Wir verteidigen Individualpersonen gegen Vorwürfe der Begehung eines Cybercrime-Delikts. 

Wir sind bereits früh mit der neuen Materie vertraut und verfolgen die Entwicklung des IT-Strafrechts fortlaufend. 

Zur Bekämpfung des Cybercrimes hat der Gesetzgeber einige spezielle Straftatbestände geschaffen. In seinem eigentlichen Kern umfasst der Begriff Cybercrime nur solche Straftatbestände, die schon tatbestandlich nur mittels Informationstechnologie begangen werden können. Das umfasst unter anderem den Computerbetrug, das Ausspähen und Abfangen von Daten, die Datenhehlerei, die Datenveränderung oder die Computersabotage. 

In einem weiteren Sinn geht es dagegen auch um Straftaten, die unter Benutzung von Informations- und Kommunikationstechniken, zur Planung, Vorbereitung und Ausführung herkömmlicher Kriminaldelikte eingesetzt werden. Darunter fallen beispielsweise Betrugsdelikte, Erpressungen oder auch Kinderpornographie und „Cyber-Grooming“. 

Die Kanzlei Burgert Krötz Rechtsanwälte mit Sitz in München verteidigt Einzelpersonen gegen IT-strafrechtliche Vorwürfe bundesweit. Wir können aufgrund unserer Erfahrung und Expertise im IT-Strafrecht eine erfolgsversprechende Verteidigungsstrategie entwickeln und wissen, an welchen Stellen in Cybercrime-Verfahren Ermittlungsbehörden an ihre Grenzen kommen.

Im Folgenden werden einige spezifische Delikte aufgeführt:

Allgemeines 

Der Computerbetrug gemäß § 263a StGB spielt im Bereich des Cybercrimes eine bedeutende Rolle. Es handelt sich um eine Parallelvorschrift zum Betrugstatbestand, die eingeführt wurde, weil die bisherigen Straftatbestände den Betrug im Rahmen der Internetkriminalität nicht erfassten. 

Für eine Strafbarkeit wegen Betrugs gemäß § 263 StGB fehlt in diesen Fällen meist die Täuschung eines anderen Menschen, also eine Vermögensschädigung durch die irrtumsbedingte Verfügung einer natürlichen Person. Beim Computerbetrug entsteht der Vermögensschaden nämlich nur durch einen Eingriff in das System der Datenverarbeitungsanlage. 

Tathandlungen

Einen Computerbetrug nach § 263a Abs. 1 StGB verwirklicht, wer das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollständiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beeinflusst. 

Eine unrichtige Gestaltung des Programms (Var. 1) umfasst Eingriffe in den Programmablauf etwa durch Neuschreiben, Verändern und Löschen von Programmteilen. Darunter fällt beispielsweise die Beeinflussung der Software eines Glücksspielautomaten, durch die dem Nutzer Punkte ohne vorherigen Spielbetrieb gutgeschrieben werden. Eine Verwendung unrichtiger oder unvollständiger Daten (Var. 2) liegt vor, wenn die gefälschten oder nicht vollständigen Daten in den Datenverarbeitungsprozess eingeführt werden (z.B. das Abheben von Geld durch eine EC-Karte, deren Kontendaten manipuliert sind).  Der Täter verwendet nach Ansicht der Rechtsprechung unbefugt Daten (Var. 3), wenn eine Eingabe von Daten gerade in den Datenverarbeitungsprozess erfolgt. Dabei muss hypothetisch gefragt werden, ob durch das konkrete Verhalten ein Betrug verwirklicht würde, wenn nicht lediglich maschinell gesteuerte Geschehensabläufe ausgelöst werden würden (hypothetische Betrugsstrafbarkeit). Darunter fällt zum Beispiel der Bankautomatenmissbrauch mit gefälschten oder gestohlenen Codekarten.  Die sonst unbefugte Einwirkung auf den Ablauf (Var. 4) hat eine Auffangfunktion und soll noch verbleibende, von den anderen Varianten nicht erfasste, strafwürdige Manipulationen erfassen (zum Beispiel Leerspielen eines Geldspielautomaten durch ein illegal erworbenes Computerprogramm über den Spielverlauf des Automaten). 

Durch eine dieser Tathandlungen muss der Täter das Ergebnis eines Datenverarbeitungsvorgangs beeinflussen. Das Ergebnis nach der Beeinflussung muss dann von dem Ergebnis abweichen, das ohne die Tathandlung erzielt worden wäre. Schließlich ist es erforderlich, dass der Täter das Vermögen eines anderen beschädigt und mit der Absicht handelt, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen. Vorverlagert wird die Strafbarkeit gem. § 263a Abs. 3 StGB auf Vorbereitungshandlungen. Darunter fällt zum Beispiel das Herstellen, das Verschaffen, das Feilhalten, das Verwahren oder das Überlassen von Computerprogrammen, deren Zweck die Begehung einer Straftat nach § 263a Abs. 1 StGB ist. 

Drohende Folgen

Verwirklicht der Täter einen Computerbetrug, drohen ihm Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe. Vorbereitungshandlungen werden mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. 

Allgemeines

Wer sich oder einem anderen unbefugt Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung einer Zugangssicherung verschafft, macht sich nach § 202a StGB wegen des Ausspähens von Daten strafbar.

Wer sich oder einem anderen unbefugt unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten aus einer nicht-öffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, macht sich hingegen nach § 202b StGB wegen des Abfangens von Daten strafbar.

Daten sind nach § 202a Abs. 2 StGB alle codierten oder codierbaren Informationen, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden. Ziel des § 202a StGB ist die Vereitelung des Zugangs zu speziell gesicherten Daten durch unbefugte Dritte und der Schutz des Verfügungsrechts von Informationen. § 202b StGB schützt hingegen die Kommunikation im nichtöffentlichen Bereich, auch ohne eine besondere Sicherung, und das Geheimhaltungsinteresse (beispielsweise den E-Mail-Verkehr).

Ausspähen von Daten

Zunächst kommt das Ausspähen von Daten gemäß § 202a StGB nur für solche Daten in Betracht, die nach dem Willen des Berechtigten nicht frei verfügbar sein sollen. Der Dritte, der sich Zugang zu den Daten verschafft, muss folglich Unberechtigter sein. 

Zudem müssen die Daten gegen den unberechtigten Zugang speziell gesichert sein. Jede Maßnahme, die den Zugang in nicht unwesentlicher Weise erschwert, kann hierfür in Betracht kommen, sowohl in physischer als auch in systemischer Weise. Solche Maßnahmen sind etwa das Sichern der Daten durch ein Passwort, durch eine Software, aber auch durch eine mechanische Vorkehrung.

Für die Tathandlung genügt es, wenn der Unberechtigte sich ungehinderten Zugang zu den Daten beschafft (Hacking). Die Daten müssen dabei nicht verwendet werden.

Abfangen von Daten

Der Tatbestand des § 202b StGB kann als ein Auffangtatbestand verstanden werden. Das Abfangen von Daten liegt, anders als das Ausspähen von Daten, auch dann vor, wenn die Daten nicht speziell gesichert sind. Allerdings ist auch hier erforderlich, dass die Daten nach Willen des Berechtigten nicht frei zugänglich sind. 

Erforderlich ist, dass ein Zugriff während des Übermittlungsvorgangs erfolgt. Erfolgt der Zugriff hingegen davor oder danach, so kommt nur das Ausspähen von Daten nach § 202a StGB in Betracht. Die Tathandlung kann also nur zum Zeitpunkt der nichtöffentlichen Datenübermittlung vorgenommen werden.

Drohende Folgen 

Ausspähen von Daten kann mit einer Freiheitsstrafe von bis zu drei Jahren oder einer Geldstrafe bestraft werden. Beim Abfangen von Daten droht eine Strafe von zwei Jahren Freiheitsstrafe oder Geldstrafe. 

Das bloße Vorbereiten des Ausspähens oder Abfangens von Daten ist nach § 202c StGB strafbar und kann ebenfalls mit einer Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft werden.

Allgemeines

Der Straftatbestand der Fälschung beweiserheblicher Daten gemäß den §§ 269, 270 StGB ist die Parallelvorschrift zum Straftatbestand der Urkundenfälschung. Strafbar ist danach die Fälschung von „Datenurkunden“. Dadurch werden Strafbarkeitslücken geschlossen. Beispielsweise wenn eine Urkundenfälschung ausscheidet, weil auf einem Endgerät gespeicherte Daten verändert werden, die visuell nicht wahrnehmbar sind.

Tathandlungen

Strafbar macht sich der Täter zum einen, wenn er beweiserhebliche Daten so speichert oder verändert, dass bei ihrer Wahrnehmung eine unechte oder verfälschte Urkunde vorliegt. Darunter fällt beispielsweise das unbefugte Abheben von Geld am Bankautomaten mit einer fremden oder gefälschten Codekarte, das Wiederaufladen einer abtelefonierten Telefonkarte und das Ändern der Kontonummer auf dem Magnetstreifen einer gültigen EC-Karte. 

Zum anderen ist es strafbar, wenn der Täter die unechte oder verfälschte Datenurkunde gebraucht. Dies liegt vor, wenn die entsprechenden Dateien einem Täuschungsadressaten zugänglich gemacht werden. Ein tatsächlicher Zugriff durch den Täuschungsadressaten ist nicht erforderlich. Es ist ausreichend, wenn diesem die Möglichkeit eines eigenständigen Zugriffs eröffnet wird, der unabhängig von einem weiteren Zutun des Täters erfolgen kann.

In subjektiver Hinsicht muss der Täter zur Täuschung im Rechtsverkehr handeln. Hierfür genügt es gemäß § 270 StGB, wenn die Daten an eine EDV-Anlage übermittelt werden sollen, die daraufhin automatisch eine rechtserhebliche Disposition trifft.

Drohende Folgen

Dem Täter drohen Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe. Möglich ist es auch, dass ein besonders schwerer Fall oder eine Qualifikation vorliegt, gem. § 269 Abs. 3 i.V.m. § 267 Abs. 3, 4 StGB vorliegt. In diesem Fall droht eine Freiheitsstrafe von sechs Monaten bis zu zehn Jahren bzw. von einem Jahr bis zu zehn Jahren.

Ein besonders schwerer Fall ist anzunehmen, wenn der Täter gewerbsmäßig oder als Mitglied einer Bande handelt, einen Vermögensverlust großen Ausmaßes (ca. 50.000 EUR) herbeiführt, durch eine große Zahl von unechten oder verfälschten Datenurkunden die Sicherheit des Rechtsverkehrs erheblich gefährdet oder seine Befugnisse oder seine Stellung als Amtsträger oder Europäischer Amtsträger missbraucht.

Nach der Qualifikation macht sich strafbar, wer die Tat als Mitglied einer Bande, die sich zur fortgesetzten Begehung von Straftaten nach den §§ 263 bis 264 oder 267 bis 269 StGB verbunden hat, gewerbsmäßig begeht.

Allgemeines 

Wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert, wird gemäß § 303a Abs. 1 StGB mit Freiheitsstrafe bis zu 2 Jahren oder mit Geldstrafe bestraft.

Weil nur körperliche Gegenstände unter die Sachbeschädigung nach § 303 StGB fallen, wurde mit der Datenveränderung in § 303a StGB ein Straftatbestand für die „Sachbeschädigung“ von Daten geschaffen. § 303a StGB schützt sowohl den Inhaber der Daten als auch durch die Datenveränderung Betroffene. Die Verfügungsgewalt des Berechtigten über die Daten und der Inhalt der Daten sollen unbeeinträchtigt bleiben. Die kriminalpolitische Bedeutung der Datenveränderung war nach der Polizeilichen Kriminalstatistik Ende der 1990er Jahre noch sehr gering. Erst seit den 2000er Jahren steigen die Fallzahlen stark an. Dies liegt einerseits an der rasanten technischen Entwicklung und der daraus resultierenden Möglichkeiten, auf Daten zuzugreifen, andererseits an der steigenden Abhängigkeit vieler Bereiche vom ungestörten Datenzugriff. 

Tathandlungen 

Eine Datenveränderung nach dem Gesetz kann durch das Löschen, Unterdrücken, Unbrauchbarmachen oder Verändern von Daten begangen werden.

Das Löschen von Daten liegt vor, wenn solche Daten vollständig und unwiederbringlich unkenntlich gemacht wurden. Hierunter fällt schon das Entfernen mittels Löschtaste, ebenso wie das Überschreiben von Daten mit anderen Daten, das vorsätzliche Installieren eines Virusprogramms oder das Zerstören oder Beschädigen eines Datenträgers mitsamt der auf ihm gespeicherten Daten.

Ein Unterdrücken von Daten meint die Verhinderung des Zugangs zu Daten durch den Verfügungs- oder Nutzungsberechtigten, sodass er die Daten zumindest vorübergehend nicht verwenden kann. Physisch werden die Daten durch das Unterdrücken nicht beeinträchtigt. Unter das Unterdrücken fällt beispielsweise die Blockierung des Empfängerbriefkastens durch das Versenden von Junk-Mails oder die Errichtung von Zugangssperren durch Änderungen von Dateinamen oder Passwörtern.

Unbrauchbarmachen von Daten bedeutet, die Daten in ihrer Gebrauchsfähigkeit so zu beeinträchtigen, dass diese nicht mehr ordnungsgemäß verwendet werden und damit ihren Zweck nicht mehr erfüllen können. Diese Tathandlung entspricht der Sachbeschädigung und umfasst z.B. Teillöschungen oder inhaltliche Änderungen.

Unter Verändern von Daten fällt jede denkbare Form des inhaltlichen Umgestaltens gespeicherter Daten, die eine Bedeutungsveränderung der Daten in ihrem Informationsgehalt oder Aussagewert und somit eine Funktionsbeeinträchtigung zur Folge hat. Auch hier sind Teillöschungen oder das Hinzufügen weiterer Daten einschlägig. Beispiele sind das Ersetzen der Kontonummer einer EC-Karte durch eine andere Nummer oder die missbräuchliche Veränderung von auf dem Magnetstreifen der Euroscheckkarte gespeicherten Daten.

Eine Datenveränderung liegt somit vor, wenn die Funktion der Daten beeinträchtigt wird, sodass ihr Informationsgehalt oder Aussagewert dadurch verändert wird oder unzugänglich gemacht wird.

Drohende Folgen

Wer den Straftatbestand der Datenveränderung verwirklicht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. 

Allgemeines

Wegen Computersabotage macht sich gemäß § 303b StGB strafbar, wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er eine Tat nach § 303a Abs. 1 StGB begeht (Nr. 1), Daten in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder übermittelt (Nr. 2) oder eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert (Nr. 3). § 303b StGB schützt das Interesse aller Betreiber und Nutzer am störungsfreien Funktionieren ihrer Datenverarbeitung unabhängig davon, ob illegale Zwecke verfolgt werden.

Ein typisches Beispiel für Computersabotage ist das Lahmlegen von Internetseiten, um Geld zu erpressen (DDoS-Attacke). Von Januar 2020 bis März 2021 stieg die Zahl der DDoS-Attacken um 55 Prozent. Im DDoS-Jahresbericht von Microsoft gibt der Konzern an, in der zweiten Hälfte des Jahres 2021 fast 360.000 DDoS-Attacken abgewehrt zu haben.

Tathandlungen

Tatbestandlich qualifiziert § 303b Abs. 1 Nr. 1 StGB den § 303a Abs. 1. § 303b Abs. 1 Nr. 2 StGB bestraft dagegen die DDoS-Attacken. § 303b Abs. 1 Nr. 3 StGB erfasst Angriffe auf eine Datenverarbeitungsanlage oder einen Datenträger. Mit der Datenverarbeitungsanlage ist die maschinentechnische Ausstattung gemeint (Zentraleinheit, Tatstatur, Bildschirm, Drucker). Als Datenträger kommen insbesondere Magnetbänder, Festplatten und Disketten in Betracht. 

Tatbestandlich relevante Handlungen sind neben DDoS-Attacken z.B. das Hacking oder der Einsatz von Trojanern, Würmern und anderer Malware oder Ransomware, sowie Spionage- und Botnetzsoftware. Das hauptsächliche Ziel der Täter ist dabei die Funktion der Datenverarbeitung zu stören. Die Datenverarbeitung ist erheblich gestört, wenn ihr reibungsloser Ablauf erheblich beeinträchtigt wird. Die Datenverarbeitung muss für den Betroffenen außerdem von wesentlicher Bedeutung sein. Hierbei kann darauf abgestellt werden, ob die Datenverarbeitung für die Lebensgestaltung der Privatperson eine zentrale Rolle einnimmt. In Betracht kommt eine Datenverarbeitung im Rahmen einer Erwerbstätigkeit, einer schriftstellerischen, wissenschaftlichen oder künstlerischen Tätigkeit. 

Drohende Folgen

Der Strafrahmen des § 303b Abs. 1 StGB beträgt Freiheitsstrafe von bis zu drei Jahren oder Geldstrafe. 

Erfüllt der Täter die Qualifikation des § 303b Abs. 2 StGB, so kommt eine Freiheitsstrafe von bis zu 5 Jahren oder Geldstrafe in Betracht. Die Qualifikation des § 303b Abs. 2 StGB ist einschlägig, wenn es sich um eine Computersabotage bei einem fremden Betrieb, Unternehmen oder einer Behörde handelt, für die die betroffene Datenverarbeitung von wesentlicher Bedeutung ist. 

In besonders schweren Fällen des § 303b Abs. 2 StGB droht gem. § 303b Abs. 4 StGB eine Strafe von bis zu zehn Jahren Freiheitsstrafe. Ein besonders schwerer Fall liegt vor, wenn durch die Tat ein Vermögensverlust großen Ausmaßes herbeigeführt wurde, wenn der Täter gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung von Computersabotage verbunden hat und wenn durch die Tat die Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen oder die Sicherheit der Bundesrepublik Deutschland beeinträchtigt wird. 

Schon die Vorbereitung einer Computersabotage nach Abs. 1 ist unter den Voraussetzungen des § 202c StGB strafbar und wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

Seit 2021 ist auch das Betreiben von kriminellen Handelsplattformen im Internet strafbar. Mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe wird gemäß § 127 Abs. 1 StGB bestraft, wer eine Handelsplattform im Internet betreibt, deren Zweck darauf ausgerichtet ist, die Begehung von rechtswidrigen Taten zu ermöglichen oder zu fördern.

Tatbestandlich erfasst sind demnach nur Plattformen mit krimineller Zweckausrichtung, sodass Plattformen mit rechtmäßigem Geschäftsmodell ausdrücklich ausgenommen sind. Unter die genannten rechtswidrigen Taten fallen alle Verbrechen (Freiheitsstrafe von mind. einem Jahr) und bestimmte im Tatbestand aufgezählte Vergehen. Eine Handelsplattform im Internet ist nach § 127 Abs. 2 StGB jede virtuelle Infrastruktur im frei zugänglichen wie im durch technische Vorkehrungen zugangsbeschränkten Bereich des Internets, die Gelegenheit bietet, Menschen, Waren, Dienstleistungen oder Inhalte anzubieten oder auszutauschen.

Erfasst werden sollen vor allem Foren und Online-Marktplätze, wobei unerheblich ist, ob es sich um kommerzielle oder nicht-kommerzielle Plattformangebote handelt und ob sie sich etwa auf Kaufgeschäfte, Tauschgeschäfte oder Schenkungen beziehen. Strafbar macht sich nach dem neu geschaffenen Tatbestand etwa der Betreiber einer Internetplattform, wenn der Täter eines Amoklaufs die dabei verwendete Waffe zuvor über diese Plattform erworben hatte (so beispielsweise beim „Münchener Amoklauf“ 2016). 

§ 127 Abs. 3 StGB enthält eine Qualifikation für gewerbsmäßiges oder bandenmäßiges Handeln. § 127 Abs. 4 StGB wertet die Tat zu einem Verbrechen auf, wenn der Täter bei Begehung der Tat nach Absatz 1 beabsichtigt oder weiß, dass die Handelsplattform im Internet den Zweck hat, Verbrechen zu ermöglichen oder zu fördern.

Neu eingeführt wurde auch der dem Cybercrime im engen Sinn zuzuordnende Straftatbestand des § 238 Abs. 1 Nr. 5 StGB. Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer einer anderen Person in einer Weise unbefugt nachstellt, die geeignet ist, deren Lebensgestaltung nicht unerheblich zu beeinträchtigen, indem er wiederholt, zulasten dieser Person, eines ihrer Angehörigen oder einer anderen ihr nahestehenden Person eine Tat nach §§ 202a, 202b oder 202c StGB begeht.

Dadurch sollen Fälle erfasst werden, in denen der Täter sich durch schlichtes Erraten von Passwörtern, durch Einsatz von Hacking-Methoden oder sogar sogenannter Stalkingware unbefugten Zugang zu Daten des Opfers verschafft. Insbesondere sind dies Sachverhalte, in denen der Täter auf diese Weise virtuell in E-Mail- oder Social-Media-Konten des Opfers eindringt oder sich Zugang zu Daten des Opfers verschafft, die sich auf einem PC oder Smartphone befinden.

Zwar kommt in der Regel auch eine Strafbarkeit nach § 202a StGB in Betracht, die im Grunddelikt eine identische Strafandrohung vorsieht. Doch ermöglicht eine Strafbarkeit gem. § 238 Abs. 1 StGB auch eine Sanktionierung gem. § 238 Abs. 2 oder 3 StGB. Abs. 2 enthält eine Auflistung besonders schwerer Fälle und sieht eine Freiheitsstrafe von drei Monaten bis zu fünf Jahren vor. Abs. 3 regelt eine Qualifikation, deren Strafrahmen von einem Jahr bis zu zehn Jahren reicht.