(Computerwoche 39/2000 v. 29.9.2000. S. 53f.)

Der Beitrag in der Computerwoche vom 29.9.2000 gibt einen Überblick über die rechtliche Einordnung verschiedener Fallkonstellationen im Internet, stuft diese in Strafrechtbestimmungen ein und erläutert die Konsequenzen solcher Taten.

Das Internet weist als Spiegelbild der Gesellschaft auch im virtuellen Raum alle Facetten auf, die in der tatsächlichen Welt vorhanden sind. Neben den in einer Vielzahl von Beiträgen beleuchteten technischen und wirtschaftlichen Möglichkeiten, bietet das Internet ebenso kriminellen Elementen die Chance, sich zu betätigen. Insoweit herrscht auch im Internet für Straftäter eine „new economy“.

Ausgeklammert werden in diesem Beitrag die bereits ausgiebig beschriebenen Tatbestände von Kinderpornografie oder Verbreitung national-sozialistischen Gedankenguts. Diesbezüglich liegen die Probleme mehr im tatsächlichen Bereich, nämlich dem Auffinden der Angebote selbst und der Identifikation und Überführung der Täter.

Wirtschaftlich von größerer Bedeutung sind Delikte wie Computerbetrug und -Sabotage, Datenmanipulation, das Ausspähen von Daten sowie Delikte im Immaterialgüterrecht, wie die Verletzung von Urheberrechten im Rahmen der Softwarepiraterie. Gemeinhin werden vorgenannte Tatbestände unter dem Begriff der Computerkriminalität zusammengefasst. Statistiken zu der Computerkriminalität im Bereich des Internet sind rar. Nach einer Statistik des Bundeskriminalamts, die auf der Internetpräsenz der Behörde angeboten wird, wurden 1999 45359 Fälle der Computerkriminalität erfasst, wovon jedoch 36613 Fälle EC- und Kreditkartenbetrugstatbestände beinhalten. Die dargestellten Fälle von Datenveränderung, Computersabotage (302), Ausspähen von Daten (210) sowie Softwarepiraterie (privat 972/gewerblich 1252), dokumentieren hier nur einen geringen Teil der Kriminalität, die im Internet stattfindet. Zu unterstellen ist hierbei eine ganz erhebliche Dunkelziffer sowohl im Bereich der Softwarepiraterie als auch im Bereich des Ausspähens von Daten. Daneben bleiben Hacker-Angriffe häufig unentdeckt, so dass diese naturgemäß nicht zu den erfassten Fällen zählen.

Als Taten im Internet sind im wesentlichen drei Kernbereiche von Bedeutung.

Zunächst sind hier die „klassischen“ Hacker- und Cracker-Delikte wie Datenveränderung, Computersabotage und das Ausspähen von Daten anzuführen. Ein weiterer wichtiger „Geschäftszweig“ dürfte sich im Feld des Computerbetruges herausbilden. Schließlich wirtschaftlich von größter Bedeutung ist das Gebiet der Verletzung von Urheberrechten durch private oder gewerbsmäßige Software- und zunehmend Musikpiraterie.

Der erste Bereich von Datenveränderung und Ausspähen von Daten ist so alt wie die Datenverarbeitung selbst. Zum Ausspähen von Daten findet sich schon beim Kennwort „Sesam öffne Dich“ ein Beispiel.

Allen voran stehen die Angriffe von Hackern auf staatliche Einrichtungen, die teilweise als Motiv hatten, Schwachstellen behördlicher Systeme zu dokumentieren. Hier hat sich insbesondere der Chaos Computer Club hervorgetan. Regelmäßig jedoch dient das Vorgehen der Täter eigenen Interessen – seien sie materieller oder ideeller Natur.

Dieses häufig als „Kavaliersdelikt“ eingestufte Eindringen in fremde Rechnersysteme erfüllt den Tatbestand des Ausspähens von Daten nach § 202 a StGB, der sich als eine Art Strafbestimmun gegen den „elektronischen Hausfriedensbruch“ einordnen lässt. Bei dem Ausspähen von Daten muss es sich nicht zwingend um geheime Daten handeln. Mit dem Schutz über das Verfügungsrecht von Daten werden bereits solche Daten erfasst, die nicht für den Täter bestimmt und gegen unberechtigten Zugang besonders gesichert sind. Unter einer besonderen Sicherung verstehen Juristen in diesem Zusammenhang keine allzu hohen Anforderungen. Hierbei reichen Vorkehrungen aus, die speziell zu dem Zweck geschaffen wurden, den Zugang Un-befugter zu verhindern oder erschweren.

In diesem Zusammenhang findet sich neben dem klassischen Angriff auf Computersysteme durch Überwindung von Login-Sperren auch die Spielart des Ausspähens von Daten mittels „trojanischer Pferde“ sowie durch den Einsatz von Active-X oder Java-Applets. Umstritten ist weiterhin, ob das Port-Scannen bereits strafrechtliche Relevanz entfaltet. Das Scannen selbst dürfte noch kein unmittelbares Ansetzen zur Verwirklichung eines Straftatbestands darstellen, da es bezogen auf die reale Welt etwa mit dem Ausspähen einer Wohnungsadresse vergleichbar ist und damit nur eine Vorbereitungshandlung darstellt.

Ein Eindringen in fremde Computer, das ein Ausspähen von Daten im Sinne des § 202a StGB erfüllt, wird mit einer Freiheitsstrafe von bis zu 3 Jahren oder mit Geldstrafe bestraft. Herauszustellen ist hier, dass die Strafverfolgung einen Strafantrag des Verletzten voraussetzt (§ 205 Abs. 1 StGB). Dies bedeutet, dass die Staatsanwaltschaft keine Anklage erheben darf, wenn der Antrag nicht gestellt wurde, wobei der Strafantrag innerhalb von 3 Monaten nach Kenntnis der Tat und der Person des Täters zu stellen ist.

Ein weiteres, breites Betätigungsfeld oft jugendlicher Täter stellen die Tatbestände der Computersabotage und Datenveränderung nach den §§ 303a und 303b StGB dar. Beide Tatbestände kommen in Betracht, wenn beim Eindringen in fremde Rechner oder bei der Kommunikation in Computernetzen Daten vorsätzlich und rechtswidrig gelöscht, unterdrückt, unbrauchbar gemacht oder verändert werden. Lebhaftes Beispiel für die Erfüllung des Tatbestandes der Datenveränderung und Computersabotage ist der Einsatz von Computerviren oder „Würmern“.

Strafandrohung für Datenveränderung ist eine Freiheitsstrafe bis zu 2 Jahren oder Geldstrafe. Für Computersabotage hat der Gesetzgeber angesichts der damit verbundenen Bedeutung für Behörden oder Unternehmen eine Freiheitsstrafe von bis zu 5 Jahren vorgesehen. Fraglich erscheint in diesem Zusammenhang, ob durch eine sogenannte Denial-of-Service-Attacke (DoS) vorgenannte Straftatbestände erfüllt werden. Vereinfacht dargestellt wird mittels Programmen wie „TRIN00“, „TFN“ oder „Stacheldraht“ eine Client-Server-Vernetzung aufgebaut und durch das Zusammenschalten einzelner Rechner ein einzelner Server angegriffen.

Hierbei macht sich der Angreifer Schwächen im TCP/IP-Protokoll zu Nutze und richtet eine „schlafende Armee“ von einzelnen Maschinen ein, die im nächsten Schritt – dem „Broadcast“ – aktiviert werden und Unmengen von Datenpaketen auf die vordefinierte Zielmaschine senden, das sogenannte UDP-Flooding. Durch die Beantwortung der riesigen Anzahl einzelner UDP-Pakete von beispielsweise 1000 zusammengeschalteten Rechnern kommt es beim angegriffenen Server zu einem Speicherüberlauf, der zum Absturz des Systems führt und es teilweise lahm legt. Zweifelhaft und noch nicht gerichtlich entschieden ist hierbei die Strafbarkeit eines solchen Verhaltens, da weder eine unmittelbare Datenveränderung noch eine Sachbeschädigung vorliegt.

Fraglich ist auch, inwieweit der Tatbestand der Computersabotage erfüllt wird, da hierfür der Server durch die konkrete Angriffshandlung nicht nur gestört werden muss, sondern zusätzlich die Störung der Datenverarbeitungsanlage durch deren Zerstörung, Beschädigung, Veränderung, Beseitigung oder Unbrauchmachung verursacht sein muss. Der „Absturz“ des Rechners durch den Speicherüberlauf ist nur mittelbare Folge des UDP-Flooding, so dass zumindest ungewiss ist, ob im Hinblick auf das strafrechtliche Bestimmtheitsgebot ein Gericht hier eine Computersabotage annehmen würde. Unabhängig von der strafrechtlichen Komponente ist jedoch zu berücksichtigen, dass sich ein Täter einer solchen DoS-Attacke ganz erheblichen zivilrechtlichen Schadensersatzforderungen ausgesetzt sehen muss.

Der zweite wichtige Komplex der Computerkriminalität liegt im Computerbetrug nach § 263a StGB, bei der ein Täter in der Absicht sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen einen anderen durch eine Computermanipulation schädigt. Unter den Tatbestand des Computerbetruges fallen beispielsweise die Veranlassung unrichtiger Überweisungen, unberechtigte Auslieferung von Waren durch Computermanipulation oder Missbrauch gebührenpflichtiger Telefonnummern. Tathandlung ist hier die „Täuschung“ des Computers, dessen „Irrtum“ insoweit den menschlichen Irrtum ersetzt. Die Strafandrohung für Computerbetrug liegt bei einer Freiheitsstrafe von bis zu 5 Jahren.

Erwähnt sei im Zusammenhang mit Betrugstatbeständen auch der Verbraucherbetrug im Internet. Hierbei handelt es sich nicht um ein Computerdelikt im engeren Sinne. Der Nutzer wird lediglich unter Nutzung des Mediums Internet getäuscht, so dass dieser Deliktsvorwurf insoweit nur computer- oder internetspezifisch ist, als zur Verbreitung der Information das Internet eingesetzt wird. Beispielhaft hierfür ist der Verkauf von nicht existierender Ware über Online-Auktionen oder Chat-Rooms, bei denen der Käufer erst nach Entrichtung einer Anzahlung die Unredlichkeit feststellt. Indes werden solche Betrugsformen zunehmen, da sich Täter verschiedene Vorteile des Internet leicht zunutze machen können. Genannt sei hier die Aussicht aus Rechts- oder Vollstreckungsoasen weitgehend unentdeckt zu operieren.

Der Vollständigkeit halber sei im Rahmen der Darstellung von unseriösen Anbietern auch der Tatbestand des unerlaubten Veranstaltens von Glücksspielen nach den §§ 284, 285 oder 287 StGB genannt. Danach verstößt das Anbieten von ungenehmigten Glücksspielen auf deutschen Servern gegen genannte Vorschriften. Ebenfalls dürfte das Anbieten einer Vermittlung von Glücksspielen über ein deutsches Portal, das auf einen im Ausland stehenden Glücksspielserver zeigt, dennoch dem deutschen Straf-recht unterfallen und unerlaubtes Glücksspiel darstellen. Rechtsprechung hierzu fehlt jedoch derzeit.

Dritter und letzter Komplex der wirtschaftlich bedeutsamen Straftaten im Internet ist die Verletzung des geistigen Eigentums. Allen voran ist hierbei die Software- und Musikpiraterie zu nennen. Nach den spezialgesetzlichen Regelungen des Urheberstrafrechts macht sich ein Täter gemäß § 106 UrhG strafbar, wenn er ohne Einwilligung des Berechtigten ein Werk vervielfältigt, verbreitet oder öffentlich wiedergibt. Hier drohen dem Täter strafrechtliche Sanktionen mit einer Freiheitsstrafe von bis zu 3 Jahren, wobei auch hier grundsätzlich ein Strafantragserfordernis nach § 109 UrhG besteht, indes bei öffentlichem Interesse auch eine Verfolgung von Amts wegen möglich ist.

Das Kopieren von Software oder Musikstücken ohne Einwilligung des Rechteinhabers ist verboten, soweit nicht die gesetzlichen Ausnahmen, wie z.B. § 69d Abs. 2 UrhG, der das Anfertigen von Sicherheitskopien zuläßt, eingreifen. Vor dem Vorhandensein adäquater Bandbreiten im Internet musste insbesondere der gewerbsmäßige Softwarepirat die Software noch auf körperlichen Trägermedien wie Diskette oder CD-ROMs zum Abnehmer verschicken.

Durch die heute vorhandenen Übertragungsgeschwindigkeiten wird ein weiterer logistischer Kanal eröffnet, über den Software ohne großen Aufwand räumlich ungebunden verbreitet werden kann. Bei der Verfolgung von Urheberrechtsverletzungen liegt die Problematik weniger im Bereich des materiellen Strafrechtes als vielmehr darin, dem Anbieter von Raubkopien habhaft zu werden. Auch hier gilt das Vorgesagte, wonach ein Anbieter regelmäßig anonym sowie von Rechts- oder Vollstreckungsoasen aus seine Tätigkeit entfalten kann.

Im Vergleich zu der wohl großen Anzahl dieser Taten sind Strafverfahren selten. Sie geben jedoch jeweils Anlass zu ganz erheblichen Strafen, um dem Präventionscharakter des Strafrechtes gerecht zu werden und Nachahmer abzuschrecken. Ergänzt sei, dass Hard- und Software, die für die Urheberrechtsverletzung genutzt wurden, nach § 110 UrhG eingezogen werden können.

Für den Betroffenen von ganz erheblicher Bedeutung sind zusätzlich die zivilrechtlichen Forderungen, die der geschädigte Rechtsinhaber gegen den Verletzer hat. Im Rahmen des Schadensersatzes und Unterlassungsanspruchs nach § 97 Abs. 1 UrhG, der den Anspruch auf Beseitigung und Unterlassung sowie Schadensersatz normiert, kann der Geschädigte Schadensersatz auf drei Arten erhalten. Er hat ein Wahlrecht entweder den Ersatz der erlittenen Vermögenseinbuße einschließlich des entgangenen Gewinns, die Zahlung einer angemessenen Lizenz oder die Herausgabe des Verletzergewinns zu verlangen.

Da ein konkreter Nachweis des entgangenen Gewinns trotz Beweiserleichterungen regelmäßig schwierig ist, bietet die Forderung einer angemessenen Lizenz den einfachsten Weg für die Durchsetzung des Schadensersatzanspruches. Danach hat der Schädiger dem Rechteinhaber den Betrag zu ersetzen, der den Rechteinhaber für die Erteilung einer angemessenen Lizenz üblicherweise vereinbart hätte. Wenn beispielsweise über eine Internetseite mehrere 1000 Vervielfältigungen erfolgt sind, werden leicht fünf- bis sechsstelligen Forderungen erreicht.

Zusammenfassend ist als Ergebnis festzuhalten, dass bei Straftaten im Internet zum einen teilweise alte Betrugsformen nur dem Medium entsprechend umgesetzt werden, zum anderen durch die nutzbare Technik neue Varianten von Taten geschaffen wurden. Für den Täter kann ein entsprechendes Handeln zu ganz erheblichen straf- und zivilrechtlichen Konsequenzen führen. Jeder, der in ein fremdes Rechnersystem eindringt, muss damit rechnen, nicht unerheblich bestraft zu werden. Dies gilt auch und vor allem für Personen, die vorsätzlich Viren in den Umlauf bringen, um andere zu schädigen.

Als wesentliche Kernproblematik des Strafrechts im Internet bleibt es bei dem Komplex des Anbietens von geschützten Werken, wie Software oder auch Musik im MP3-Format. In Zukunft ist davon auszugehen, dass in der Bevölkerung eine zunehmende Sensibilisierung – nicht zuletzt durch spektakuläre Fälle – erreicht und das Unrechtsbewußtsein jugendlicher Internet-Nutzer steigen wird. Richtern ist es dabei zu wünschen, eine Ausstattung zu erhalten, die ihnen ein Nachvollziehen der tatsächlichen Umstände bei Gericht ermöglicht. Dies wäre nicht zuletzt aus Gründen eines wirksamen Rechtsschutzes geboten.