – ist dann auch eben jene Ausuferung der Strafbarkeit zu befürchten, die gerade verhindert werden sollte. Es bleibt zu hoffen, dass der digitale Hausfriedensbruch in Form des derzeitigen Entwurfs genau wie dessen Vorgänger sang und klanglos abtaucht. 

Kontakt zur Kanzlei

Sie können uns gern über unser Kontaktformular kontaktieren. Um eine rasche Bearbeitung Ihres Anliegens zu gewährleisten, haben Sie hier auch die Möglichkeit, Ihre Unterlagen als Upload an uns zu senden.