Unnötig, ungeeignet, unbestimmt - der Entwurf eines neuen Straftatbestandes zur Bekämpfung von Botnetzen verkörpert so ziemlich alles, was falsch läuft in der Strafgesetzgebung, findet Ulf Buermeyer.
Computer-Viren haben sich zu einem Massen-Phänomen entwickelt. Dabei sind die Schädlinge, die sich bemerkbar machen, nur die Spitze des Eisbergs: Die meisten Infektionen laufen im Verborgenen ab. Denn sie verfolgen allein den Zweck, das befallene System zum Teil eines sogenannten Bot-Netzes zu machen: einer Schattenarmee ferngesteuerter Rechner, die sich für Straftaten einsetzen lassen.
Als besonders sozialschädlich erweist sich dabei, dass solche Botnetze längst nicht mehr nur von denjenigen für kriminelle Zwecke eingesetzt werden, die die Infektion der Rechner verursacht haben. Überwiegend missbrauchen inzwischen Dritte sie für ihre Straftaten, indem sie die Netze gleichsam "mieten": Botnet as a Service.
Die Problematik hat auch das Land Hessen erkannt und einen Entwurf zu ihrer Bekämpfung in den Bundesrat eingebracht. Doch der darin vorgesehene neue § 202e Strafgesetzbuch (StGB) ("Unbefugte Benutzung informationstechnischer Systeme") ist missraten: Er schließt virtuelle Lücken des IT-Strafrechts, ist dabei aber so vage formuliert, dass er eine unkalkulierbare Kriminalisierung alltäglichen Verhaltens mit sich bringen würde. Außerdem lenkt die Fixierung auf das Strafrecht ab von naheliegenden Maßnahmen, die tatsächlich etwas zur Verbesserung der IT-Sicherheit beitragen könnten.
Programmieren, infizieren, kontrollieren: Alles schon strafbar
Um das zu verstehen, muss man zunächst wissen, wie Botnetze zustande kommen: Zunächst wird eine spezialisierte Schad-Software ("Trojaner") geschrieben. Mit dieser Software werden möglichst viele Zielsysteme infiziert. Dann nehmen die aktiven Trojaner über das Internet Kontakt zu Kontroll-Systemen auf (sog. Command-and-Control-Server oder kurz CC-Server). Schließlich erhalten die "Bots", also die infizierten Rechner, über die CC-Server Befehle, bestimmte Aufgaben auszuführen. Eine Differenzierung dieser einzelnen Arbeitsschritte nehmen die Verfasser des Entwurfs nicht vor; dementsprechend entgeht ihnen auch, dass viele davon schon heute strafbar sind:
- Soweit ein Trojaner in ein Zielsystem eindringt, werden zumindest Daten im Hauptspeicher des Systems, in aller Regel aber auch auf den dauerhaften Speichern (etwa auf den Festplatten) verändert (entgegen der Einschätzung des Entwurfs beides strafbar gemäß § 303a Abs. 1 StGB), weil der Trojaner sonst nicht ausgeführt werden kann bzw. einen Neustart des Systems nicht überstehen würde.
- Durch die Infektion mit einem Trojaner verschaffen sich die Täter Zugang zu nicht für sie bestimmten Daten (nämlich allen Daten des Wirtssystems), was jedenfalls typischerweise auch unter Überwindung von Zugangssicherungen erfolgen wird (strafbar gem. § 202a Abs. 1 StGB), nämlich unter Ausnutzung von Sicherheitslücken der eingesetzten Software.
- Angesichts der Strafbarkeit der Infektion gem. §§ 202a, 303a StGB stellt sich bereits die Software-Entwicklung von Trojanern als eigenständige Straftat gem. § 202c Abs. 1 StGB (Vorbereiten des Ausspähens und Abfangens von Daten) dar, jedenfalls soweit die Entwickler sich des Einsatzzwecks der Software bewusst waren.
- Schließlich werden die Botnetze selbst regelmäßig zu Zwecken eingesetzt, die ihrerseits strafbar sind, etwa gemäß §§ 303a, 303b StGB bei sogenannten DDoS (distributed denial of service) Attacken. In jüngster Zeit erlangen außerdem Erpressungen (§ 253 Abs. 1 StGB) durch Einsatz sogenannter Crypto-Trojaner an Bedeutung, die Daten auf der Festplatte verschlüsseln (§ 303a Abs. 1 StGB) und den Schlüssel nur gegen Zahlung eines "Lösegeldes" herausgeben.
Die dem Gesetzentwurf zugrundeliegende Einschätzung, das Betreiben und Nutzen von Botnetzen sei zur Zeit oft nicht strafbar, ist daher kaum nachzuvollziehen.
Strafverfolgung scheitert an der Praxis, nicht am Recht
Zur mangelnden Notwendigkeit des neuen Tatbestandes tritt seine absehbare Wirkungslosigkeit. Denn ebenso wie bei den bereits bestehenden IT-Strafvorschriften wird eine Verfolgung oft an praktischen Hindernissen scheitern: Trojaner werden meist per eMail-Anhang oder durch präparierte Internet-Seiten verbreitet, deren Aufruf schon zur Infektion führt. Täter und Geschädigte treten nie in unmittelbaren Kontakt, sodass es keine Ermittlungsansätze gibt. Sowohl die Absender der eMails als auch die Betreiber der infektiösen Internet-Seiten sind kaum zu ermitteln, weil sie ausgefeilte Methoden zur Anonymisierung nutzen. Botnetze werden außerdem typischerweise in internationaler Arbeitsteilung betrieben, d.h. wenn ausnahmsweise doch einmal Ermittlungsansätze vorliegen, so führen diese ins Ausland und machen komplexe Rechtshilfeverfahren notwendig. Die Strafverfolgung scheitert daher meist schon am Fehlen jedes Anhalts zur Ermittlung eines möglichen Tatverdächtigen. Spätestens aber die Komplexität der transnationalen Strafverfolgung führt dazu, dass die allermeisten Verfahren im Sande verlaufen.
Angesichts dessen verblassen etwaige Defizite der materiellen Rechtslage gegenüber den praktischen Problemen der Strafverfolgung: Änderungen des Strafrechts werden an den Schwächen der praktischen Rechtsdurchsetzung kaum etwas ändern können.
Software-Sicherheit als eigentliches Problem
Die formelhafte Angabe "Alternativen: keine" im Gesetzentwurf kann daher nur als zynisch bezeichnet werden: Wer sich tatsächlich der Aufgabe stellen möchte, Botnetze zu bekämpfen, muss gerade Alternativen zum Strafrecht in den Blick nehmen.
Dabei könnte die technische Unsicherheit vieler Programme und Geräte einen Ansatzpunkt bilden: Ohne "Wirts-Systeme" mit Programmierfehlern gäbe es keine Botnetze. Nun ist Software-Sicherheit nicht vom Gesetzgeber zu dekretieren. Er kann aber die richtigen Anreize setzen. Zu denken wäre an Preisgelder für gefundene Sicherheitslücken (sog. "bug bounty"-Programme), die einige Software-Hersteller bereits mit Erfolg einsetzen.
Wesentlichen Einfluss dürfte eine verschärfte IT-Produkthaftung haben. Bisher bleibt es für Hersteller meist ohne spürbare Konsequenzen, wenn ihre Produkte Sicherheitslücken aufweisen. Daher gibt es nur einen schwachen Anreiz, bei der Entwicklung ein Augenmerk auf die Sicherheit zu legen. Umso weniger lohnt es sich bisher, Sicherheitslücken in bereits verkauften Systemen zu schließen. Hier könnte eine zivilrechtliche Haftung nach dem Vorbild des Produkthaftungsgesetzes segensreich wirken: Wäre Sicherheit auch ökonomisch geboten, so würden sich die Prioritäten bei der Software-Entwicklung deutlich verschieben. Eine Pleitewelle wäre gleichwohl nicht zu befürchten, denn Hersteller (bzw. Importeure) würden sich gegen drohende Risiken versichern. Dies wiederum würde einen Markt schaffen, der über die Höhe der Prämien für IT-Haftpflicht-Versicherungen best practices für IT-Sicherheit herausbilden und durchsetzen würde. Beweisprobleme einzelner Geschädigter könnten durch Vermutungen für pauschalierte Mindest-Schadenshöhen gemindert werden.
2/2: Bedenkliche Weite des vorgeschlagenen Tatbestandes
Nach dem bisher Gesagten wäre der Entwurf nur weitestgehend unnütz. Geradezu schädlich wird er durch die in ihm angelegten Kollateralstrafbarkeiten, die Ressourcen bei Polizei und Justiz vergeuden und Bürgerinnen und Bürger mit kriminalpolitisch überflüssigen Strafverfahren belasten würden.
Wie die Entwurfsverfasser selbst einräumen ist der vorgeschlagene Tatbestand nur schwach konturiert: "Es wird nicht verkannt, dass die Regelung des Absatzes 1 einen weiten Anwendungsbereich hat." Zentrale Schwäche des Entwurfs ist dabei, dass die im Zentrum der Begründung stehende Bekämpfung der Botnetz-Kriminalität gerade nicht als Leitlinie bei der Abfassung des Tatbestandes zugrunde gelegt wurde. Fast scheint es, als müsste die Bekämpfung der Botnetz-Kriminalität als Vorwand herhalten, um eine ganz andere kriminalpolitische Agenda zu verfolgen.
Strafbar soll nämlich bereits das bloße Verschaffen des Zugangs zu einem informationstechnischen System sein (Abs. 1 Nr. 1), ebenso das In-Gebrauch-Nehmen eines solchen Systems (Nr. 2) sowie das reine Beeinflussen oder In-Gang-Setzen eines Datenverarbeitungsvorgangs auf einem solchen System (Nr. 3). Diese Formulierung des Tatbestands stellt de facto jeden "unbefugten" Umgang mit einem informationstechnischen System unter Strafe, sofern dieser Umgang nur "geeignet" ist, "berechtigte Interessen" (welche?) eines anderen zu "beeinträchtigen" (wie?).
Dem liegt wohl die Vorstellung zugrunde, dass es sich bei einem informationstechnischen System um einen PC auf dem Schreibtisch handele. Angesichts der Allgegenwart der EDV berühren aber die meisten alltäglichen Vorgänge inzwischen IT-Systeme. Daher stellt die vorgeschlagene Fassung des Tatbestandes eine völlig unüberschaubare Vielfalt von Verhaltensweisen unter Strafe, die nichts mit "Cybercrime" und Botnetzen zu tun haben.
Eines aus einer unüberschaubaren Zahl denkbarer Beispiele:
A verbringt eine Nacht im Apartment des abwesenden B, eines befreundeten Pfarrers. Obwohl der B ihm eingeschärft hat, nicht den Fernseher zu benutzen, greift A zur Fernbedienung des SmartTV (Internet-Fernsehgerät) und schaltet das Gerät ein. Dabei wird automatisch das zuletzt wiedergegebene Programm gezeigt. Auf dem Bildschirm erscheinen Szenen eines Pornos mit Fesselung und Auspeitschen.
Dies wäre wohl strafbar gemäß § 202e Abs. 1 Nr. 1 StGB-E, denn A hat sich durch das Bedienen der Fernbedienung Zugang zu dem informationstechnischen System Smart-TV verschafft (Abs. 1 Nr. 1); außerdem dürfte Abs. 1 Nr. 2 erfüllt sein (in Gebrauch nehmen). Das Handeln des A ist auch "geeignet", "berechtigte Interessen" des B zu beeinträchtigen, denn dessen moralische Integrität und damit dessen berufliche Situation würde durch das Bekanntwerden seiner sexuellen Neigungen möglicherweise in Frage gestellt. Ob solche nichtwirtschaftlichen Interessen ausreichen, lässt der Tatbestand im Dunkeln; er ist jedenfalls nicht als Vermögensstraftat konzipiert, sodass eine teleologische Reduktion keinesfalls zwingend wäre. Das SmartTV ist auch informationstechnisches System gem. § 202e Abs. 6 Nr. 1 a) wegen Verarbeitung personenbezogener Daten: Hierunter fällt nach kaum noch bestrittener Ansicht im Datenschutzrecht auch eine IP-Adresse. Ohne eine IP-Adresse funktioniert ein SmartTV aber nicht, sodass es zu deren Verarbeitung "bestimmt" ist. Außerdem nutzen SmartTVs oft auch individuelle Benutzerkonten. Denkbar wäre auch, dass es sich um ein Gerät der "Haushaltstechnik" gem. Nr. 1 b) a. E. handelt.
Man mag über Details streiten – jedenfalls aber macht das Beispiel deutlich, dass der Tatbestand bedenklich weit geraten ist und Fälle erfasst, die weder mit "Cybercrime" noch überhaupt mit strafwürdigem Verhalten irgendetwas zu tun haben. Solche Fälle auszuscheiden kann der Gesetzgeber nicht der Justiz aufbürden, die sie etwa nach Opportunitätsgesichtspunkten einstellen könne. Es ist vielmehr seine Aufgabe, Tatbestände so abzufassen, dass sie ausschließlich strafwürdiges Verhalten umschreiben. Zugleich illustrieren die Beispielsfälle die Unschärfe des Tatbestands, der die zentrale Funktion strafrechtlicher Normen nicht erfüllt, in eindeutiger Weise Strafbares von Straflosem zu scheiden (sog. Garantiefunktion, Art. 103 Abs. 2 Grundgesetz). Vor diesem Hintergrund dürfte die Norm in ihrer gegenwärtigen Form verfassungsrechtlich kaum haltbar sein.
Naheliegende Alternativen
Sofern der Gesetzgeber angesichts der allenfalls minimalen Strafbarkeitslücken überhaupt Anlass zum Handeln sehen sollte, so könnte er an eine Ergänzung des § 202c StGB (Vorbereiten des Ausspähens und Abfangens von Daten – sog. "Hackerparagraph") denken. Hier könnte man gezielt die Infektion mit Malware unter Strafe stellen, indem etwa § 202c Abs. 1 um einen Satz 2 ergänzt wird:
"Ebenso wird bestraft, wer eine Straftat vorbereitet, indem er Programmcode auf ein informationstechnisches System ohne Einwilligung einer berechtigten Person in der Absicht aufbringt, diesen ausführen zu lassen."
Ein solcher "minimalinvasiver" Eingriff in das StGB würde gezielt die Botnetz-Kriminalität ins Visier nehmen, Kollateralschäden vermeiden und zugleich den Charakter der Malware-Infektion als typische Vorbereitungs-Straftat unterstreichen.
Zurück auf Los
Insgesamt schließt der Entwurf virtuelle Lücken des Strafrechts, führt zugleich aber zu einer ausufernden Kriminalisierung von Alltagsverhalten, das mit Botnetzen nicht das Geringste zu tun hat. Bei den Strafverfolgungsbehörden würde er zusätzlichen Aufwand verursachen, ohne zu mehr Verurteilungen zu führen, da er die praktischen Probleme der Täterermittlung unberücksichtigt lässt. Gleichzeitig verstellt er den Blick auf sinnvollere Maßnahmen: Sofern der Gesetzgeber überhaupt Anlass zu Änderungen des Strafrechts sieht, so sollte er sich für eine punktgenaue Lösung beispielsweise in § 202c StGB entscheiden.
Vor allem aber sind Lösungen für das Botnetz-Problem außerhalb des Strafrechts zu suchen: Wirklich wirksam wären Maßnahmen zur Steigerung der IT-Sicherheit, insbesondere eine scharfe Produkthaftung für Sicherheitslücken. Damit würden die gesellschaftlichen Kosten bei denen angesiedelt, die die gegenwärtigen Probleme tatsächlich beheben könnten: bei den Herstellern von Hard- und Software.
Der Autor Dr. Ulf Buermeyer, LL.M. (Columbia) ist Richter am Landgericht Berlin und ehemaliger wissenschaftlicher Mitarbeiter des Bundesverfassungsgerichts. Sein Studium finanzierte er u.a. als Administrator für Windows- und Linux-Systeme an der Juristenfakultät der Universität Leipzig.
RiLG Dr. Ulf Buermeyer, LL.M. (Columbia), Entwurf zu neuem Straftatbestand im Bundesrat: "Digitaler Hausfriedensbruch": IT-Strafrecht auf Abwegen . In: Legal Tribune Online, 06.10.2016 , https://www.lto.de/persistent/a_id/20779/ (abgerufen am: 19.04.2024 )
Infos zum Zitiervorschlag