Unnötig, ungeeignet, unbestimmt - der Entwurf eines neuen Straftatbestandes zur Bekämpfung von Botnetzen verkörpert so ziemlich alles, was falsch läuft in der Strafgesetzgebung, findet Ulf Buermeyer.
Computer-Viren haben sich zu einem Massen-Phänomen entwickelt. Dabei sind die Schädlinge, die sich bemerkbar machen, nur die Spitze des Eisbergs: Die meisten Infektionen laufen im Verborgenen ab. Denn sie verfolgen allein den Zweck, das befallene System zum Teil eines sogenannten Bot-Netzes zu machen: einer Schattenarmee ferngesteuerter Rechner, die sich für Straftaten einsetzen lassen.
Als besonders sozialschädlich erweist sich dabei, dass solche Botnetze längst nicht mehr nur von denjenigen für kriminelle Zwecke eingesetzt werden, die die Infektion der Rechner verursacht haben. Überwiegend missbrauchen inzwischen Dritte sie für ihre Straftaten, indem sie die Netze gleichsam "mieten": Botnet as a Service.
Die Problematik hat auch das Land Hessen erkannt und einen Entwurf zu ihrer Bekämpfung in den Bundesrat eingebracht. Doch der darin vorgesehene neue § 202e Strafgesetzbuch (StGB) ("Unbefugte Benutzung informationstechnischer Systeme") ist missraten: Er schließt virtuelle Lücken des IT-Strafrechts, ist dabei aber so vage formuliert, dass er eine unkalkulierbare Kriminalisierung alltäglichen Verhaltens mit sich bringen würde. Außerdem lenkt die Fixierung auf das Strafrecht ab von naheliegenden Maßnahmen, die tatsächlich etwas zur Verbesserung der IT-Sicherheit beitragen könnten.
Programmieren, infizieren, kontrollieren: Alles schon strafbar
Um das zu verstehen, muss man zunächst wissen, wie Botnetze zustande kommen: Zunächst wird eine spezialisierte Schad-Software ("Trojaner") geschrieben. Mit dieser Software werden möglichst viele Zielsysteme infiziert. Dann nehmen die aktiven Trojaner über das Internet Kontakt zu Kontroll-Systemen auf (sog. Command-and-Control-Server oder kurz CC-Server). Schließlich erhalten die "Bots", also die infizierten Rechner, über die CC-Server Befehle, bestimmte Aufgaben auszuführen. Eine Differenzierung dieser einzelnen Arbeitsschritte nehmen die Verfasser des Entwurfs nicht vor; dementsprechend entgeht ihnen auch, dass viele davon schon heute strafbar sind:
- Soweit ein Trojaner in ein Zielsystem eindringt, werden zumindest Daten im Hauptspeicher des Systems, in aller Regel aber auch auf den dauerhaften Speichern (etwa auf den Festplatten) verändert (entgegen der Einschätzung des Entwurfs beides strafbar gemäß § 303a Abs. 1 StGB), weil der Trojaner sonst nicht ausgeführt werden kann bzw. einen Neustart des Systems nicht überstehen würde.
- Durch die Infektion mit einem Trojaner verschaffen sich die Täter Zugang zu nicht für sie bestimmten Daten (nämlich allen Daten des Wirtssystems), was jedenfalls typischerweise auch unter Überwindung von Zugangssicherungen erfolgen wird (strafbar gem. § 202a Abs. 1 StGB), nämlich unter Ausnutzung von Sicherheitslücken der eingesetzten Software.
- Angesichts der Strafbarkeit der Infektion gem. §§ 202a, 303a StGB stellt sich bereits die Software-Entwicklung von Trojanern als eigenständige Straftat gem. § 202c Abs. 1 StGB (Vorbereiten des Ausspähens und Abfangens von Daten) dar, jedenfalls soweit die Entwickler sich des Einsatzzwecks der Software bewusst waren.
- Schließlich werden die Botnetze selbst regelmäßig zu Zwecken eingesetzt, die ihrerseits strafbar sind, etwa gemäß §§ 303a, 303b StGB bei sogenannten DDoS (distributed denial of service) Attacken. In jüngster Zeit erlangen außerdem Erpressungen (§ 253 Abs. 1 StGB) durch Einsatz sogenannter Crypto-Trojaner an Bedeutung, die Daten auf der Festplatte verschlüsseln (§ 303a Abs. 1 StGB) und den Schlüssel nur gegen Zahlung eines "Lösegeldes" herausgeben.
Die dem Gesetzentwurf zugrundeliegende Einschätzung, das Betreiben und Nutzen von Botnetzen sei zur Zeit oft nicht strafbar, ist daher kaum nachzuvollziehen.
Strafverfolgung scheitert an der Praxis, nicht am Recht
Zur mangelnden Notwendigkeit des neuen Tatbestandes tritt seine absehbare Wirkungslosigkeit. Denn ebenso wie bei den bereits bestehenden IT-Strafvorschriften wird eine Verfolgung oft an praktischen Hindernissen scheitern: Trojaner werden meist per eMail-Anhang oder durch präparierte Internet-Seiten verbreitet, deren Aufruf schon zur Infektion führt. Täter und Geschädigte treten nie in unmittelbaren Kontakt, sodass es keine Ermittlungsansätze gibt. Sowohl die Absender der eMails als auch die Betreiber der infektiösen Internet-Seiten sind kaum zu ermitteln, weil sie ausgefeilte Methoden zur Anonymisierung nutzen. Botnetze werden außerdem typischerweise in internationaler Arbeitsteilung betrieben, d.h. wenn ausnahmsweise doch einmal Ermittlungsansätze vorliegen, so führen diese ins Ausland und machen komplexe Rechtshilfeverfahren notwendig. Die Strafverfolgung scheitert daher meist schon am Fehlen jedes Anhalts zur Ermittlung eines möglichen Tatverdächtigen. Spätestens aber die Komplexität der transnationalen Strafverfolgung führt dazu, dass die allermeisten Verfahren im Sande verlaufen.
Angesichts dessen verblassen etwaige Defizite der materiellen Rechtslage gegenüber den praktischen Problemen der Strafverfolgung: Änderungen des Strafrechts werden an den Schwächen der praktischen Rechtsdurchsetzung kaum etwas ändern können.
Software-Sicherheit als eigentliches Problem
Die formelhafte Angabe "Alternativen: keine" im Gesetzentwurf kann daher nur als zynisch bezeichnet werden: Wer sich tatsächlich der Aufgabe stellen möchte, Botnetze zu bekämpfen, muss gerade Alternativen zum Strafrecht in den Blick nehmen.
Dabei könnte die technische Unsicherheit vieler Programme und Geräte einen Ansatzpunkt bilden: Ohne "Wirts-Systeme" mit Programmierfehlern gäbe es keine Botnetze. Nun ist Software-Sicherheit nicht vom Gesetzgeber zu dekretieren. Er kann aber die richtigen Anreize setzen. Zu denken wäre an Preisgelder für gefundene Sicherheitslücken (sog. "bug bounty"-Programme), die einige Software-Hersteller bereits mit Erfolg einsetzen.
Wesentlichen Einfluss dürfte eine verschärfte IT-Produkthaftung haben. Bisher bleibt es für Hersteller meist ohne spürbare Konsequenzen, wenn ihre Produkte Sicherheitslücken aufweisen. Daher gibt es nur einen schwachen Anreiz, bei der Entwicklung ein Augenmerk auf die Sicherheit zu legen. Umso weniger lohnt es sich bisher, Sicherheitslücken in bereits verkauften Systemen zu schließen. Hier könnte eine zivilrechtliche Haftung nach dem Vorbild des Produkthaftungsgesetzes segensreich wirken: Wäre Sicherheit auch ökonomisch geboten, so würden sich die Prioritäten bei der Software-Entwicklung deutlich verschieben. Eine Pleitewelle wäre gleichwohl nicht zu befürchten, denn Hersteller (bzw. Importeure) würden sich gegen drohende Risiken versichern. Dies wiederum würde einen Markt schaffen, der über die Höhe der Prämien für IT-Haftpflicht-Versicherungen best practices für IT-Sicherheit herausbilden und durchsetzen würde. Beweisprobleme einzelner Geschädigter könnten durch Vermutungen für pauschalierte Mindest-Schadenshöhen gemindert werden.
Entwurf zu neuem Straftatbestand im Bundesrat: . In: Legal Tribune Online, 06.10.2016 , https://www.lto.de/persistent/a_id/20779 (abgerufen am: 16.01.2026 )
Infos zum Zitiervorschlag
