Der digitale Hausfriedensbruch nach § 202e StGB-E – braucht es die „Lex-Botnetz“?
Oke Johannsen, Universität Hamburg
Einleitung
Die Digitalisierung schafft unentwegt neue Handlungsspielräume. Das gilt (leider) auch im Bereich der Kriminalität. Zentrale Angriffsressource für über das Internet agierende Straftäter ist dabei die Fernsteuerung informationstechnologischer System über sog. „Botnetze“.[1] So wurden 2017 nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) nachweislich jeden Tag (!) 27.000 Systeme mit einer Botnetz-Schadsoftware infiziert, die Dunkelziffer liegt im sechsstelligen Bereich.[2] Dabei kann schon ein einzelnes Botnetz einen wirtschaftlichen Schaden in Millionenhöhe verursachen.[3]
In diesem Zusammenhang diskutieren Politik und Strafrechtswissenschaft seit Mitte 2016 über den Erlass eines neuen Straftatbestandes, § 202e StGB-E, auch „digitaler Hausfriedensbruch“ genannt. Den Startschuss lieferte ein Gesetzesantrag des Landes Hessen vom 17.06.2016[4], der vom Bundesrat übernommen und als Gesetzesvorlage in den Bundestag eingebracht wurde.[5] Nach einer ablehnenden Stellungnahme der Bundesregierung[6] ist der Entwurf des § 202e StGB mit der Bundestagswahl 2017 dem Diskontinuitätsprinzip[7] zum Opfer gefallen. Beendet sein dürfte die Diskussion damit aber nicht: Justizminister und Staatssekretäre von neun Bundesländern erneuerten jüngst in der sog. „Kasseler Erklärung“[8] ihren Ruf nach Einführung des § 202e StGB. In diesem Beitrag soll es darum gehen, § 202e StGB-E darzustellen und zu bewerten.
Inhalt & Zielsetzung des § 202e StGB-E
§ 202e StGB-E hat in seinem wesentlichen ersten Absatz folgenden Inhalt:
(1) Wer unbefugt
- sich oder einem Dritten den Zugang zu einem informationstechnischen System verschafft,
- ein informationstechnisches System in Gebrauch nimmt oder
- einen Datenverarbeitungsvorgang oder einen informationstechnischen Ablauf auf einem informationstechnischen System beeinflusst oder in Gang setzt,
wird mit Geldstrafe oder Freiheitsstrafe bis zu einem Jahr bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist. Die Tat nach Satz 1 ist nur strafbar, wenn sie geeignet ist, berechtigte Interessen eines anderen zu beeinträchtigen.
In sechs weiteren Absätzen enthält § 202e StGB-E u.a. Qualifikationen (Abs. 2, Abs. 4), besonders schwere Fälle (Abs. 3) sowie eine Regelung zur Strafbarkeit des Versuchs (Abs. 5). In Absatz 6 wird der Begriff „informationstechnisches System“ legaldefiniert; Absatz 7 regelt, dass die Tat nur auf Antrag verfolgt werden kann, wenn ein Angehöriger (bzw. ein Vormund oder der Betreuer) verletzt wurde bzw. der Verletzte mit dem Täter in häuslicher Gemeinschaft lebt.
Sinn und Zweck des § 202e StGB-E sind ausweislich der Entwurfsbegründung klar: Mithilfe des neuen Tatbestands sollen „Botnetze“ effektiver bekämpft werden können.[9]
Was sind Botnetze?
Mit dem Begriff „Botnetz“ wird für gewöhnlich eine große Anzahl informationstechnischer Systeme (PCs, Laptops, Tablets, Smartphones usw.) umschrieben, die mit dem Internet verbunden sind und – von ihrem rechtmäßigen Benutzer unbemerkt – mit einer Schadsoftware infiziert wurden, mit deren Hilfe sie von einem Dritten ferngesteuert werden können.[10] Dieser „Botmaster“ nutzt seine Armee von „digitalen Zombies“ dann als Infrastruktur für alle möglichen Tätigkeiten im Bereich der Cyberkriminalität, von DDoS-Attacken[11] über das Ausspähen von Daten der betroffenen Systeme bis hin zum Betrug im Onlinebanking.
Freilich sind alle diese Tätigkeiten schon jetzt strafbar. § 202e StGB-E setzt einen Schritt früher an: Durch ihn wird bereits das „Knüpfen“ eines Botnetzes durch Infiltration von informationstechnischen Systemen mit einer entsprechenden Schadsoftware unter Strafe gestellt.
Zweifelhafter Regelungsbedarf
Ob es dazu allerdings wirklich eines neuen Straftatbestandes bedarf, erscheint zweifelhaft. Der Gesetzesentwurf zu § 202e StGB behauptet zwar, die Errichtung eines Botnetzes werde durch das derzeit geltende Strafrecht nicht geregelt.[12] Einem näheren Hinsehen hält dieser Befund aber nicht stand. Insbesondere[13] der § 303a StGB (Datenveränderung) erscheint als taugliches Mittel, die Errichtung eines Botnetzes schon heute strafrechtlich zu erfassen. § 303a StGB ist immer dann einschlägig, wenn Daten rechtswidrig „verändert“[14] werden. Der Gesetzesentwurf beruft sich in diesem Zusammenhang darauf, dass § 303a StGB nicht solche Fälle regele, in denen ohne Veränderung bereits gespeicherter Daten schlicht neue Daten hinzugefügt werden.[15] Gerade dies sei bei einem Botnetz aber der Fall, weshalb der § 303a StGB nicht einschlägig sein könne.[16] Dass aber durch die Infiltration eines Systems mit einer Botnetz-Schadsoftware keine bereits gespeicherten Daten verändert, sondern schlicht neue Daten hinzugefügt werden, ist so nicht haltbar. Schon die Unterscheidung zwischen „Verändern“ und „Hinzufügen“ lässt sich aufgrund informationstechnischer Besonderheiten des jeweiligen Betriebssystems nicht immer durchhalten: Bei Unix-basierten Nutzeroberflächen wie OS X (Apple) oder Linux etwa wird das Betriebssystem als ein hierarchisches Verzeichnis mit beliebigen Unterverzeichnissen angelegt („Alles ist eine Datei“). Da jedes Programm einen Eintrag in diesem Verzeichnis verlangt, hat das Hinzufügen eines neuen Programms – z.B. der Botnetz-Schadsoftware – notwendigerweise zugleich auch die Veränderung des Betriebssystems und damit die Veränderung einer Datei i.S.d. § 303a StGB zur Folge.[17] Im Übrigen steht die Prämisse des Entwurfs auch mit den technischen Details der Botnetze selbst nicht im Einklang. Diese erschöpfen sich gerade nicht in der bloßen Installation einer Schadsoftware und damit dem schlichten Hinzufügen von Daten. Für ihr Funktionieren sind sie vielmehr auf die Zuweisung von Ressourcen des Systems, das sie infiltriert haben, angewiesen. Zu diesem Zweck schreiben sie bestehende Protokolle um und verändern dadurch „Daten“ i.S.d. § 303a StGB.[18] Insbesondere muss der eingeschleuste Bot eine Internetverbindung mit dem Botmaster herstellen und kaschieren können. Dieses heimliche Öffnen eines ansonsten verschlossenen Netzzugangs ist ohne Modifikation der diesen Vorgang steuernden Programme nicht denkbar.[19] Der vom Entwurf angesprochene Fall, dass der Datenbestand eines Systems durch die eingeschleuste Botnetz-Schadsoftware nicht verändert wird, hat mit der Realität also wenig zu tun.[20]
Wirkungslosigkeit in der Praxis
Auch wenn § 202e StGB-E tatsächlich eine normative Lücke im Strafrecht schließen würde: Ein Straftatbestand ist rechtspolitisch überflüssig, wenn er keine praktische Wirkung entfalten kann. Dies kann man für § 202e StGB-E im Hinblick auf die von ihm anvisierten Fälle – Errichten und Betreiben von Botnetzen – aus folgenden Gründen vorhersehen:
Zunächst findet das Errichten und Betreiben eines Botnetzes im Verborgenen statt: Ist die Infiltration des IT-Systems mit der Schadsoftware einmal erfolgt, hat der durchschnittliche User zunächst keinen Anlass, Verdacht zu schöpfen, da das Botnetz unbemerkt im Hintergrund arbeitet. Es ist daher wenig wahrscheinlich, dass die Strafverfolgungsbehörden zu diesem Zeitpunkt Kenntnis von der Tatbestandsverwirklichung erlangen. Das kann sich zwar dann ändern, wenn das Botnetz zu kriminellen Zwecken eingesetzt wird und deshalb bei dem User ein „fühlbarer“ Schaden entsteht (Beispiel: Mithilfe von sog. „Crypto-Trojanern“ werden Daten auf der Festplatte verschlüsselt, die Entschlüsselung dem User dann gegen Geld angeboten). Auch in diesem Fall würde ein künftiger § 202e StGB aber kaum praktische Wirksamkeit entfalten, da die dann einschlägigen Straftatbestände – in unserem Beispiel: Erpressung nach § 253 Abs. 1 StGB – ohnehin ein höheres Strafmaß vorsehen.[21]
Und selbst wenn der Befall des Systems durch die Botnetz-Schadsoftware offenbar geworden ist: Gegen wen soll man vorgehen? Die Täter treten hier als anonyme Absender von automatisch generierten Spam-E-Mails bzw. als anonyme Betreiber von präparierten Internetseiten (beides typische Methoden der Infektion mit Botnetz-Schadsoftware) auf. Dabei setzen sie für gewöhnlich ausgefeilte Verschleierungstaktiken bzw. -techniken ein (Nutzung fremder Internetzugänge, Einsatz von Proxy-Servern, Datenverschlüsselung usw.)[22], um ihre Identität geheim zu halten und sind deshalb mit vertretbarem Aufwand kaum zu ermitteln.[23] Hinzu tritt: Wenn ausnahmsweise doch einmal konkrete Ermittlungsansätze bestehen, dürften diese in aller Regel ins Ausland führen, da Botnetze international arbeitsteilig betrieben werden – komplexe Rechtshilfeverfahren wären die Folge. Angesichts begrenzter Justizressourcen würden entsprechende Verfahren wohl spätestens an dieser Stelle im Sande verlaufen.[24]
Stattdessen: drohende Kriminalisierung von Alltagsverhalten
Sollte § 202e StGB-E tatsächlich einmal in Kraft treten, dürften anstelle von Botnetzen und ihren Betreibern ohnehin ganz andere Sachverhalte in den Fokus der Ermittlungstätigkeit geraten. Das hat maßgeblich mit der schwachen Kontur des § 202e StGB-E zu tun: Strafbar sein soll schon das bloße Verschaffen des Zugangs zu einem informationstechnischen System (Abs. 1 S. 1 Nr. 1), das In-Gebrauch-Nehmen eines solchen Systems (Nr. 2) sowie das reine Beeinflussen oder In-Gang-Setzen eines Datenverarbeitungsvorgangs auf einem solchen System (Nr. 3) – insgesamt also jeder Umgang mit einem IT-System gegen den Willen des Berechtigten („unbefugt“).[25] Da unser Alltag aber mehr und mehr von IT-Systemen durchsetzt wird, ist die Reichweite des § 202e StGB-E unübersehbar groß. Auch die „Bagatellklausel“ des § 202e Abs. 1 S. 2 StGB-E („Die Tat nach Satz 1 ist nur strafbar, wenn sie geeignet ist, berechtigte Interessen eines anderen zu beeinträchtigen“) schränkt diese tatbestandliche Weite abstrakt nicht ein, da sie auf den konkreten Einzelfall abhebt. Ohne weiteres lassen sich deshalb alltägliche Fallgestaltungen denken, die weder mit Botnetzen noch mit „Cybercrime“ etwas zu tun haben, von einem künftigen § 202e StGB aber sehr wohl erfasst wären: So könnte man sich in Zukunft u.U. durch das bloße Einwählen (!) in ein offenes W-LAN strafbar machen. Denn mit dem Einwählen hat man sich Zugang zu einem informationstechnischen System verschafft (§ 202e Abs. 1 S. 1 Nr. 1 StGB-E). Da zudem das Einwählen in ein fremdes W-LAN zumindest geeignet ist, die Interessen des Betreibers zu beeinträchtigen – zu einer tatsächlichen Verletzung muss es nicht kommen[26] – hinge die Strafbarkeit im Einzelfall davon ab, ob der Berechtigte einverstanden war („unbefugt“).[27] Und selbst banale Tätigkeiten wie das Einschalten eines Smart-TVs gegen den Willen des Gastgebers (§ 202e Abs. 1 S. 1 Nr. 3 StGB-E) könnten ungeahnte strafrechtliche Relevanz bekommen.[28]
Zusammenfassung
Insgesamt stellt sich der vom Land Hessen vorgeschlagene Straftatbestand des „digitalen Hausfriedensbruchs“ (§ 202e StGB-E) also als völlig verfehlt dar. Zur Bekämpfung der von ihm anvisierten Sachverhalte (Botnetze) ist er weder geeignet noch erforderlich. Stattdessen kriminalisiert er eine Vielzahl von nicht strafwürdigen, alltäglichen Verhaltensweisen. Man kann deshalb nur hoffen, dass der Entwurf auch in dieser Legislaturperiode nicht Gesetz wird.
[1] BKA, Cybercrime, Bundeslagebild 2016, S. 12.
[2] BSI, Die Lage der IT-Sicherheit in Deutschland 2017, S. 30 f.
[3] So soll der Schaden, den die Botnetz-Infrastruktur „Avalanche“ ausgelöst hat, allein in Deutschland 6 Millionen Euro betragen, siehe https://daserste.ndr.de/panorama/aktuell/Ermittler-stoppen-millionenfachen-Identitaetsdiebstahl-von-Windows-Usern,botnetz120.html.
[4] BR-Drs. 338/16.
[5] BT-Drs. 18/10182.
[6] https://www.bundestag.de/presse/hib/201611/-/478856.
[7] Damit ist der Umstand gemeint, dass alle nicht vor Ende der Legislaturperiode abgeschlossenen Gesetzesvorhaben automatisch verfallen.
[8] https://www.justiz.bayern.de/media/images/86_anlage_kasseler_erkl%C3%84rung.pdf. Die Erklärung vom 31.07.2017 fordert für die kommende Legislaturperiode eine „digitale Agenda für das Straf- und Strafprozessrecht“ und nennt als Beispiel dafür an erster Stelle die Einführung des § 202e StGB.
[9] BR-Drs. 338/16, S. 2.
[10] BR-Drs. 338/16, S. 3.
[11] DDoS steht für „distributed denial-of-service“. Bei einer DDoS-Attacke wird ein Internetdienst von mehreren Quellen mit einer Vielzahl von Anfragen geflutet. Ziel einer solchen Attacke ist es, eine Überlastung des Systems und eine damit einhergehende Dienstblockade herbeizuführen.
[12] BR-Drs. 338/16, S. 5 ff.
[13] Weitere Tatbestände, die bei der Errichtung eines Botnetzes einschlägig sein können (es aber nicht zwingend sein müssen) sind die §§ 202a, 202b StGB sowie § 44 Abs. 1 i.V.m. § 43 Abs. 2 Nr. 1, 4 BDSG. Ausf. dazu Mavany, KriPoZ 2016, 108 ff.
[14] Unter den Begriff des „Veränderns“ von Daten fällt jede denkbare Form des inhaltlichen Umgestaltens gespeicherter Daten, die eine Bedeutungsveränderung der Daten in ihrem Informationsgehalt oder Aussagewert und somit eine Funktionsbeeinträchtigung zur Folge hat (BT-Drs. 10/5058, S. 35).
[15] Das entspricht einer gängigen Lehrmeinung, vgl. Ernst, NJW 2003, 3233 (3238).
[16] BR-Drs. 338/16, S. 6.
[17] Heine, NStZ 2016, 443.
[18] Mavany, KriPoZ 2016, 109.
[19] Heine, NStZ 2016, 443 f.
[20] Mavany, KriPoZ 2016, 110.
[21] § 202e Abs. 1 S. 1 StGB-E enthält ein relativ geringes Strafmaß von Geldstrafe oder Freiheitsstrafe bis zu einem Jahr.
[22] Vgl. Dalby, Grundlagen der Strafverfolgung im Internet und in der Cloud, 2016, S. 234 ff.
[23] Ähnlich auch das Fazit von Stam, ZIS 2017, 551: Eine Strafverfolgung sei in der Praxis „regelmäßig überhaupt nicht oder nur mit größten Schwierigkeiten möglich.“
[24] Buermeyer/Golla, K&R 2017, 16.
[25] Buermeyer, „Digitaler Hausfriedensbruch“ – IT-Strafrecht auf Abwegen, https://www.lto.de/recht/hintergruende/h/entwurf-straftatbestand-digitaler-hausfriedensbruch-botnetze-internet/.
[26] Vgl. zur wortgleichen Bagatellklausel bei § 201 StGB Graf, in: Münchener Kommentar, StGB, 3. Auflage 2017, § 201 Rn. 38.
[27] Mavany, ZRP 2016, 223.
[28] Dieses und weitere (absurde) Beispiele bei Buermeyer/Golla, K&R 2017, 16 f.