Botnetz-Kriminalität

Botnetz

 

Bot-Netze sind eine moderne Plage. Die E-Mail-Postfächer von Verbrauchern werden mit Viagra-Werbung und anderem Spam, der häufig auch noch Schadprogramme im E-Mail-Anhang mitliefert, überflutet. Webseiten von Unternehmen sind wegen DDoS-Angriffen nicht mehr erreichbar. Kann ein neuer Straftatbestand helfen, die Plage einzudämmen?

Das Land Hessen, das schon den Tatbestand der Datenhehlerei (§ 202d StGB) auf den Weg brachte, hat im Juni 2016 auch den Entwurf zur Strafbarkeit des Digitalen Hausfriedensbruchs (§ 202e StGB-E) in den Bundesrat eingebracht. Danach soll jeder unbefugte Zugang zu einem Computersystem und die dadurch eröffnete Möglichkeit des Datenzugriffs unter Strafe gestellt werden. Damit soll zum einen die Verfolgung von Botnetz-Kriminalität verbessert werden. Zum anderen sollen Daten generell besser geschützt werden.

Botnetz-Kriminalität wird kaum bestraft

Statistisch gibt es im Bereich des IT-Strafrechts viele Opfer aber nur wenig verurteilte Täter. Im Jahr 2014 wurden
84 Personen wegen Ausspähen von Daten gem. § 202a StGB,
46 Personen wegen Datenveränderung gem. § 303a StGB und
22 Personen wegen Computersabotage gem. § 303b StGB
verurteilt
(Quelle: Strafverfolgung – Fachserie 10 Reihe 3 – 2014, Stand: 29.04.2016).

Das Land Hessen meint daher, die vorhandenen Tatbestände seien „nicht effektiv“ und hofft, dies könne sich mit Einführung eines neuen Tatbestandes ändern.

Botnetz-Kriminalität ist strafbar

Das Land Hessen sieht dabei eine Strafbarkeitslücke im Bereich der Botnetz-Kriminalität. Tatsächlich sind jedoch nach geltender Gesetzeslage quasi alle dabei anfallenden Arbeitsschritte strafbar. § 202a StGB erfasst schon das „reine Hacking”, also das einfache Überwinden von Sicherheitsvorkehrungen. Hierzu zählt z.B. der Einsatz von Schadprogrammen (Trojaner, Sniffer, Backdoorprogramme), die der Datenausspähung, der Aufzeichnung von Aktivitäten auf einem Rechner oder der gezielten Steuerung fremder Rechner dienen (Roos/Schumacher, MMR 2014, 377, 379). Sollten bereits durch die Einschleusung der Schadprogramme verschlüsselte Daten, die sich im Übermittlungsvorgang befinden, abgefangen und an Dritte weitergeleitet werden, ist § 202b StGB erfüllt (Roos/Schumacher, MMR 2014, 377, 379).

Die Bundesregierung reagierte in ihrer Stellungnahme zum Gesetzesentwurf besonnen auf die Panikmache. Sie betonte, dass nahezu sämtliche Aktivitäten beim Aufbau und Betrieb eines Botnetzes strafbar sind:

  • Das Programmieren eines entsprechenden Schadprogramms, das dem Täter Zugang zu und Kontrolle über informationstechnische Systeme ermöglicht, ist als Vorbereiten des Ausspähens und Abfangens von Daten (§ 202c StGB) unter Strafe gestellt.
  • Der Aufbau eines Botnetzes mit Hilfe von Schadprogrammen ist in aller Regel als Ausspähen von Daten (§ 202a StGB) strafbar. Soweit die Schadsoftware Daten verändert, liegt der Straftatbestand der Datenveränderung (§ 303a StGB) vor.
  • Angriffe auf Informationssysteme mit Hilfe von ferngesteuerten Botnetzen (DDoS-Attacken) erfüllen den Tatbestand der Computersabotage (§ 303b StGB).

(Quelle: Gesetzesentwurf des Bundesrates vom 02.11.2016, BT-Drs. 18/10182, S. 31).

Botnetz-Kriminalität wird kaum verfolgt

Ermittlungen im Bereich Cybercrime stehen vor ganz anderen Herausforderungen. Um das Tatgeschehen überhaupt verstehen zu können, sind die Ermittler häufig auf IT-Experten aus den betroffenen Unternehmen angewiesen, die dann als Zeugen fungieren. Häufig müssen zusätzlich Sachverständige beauftragt werden. Sichergestellte Rechner und andere Speichermedien müssen ausgewertet werden, was wegen Überlastung der zuständigen Landeskriminalämter monatelang dauert. In der Regel verwenden Täter Anonymisierungstechnicken und bleiben unerkannt. Wenn sich die Spuren auf einzelne Täter zurückverfolgen lassen, agieren zumindest deren Hintermänner häufig aus dem Ausland. Hier müssen deutsche Ermittler Rechtshilfe ihrer Kollegen im Ausland beantragen, um Durchsuchungen, Beschlagnahmen oder Vernehmungen durchführen zu lassen. Weitere Monate verstreichen.

Botnetz-Kriminalität ist schwer darzustellen

In den dann noch verbleibenden Fällen muss das Urteil technische Einzelheiten der Tat beschreiben. Dazu gehöhrt einer Darstellung der Wirkungsweise der von den Tätern eingesetzten Schadsoftware einschließlich der damit bei den Geschädigten umgangenen Zugangssicherungen. An dieser letzten Klippe scheiterte beispielsweise das Landgericht Kempten, das nicht unterscheiden konnte, ob die Betreiber eines Botnetzes zum Bitcoin-Mining in den Jahren 2012/2013 jeweils die Firewall oder das Antivirenprogramm der rund 300.000 infizierten Rechner überwunden hatten. Mit Beschluss vom 21.07.2015 hob der Bundesgerichtshof dieses Urteil auf.

Wenn zukünftig jeder unbefugte Zugang zu Computersystemen strafbar wäre, würde die Auswertung der Täterinfrastruktur und die Ermittlung der IP-Adressen unter Einschaltung der Internetzugangsprovider ausreichen, eine detaillierte Darstellung der technischen Einzelheiten der Infiltration wäre nicht mehr notwendig (Quelle: Gesetzesantrag des Landes Hessen vom 17.06.2016, BR-Drs. 338/16, S. 8)

Statt die Strafbarkeit so weit auszuweiten, dass eine Zugangssicherung gar nicht mehr erforderlich ist und entsprechende Feststellungen seitens der Strafverfolgungsbehörden entfallen können, wäre hingegen die Fortbildung von Polizisten, Staatsanwälten und Richtern vorzugswürdig, damit sie verschiedene Zugangssicherungen wie Firewall und Virenschutz unterscheiden könnten.