Content

Rainer Franosch, Das Darknet – ein rechtsfreier Raum? Überlegungen zur Notwendigkeit einer Digitalen Agenda für das Straf- und Strafprozessrecht in:

Patrick Ernst Sensburg (Ed.)

Sicherheit in einer digitalen Welt, page 23 - 44

1. Edition 2017, ISBN print: 978-3-8487-3639-3, ISBN online: 978-3-8452-7972-5, https://doi.org/10.5771/9783845279725-23

Bibliographic information
Das Darknet – ein rechtsfreier Raum? Überlegungen zur Notwendigkeit einer Digitalen Agenda für das Straf- und Strafprozessrecht Rainer Franosch1 Einleitung Während der Begriff „Cybercrime“ schon länger in den Medien präsent ist, wurde die breite Öffentlichkeit in Deutschland erst im Sommer 2016 darauf aufmerksam, dass es in diesem Kontext auch um herkömmliche Straftaten wie Drogen- und Waffenhandel geht, deren Begehung indes mit Hilfe des sogenannten „Darknet“ wesentlich erleichtert wird. Auslöser für die umfangreiche Berichterstattung über das Darknet war der Amoklauf von München am 22. Juli 2016, bei dem der 18-jährige Schüler David S. am und im Olympia-Einkaufszentrum neun Menschen erschoss und vier weitere durch Schüsse verletzte. Mindestens 32 Personen verletzten sich auf der Flucht oder bei der Panik, die in der Münchner Innenstadt ausbrach. Bei der Tatwaffe handelte es sich um eine wieder gebrauchsfähig gemachte, ursprünglich deaktivierte Pistole vom Typ Glock 17, deren Seriennummer entfernt worden war und die ein Beschusszeichen aus der Slowakei aufwies. S. hatte die Waffe mit zunächst 100 Schuss Munition im Mai 2016 für rund 4.300,- EUR über einen Darknet-Marktplatz bei einem Händler aus Marburg erworben2. Die Ermittlung des mutmaßlichen Verkäufers der Tatwaffe gelang in einem Ermittlungsverfahrens der „Hessischen Zentralstelle zur Bekämpfung der Internetkriminalität“, die sich als Außenstelle der Generalstaatsanwaltschaft Frankfurt am Main seit mehr als sechs Jahren mit der Verfolgung von Cybercrime befasst. Waf- I. 1 Der Autor ist im Hessischen Ministerium der Justiz als Referatsleiter u.a. für Cybercrime zuständig und war zuvor Leiter der Hessischen Zentralstelle zur Bekämpfung der Internetkriminalität. Der Beitrag gibt ausschließlich seine persönliche Auffassung wieder. 2 https://de.wikipedia.org/wiki/Amoklauf_in_M%C3%BCnchen; http://www.br.de/-n achrichten/amok-waffe-muenchen-100.html. 23 fenhandel als Cybercrime-Straftat, eine auf den ersten Blick ungewöhnliche Einordnung. Als „Cybercrime“ (früher „Informations- und Kommunikationskriminalität“ oder auch verkürzend „Internetkriminalität“) bezeichnet man alle kriminellen Handlungen, die • gegen elektronische Kommunikationsnetze und Informationssysteme (Cybercrime im engeren Sinn, englisch: „cyber-dependent crimes“, z.B. Datenveränderung, § 303a StGB, Ausspähen von Daten, § 202a StGB etc.) oder • mittels derartiger Netze und Systeme verübt werden (Cybercrime im weiteren Sinn, englisch: „cyber-enabled crimes“, also Taten, bei denen das Internet als virtuelles Tatwerkzeug für die Begehung von Straftaten genutzt wird, z.B. Verbreitung von Kinderpornografie, Volksverhetzung, Verbreitung extremistischer Propaganda, öffentliche Aufforderung zu Straftaten, betrügerisches Anbieten von Waren und Dienstleistungen oder Geldanlagen, verbotenes Glücksspiel, unlautere Werbung, Urheberrechtsverletzungen, Verkauf von Waffen, Betäubungsmitteln oder verbotenen Medikamenten). Auch wenn die meisten Internet-Straftaten Betrugsdelikte sind (Anteil in der Polizeilichen Kriminalstatistik 2015: 74,5 Prozent3), darf die gesamtgesellschaftliche Bedrohungslage durch Cybercrime nicht unterschätzt werden. Die besonderen Herausforderungen gerade dieses Kriminalitätsfeldes resultieren aus den technischen Charakteristiken des Internets und spiegeln sich in der oben getroffenen Unterscheidung zwischen „cyber-dependent“ und „cyber-enabled“ wider. Beide Aspekte sollen nachfolgend anhand zweier ausgewählter Phänomene kurz beleuchtet werden. Dabei will sich der Beitrag nicht auf das Darknet beschränken, da dies zu einem verengten Blickwinkel führen könnte. Darknet-Marktplätze und die Underground Economy – cyber-enabled crime Als Darknet-Marktplatz wird eine abseits des offenen Internets im Darknet angesiedelte virtuelle Handelsplattform bezeichnet. Der Handel mit illega- II. 3 https://www.bmi.bund.de/SharedDocs/Downloads/DE/Broschueren/2016/pks-2015. pdf?__blob=publicationFile. Rainer Franosch 24 len Waren und Dienstleistungen an sich ist dabei kein neues Phänomen. Schon von Beginn an wurde das Internet als Kommunikationsmedium zur Begehung von Straftaten verwendet. Illegale Güter gehörten zu ersten Gegenständen, die mithilfe des noch jungen Internet gehandelt wurden. In den frühen 1970er Jahren nutzten Studenten an der Stanford University und dem Massachusetts Institute of Technology das Internet, damals noch als „Arpanet“ bezeichnet, um den Kauf von Cannabis zu koordinieren4. In den 80er Jahren wurden Drogenverkäufe über das Usenet in Gruppen wie „alt.drugs“ angebahnt und offline abgewickelt5. Seit Anfang der 2000er Jahre wurden Foren für Internet-Handel mit den Crimeware- und Hackerwerkzeugen immer populärer, wobei schon in frühen Cybercrime- und Cardingforen wie „ShadowCrew“ auch Drogen erhältlich waren. Den Durchbruch bedeutete das Aufkommen des TOR-Netzwerkes. Die Veröffentlichung einer ersten Version des vom United States Naval Research Laboratory entwickelten TOR (Abkürzung für „The Onion Routing“) – einer Peer-to-Peer-Software, welche zur Wahrung der Anonymität die IP-Adressen der Nutzer verschleiert – im September 2002 ermöglichte erst das Darknet (auch als „Deep Web“ bezeichnet) in seiner heutigen Form. Die TOR-Software bedient sich eines Prinzips, das an eine Zwiebel und ihre Schichten erinnert, woher auch die Bezeichnung rührt. Jede Anfrage wird durch mindestens drei TOR-Server geleitet, ohne dass der jeweilige Server weiß, woher die Anfrage kommt und wohin sie weitergeleitet wird. Zwischen ihnen werden die Informationen verschlüsselt verschickt und können nicht eingesehen werden. Das TOR-Netzwerk erlaubt aber nicht nur den anonymen Zugriff auf herkömmliche Webseiten, sondern auch die Bereitstellung anonymer und schwer lokalisierbarer Angebote, wobei gleichzeitig die Anonymität der Nutzer durch Verschleierung der Verkehrsdaten gewahrt wird. Der Zugriff auf diese sogenannten TOR Hidden Services bzw. TOR Onion Sites erfordert grundsätzlich den Einsatz der TOR-Software. Die TOR-Technologie ermöglicht erstmals einem breiteren Publikum ohne größere IT-Kenntnisse ein anonymes Hosting, also die Einrichtung von Webseiten mit kriminellen Inhalten, deren physikalischer Speicherort für die Strafverfolgungsbehörden nicht ohne Weiteres aufklärbar ist und die 4 https://www.theguardian.com/science/2013/apr/19/online-high-net-drugs-dea.l. 5 http://kernelmag.dailydot.com/issue-sections/features-issue-sections/11680/hive-sil k-road-drugs-history/. Das Darknet – ein rechtsfreier Raum? 25 nicht, wie sonst allgemein bei WWW-Angeboten möglich, über den Host- Provider abschaltbar sind. Immer mehr verlagert sich seitdem der Handel mit illegalen Waren und Dienstleistungen unter Nutzung digitaler Währungen wie Bitcoin und mithilfe von Treuhanddiensten in das Internet. Im Februar 2011 ging die Darknet-Plattform „Silk Road“ ans Netz; vom später verhafteten Betreiber, dem US-Amerikaner Ross Ulbricht, offen als „Amazon für Drogen“ beworben. Die zunehmend arbeitsteilig funktionierende Cyberunterwelt wird zu Recht als „Underground Economy“ bezeichnet. Täter kaufen und verkaufen illegale Waren und Dienstleistungen, finden sich zu international agierenden Banden zusammen, ohne sich ein einziges Mal im wahren Leben getroffen zu haben. Es existiert ein funktionierender globaler Markt, auf dem Angriffswerkzeuge, Erkenntnisse über Schwachstellen in Betriebssystemen oder Schadsoftware eingekauft oder als Dienstleistung in Auftrag gegeben werden können („Crime-as-a-Service“). Sogar Auftragsmörder bieten ihre Dienste im Darknet an. Dies war aus US-amerikanischen Ermittlungsverfahren schon bekannt. Auch in Hessen hat es inzwischen einen derartigen Fall gegeben: Im Frühjahr 2014 kam der Angeschuldigte A via Internet über das „Darknet“ in Kontakt mit dem Mitangeschuldigten B. B war im Forum http://germanyXXX.onion schon seit längerem auf der Suche nach Arbeit und bot gegen lukrative Bezahlung die Erledigung von Diensten aller Art an: „Fast egal was! Transporter, Mafia, Hitman“ Der Angeschuldigte A beauftragte B über Internet, gegen Entgelt für ihn den C zu töten, da dieser seit Mitte März 2014 der neue Lebensgefährte seines Ex-Freundes D war. Die Trennung von D hatte der von massiver Eifersucht sowie Missgunst geplagte A nicht verwunden. Für den geplanten Mord erhielt B eine Anzahlung in Höhe von 3.000,00 €, zusätzliche 10.000.- € waren als „Erfolgshonorar“ vereinbart worden. B suchte sodann das Opfer C auf und versuchte, ihm mit einem Messer mit 20 cm langer Klinge die Kehle durchzuschneiden. C konnte mit Hilfe von Zeugen den Angriff abwehren und überlebte mit erheblichen Schnittverletzungen im Hals-, Gesichts- und Schulterbereich sowie an den Händen. Ohne die Möglichkeit, anonym über das Darknet nach einem Auftragsmörder zu suchen, wäre es dem in kriminellen Dingen völlig unerfahrenen Rainer Franosch 26 A nicht gelungen, die Verbindung zu einer tatgeneigten Person aufzunehmen. Die nahezu unbegrenzten Möglichkeiten von Cybercrime führen dazu, dass sich auch die organisierte Kriminalität zunehmend dieses Bereiches annimmt. Der Drogen- und Waffenhandel über das Internet weist klare OK-Bezüge auf. Hessen hat bereits Anfang 2010 eine Zentralstelle zur Bekämpfung der Internetkriminalität ins Leben gerufen, die sich in einem ihrer Schwerpunkte mit der Strafverfolgung von Mitgliedern der „Underground Economy“ befasst. Zuständige polizeiliche Ermittlungsbehörde ist dabei oft das Hessische Landeskriminalamt. Ferner wurden der ZIT vom Bundesinnenministerium eine Erstzuständigkeit bei vom Bundeskriminalamt (BKA) geführten Ermittlungsverfahren wegen Cybercrime zugewiesen, sofern eine örtlich zuständige Staatsanwaltschaft noch nicht festgestellt werden kann.6 Die Arbeit der ZIT hat zu sehr erfreulichen Ermittlungserfolgen bei Darknet-Ermittlungen geführt. Neben der bereits erwähnten Festnahme des mutmaßlichen Waffenverkäufers der Tatwaffe des Amoklaufs von München ist hier insbesondere die Operation ONYMOUS zu nennen. Die Operation ONYMOUS war ein bedeutender Schlag der Strafverfolgungsbehörden gegen illegale Online-Marktplätze im Darknet7. Im Rahmen zahlreicher Ermittlungsmaßnahmen und einer erfolgreichen internationalen Kooperation konnten im November 2014 eine Vielzahl von illegalen Webseiten im Darknet geschlossen sowie Festnahmen von Verantwortlichen und umfangreiche Sicherstellungen umgesetzt werden. Der ZIT gelang es als federführende Staatsanwaltschaft des deutschen Anteils der Operation ONYMOUS zusammen mit der Gemeinsamen Ermittlungsgruppe Rauschgift (GER) des Hessischen Landeskriminalamtes und des Zollfahndungsamtes Frankfurt am Main zwei bedeutende Online-Marktplätze im Darknet, die Plattformen HYDRA und TOPIX², zu lokalisieren und am internationalen Aktionstag im November 2014 vom Netz zu nehmen. Daten des Servers der Darknet-Plattform TOPIX² übergab die ZIT auf ein entsprechendes Rechtshilfeersuchen hin an Behörden im Vereinigten Königreich. Der Betreiber dieser Plattform konnte am gemeinsamen Aktionstag im Vereinigten Königreich festgenommen werden. 6 BT-Drucksache 18/931, S. 13. 7 https://en.wikipedia.org/wiki/Operation_Onymous. Das Darknet – ein rechtsfreier Raum? 27 Nachdem im Rahmen der OP ONYMOUS immer klarer zutage getreten ist, welche Bedeutung das Darknet für den illegalen Waffenhandel hat, wendete sich die ZIT als erste staatsanwaltschaftliche Einheit ab Anfang des Jahres 2015 im Rahmen von initiativ-Ermittlungen - ausgehend von operativen Recherchen - gegen Verkäufer und Käufer von Waffen und Munition auf illegalen Handelsplattformen im Darknet. In dem gemeinsam mit dem Zollfahndungsamt Frankfurt am Main geführten Ermittlungskomplex wegen des Verdachts des Waffenhandels im Darknet konnten seit Aufnahme der Ermittlungen Anfang des Jahres 2015 bundesweit mehr als 20 Beschuldigte als Verkäufer oder Käufer von Waffen und Munition identifiziert werden. Den medial bekanntesten Fall im Rahmen dieses Ermittlungskomplexes bildete das an die Staatsanwaltschaft Stuttgart abgegebene Ermittlungsverfahren gegen einen 24-jährigen aus Magstadt, der im Darknet in einem großen Umfang mit Schusswaffen handelte8. Neben dem Zollfahndungsamt Frankfurt am Main führt die ZIT auch mit dem Bundeskriminalamt zahlreiche Ermittlungsverfahren gegen Verkäufer und Käufer von Waffen und Munition im Darknet. Auch in diesen Ermittlungsverfahren gelangen nach teilweise sehr umfangreichen und aufwendigen Ermittlungen Identifizierungen und Festnahmen von mehreren Beschuldigten, darunter auch eines bedeutenden Verkäufers von Waffen aus Berlin9. Zu den umfangreichen Sicherstellungen in diesen Ermittlungsverfahren gehörten Kriegswaffen, Langwaffen, halbautomatische Pistolen, selbstgebaute Sprengstoffsätze und Munition verschiedener Kaliber. Leider wird aus diesen Einzelfällen mitunter der falsche Schluss gezogen, die in der Überschrift aufgeworfene Frage sei dahin zu beantworten, das Darknet sei gerade kein rechtsfreier Raum und die Strafverfolgungsbehörden verfügten über das notwendige rechtliche Handwerkszeug, um ihre Aufgaben, um ihre diesbezüglichen Aufgaben hinreichend wahrnehmen zu können. Tatsächlich ist dies jedoch nicht der Fall. Aus taktischen Gründen verbietet es sich, die Gründe für die Ermittlungserfolge im Einzelnen darzulegen. Bereits presseöffentlich geworden ist der Umstand, dass verdeckte Ermittlungen, Scheinkäufe und Observationen in vielen Verfahren eine nicht unmaßgebliche Rolle gespielt haben. 8 http://www.swp.de/ulm/nachrichten/politik/toedliche-ware-aus-dem-darknet-13362 685.html. 9 http://www.berlin.de/aktuelles/berlin/kriminalitaet/4563458-4362932-berliner-geste ht-waffenhandel-im-darknet.html. Rainer Franosch 28 Technische Standardmaßnahmen der Strafprozessordnung wie Provideranfragen, Server-Sicherstellungen oder Telekommunikationsüberwachungen sind bei der Darknet-Kriminalität jedoch von Anfang an aussichtlos, da Verkäufer und Käufer im Darknet nur über Anonymisierungsnetzwerke kommunizieren und die kriminellen Forenbetreiber selbstverständlich nicht mit den Strafverfolgungsbehörden kooperieren. Mit den aktuell zur Verfügung stehenden Maßnahmen der Strafprozessordnung ist es daher nur in Einzelfällen und mit hohem personellen Aufwand möglich, einzelne Cyber-Kriminelle im Darknet zu identifizieren. Um die Darknet-Kriminalität zukünftig wirksam bekämpfen zu können, ist eine Digitale Agenda für das Straf- und Strafprozessrecht dringend erforderlich. Während sich nach den Beobachtungen der Cybercrime-Spezialdienststellen die Internetkriminalität ständig weiterentwickelt und das Geschäftsmodell „Cybercrime-as-a-Service“ im Internet mehr und mehr an Bedeutung gewinnt, verfügt die Strafprozessordnung nach wie vor über keinerlei internetspezifische Ermittlungsbefugnisse. Man kann diesen Zustand als „Offline-Strafprozessordnung“ bezeichnen. Anonymisierung und Kryptierung sind dabei die Haupthindernisse für flächendeckend erfolgreiche Ermittlungen im Darknet. Die hierfür notwendigen Werkzeuge sind aufgrund ihrer einfachen Handhabung auch für Täter ohne spezielle IT-Spezialkenntnisse nutzbar. Das führt dazu, dass die technischen Mittel der Strafverfolgungsbehörden zur Telekommunikationsüberwachung heute oft ins Leere greifen, weil die über TOR geführte Kommunikation Ende-zu-Ende-verschlüsselt ist. Deutsche Ermittler können derartig verschlüsselte Kommunikation nur mithilfe der sog. „Quellen-Telekommunikationsüberwachung“ (Quellen-TKÜ) abhören. Dabei wird auf dem Computer oder dem Mobiltelefon, mit der die zu überwachende Kommunikation getätigt wird, ein Programm installiert, welches die Kommunikation vor bzw. nach der Verschlüsselung mitschneidet und an die Ermittlungsbehörde übermittelt (daher der Begriff Quellen-TKÜ, die Überwachung erfolgt nicht beim Provider, sondern „an der Quelle“). Dabei wird nur die Kommunikation überwacht und keine weiteren Daten erhoben, es handelt sich also nicht um eine Onlinedurchsuchung. Ob die Quellen-TKÜ schon derzeit durch § 100a Strafprozessordnung rechtlich legitimiert ist oder einen unzulässigen Eingriff in die Grundrechte des Be- Das Darknet – ein rechtsfreier Raum? 29 troffenen darstellt, ist umstritten (h.M.: ja, erhebliche Gegenmeinung: nein10). Unabhängig von der rechtlichen Diskussion setzt ein erfolgversprechender Zugriff auf verschlüsselt geführte Kommunikation aus praktischer Sicht den Zugriff auf eines der beteiligten Endgeräte voraus, um dort den noch bzw. bereits wieder entschlüsselten Telefonverkehr „an der Quelle“ abgreifen zu können und so die eingesetzte Verschlüsselung auf der Übertragungsstrecke leerlaufen zu lassen. Wie kann ein solcher Zugriff auf das Endgerät erfolgen? Möglichkeit 1: Die Ermittler übersenden eine getarnte TKÜ-Software an den Täter, dieser unwissentlich installiert (Trojanisches Pferd). Möglichkeit 2: Die Ermittler erlangen körperlichen Zugriff auf das Endgerät und installieren die TKÜ-Software selbst. Möglichkeit 1 ist wenig erfolgversprechend, wenn die Täter sich klug verhalten. Daher ist die Variante 2 vorzuziehen. Hierfür fehlt jedoch eine Rechtsgrundlage. Insbesondere ist es derzeit unzulässig, heimlich eine Wohnung zu betreten, um eine solche technische Maßnahme vorzunehmen. Die Quellen-TKÜ wäre ohne die notwendigen Begleitmaßnahmen (Durchsuchung von Sachen, Betreten und Durchsuchung der Wohnung, in der sich das informationstechnische System befindet) vielfach nicht möglich. Zu diesen Begleitmaßnahmen zählen etwa regelmäßig das Betreten der Wohnung, die heimliche Durchsuchung der Wohnung zur Auffindung z.B. eines Notebooks und das Anbringen von Hardwarekomponenten (z.B. von Hardware-Keyloggern zur Erfassung von Passwörtern verschlüsselter Dateien) oder das Einbringen spezifischer Software für den Zugriff auf das abzuhörende System. Insoweit besteht ein Bedürfnis für eine ausdrückliche gesetzliche Regelung, weil die beschriebenen Begleitmaßnahmen häufig in das Grundrecht auf Unverletzlichkeit der Wohnung (Art. 13 GG) eingreifen werden. Hierfür muss eine eigenständige Rechtsgrundlage geschaffen werden11. Art. 13 Abs. 2 GG lässt grundsätzlich ein heimliches Eindringen in eine Wohnung zu. Dass die Offenheit Wesensmerkmal einer Durchsuchung im Sinne dieser Vorschrift ist, lässt sich der Verfassungsrechtsprechung nicht 10 Vgl. zum Meinungsstand:Meyer-Goßner/Schmitt, Strafprozessordnung, 59. Aufl. 2016, § 100a Rn. 7a m.w.N. 11 Vgl. Urteil des Bundesverfassungsgerichts vom 27. Februar 2008, 1 BvR 370/07 u.a., Rn. 193. Rainer Franosch 30 entnehmen, auch nicht der oben angeführten Fundstelle im Urteil des Bundesverfassungsgerichts vom 27. Februar 2008. Die Quellen-TKÜ erlaubt keinen Zugriff auf Daten, die auf dem Endgerät des Täters abgespeichert sind. Will man an diese Daten, muss man eine Durchsuchung (§ 102 ff. Strafprozessordnung) und eine Sicherstellung (§ 110 Strafprozessordnung) bzw. eine Beschlagnahme (§ 98 Strafprozessordnung) vornehmen. Wenn Ermittler jedoch im Rahmen einer Durchsuchung einen Computer oder ein Mobiltelefon erlangen, können sie diese häufig nicht auswerten, weil die Geräte verschlüsselt sind. Diese Verschlüsselung, die mit frei erhältlichen Programmen jedermann problemlos möglich ist, kann von den Ermittlern technisch nicht gebrochen werden, wenn die Täter ein starkes Passwort verwendet haben. Die frei zugänglichen, höchst wirksamen Kryptierungsverfahren lassen die klassischen Ermittlungsinstrumentarien zur Informationserhebung und Beweissicherung weitgehend ins Leere laufen. Die herkömmliche offene physische Beschlagnahme von Computern oder Festplatten reicht schon lange nicht mehr aus, um schwerwiegende Straftaten zu verfolgen. Vor diesem Hintergrund ist, wenn wir keine Hintertüren in Verschlüsselungssoftware einführen wollen, im Einzelfall der Einsatz technischer Mittel zum verdeckten Zugriff auch auf solche Daten notwendig, die nicht im Rahmen einer Telekommunikation anfallen, sondern auf informationstechnischen Systemen abgespeichert sind, um Täter- und Tatstrukturen soweit aufklären zu können, dass offene Maßnahmen ohne Gefährdung des Ermittlungserfolges ermöglicht werden. Das Bundesverfassungsgericht bejaht in diesem Zusammenhang die Notwendigkeit staatlichen Handelns. In dem schon zitierten Urteil zum verdeckten Zugriff auf informationstechnische Systeme vom 27. Februar 2008, Az.: 1 BvR 370/07 u.a., führt das Gericht in Rn. 220 aus: „Die Sicherheit des Staates als verfasster Friedens- und Ordnungsmacht und die von ihm zu gewährleistende Sicherheit der Bevölkerung vor Gefahren für Leib, Leben und Freiheit sind Verfassungswerte, die mit anderen hochwertigen Gütern im gleichen Rang stehen (vgl. BVerfGE 49, 24 <56 f.>; 115, 320 <346>). Die Schutzpflicht findet ihren Grund sowohl in Art. 2 Abs. 2 Satz 1 als auch in Art. 1 Abs. 1 Satz 2 GG (vgl. BVerfGE 115, 118 <152>). Der Staat kommt seinen verfassungsrechtlichen Aufgaben nach, indem er Gefahren durch terroristische oder andere Bestrebungen entgegen tritt. Die vermehrte Nutzung elektronischer oder digitaler Kommunikationsmittel und deren Vordringen in nahezu alle Lebensbereiche erschwert es der Verfassungsschutzbehörde, ihre Aufgaben wirkungsvoll wahrzunehmen. Auch extremistischen und terroristischen Bestrebungen bietet die moderne Informationstechnik zahlreiche Möglichkeiten zur Anbahnung und Pflege von Kontakten so- Das Darknet – ein rechtsfreier Raum? 31 wie zur Planung und Vorbereitung, aber auch Durchführung von Straftaten. Maßnahmen des Gesetzgebers, die informationstechnische Mittel für staatliche Ermittlungen erschließen, sind insbesondere vor dem Hintergrund der Verlagerung herkömmlicher Kommunikationsformen hin zum elektronischen Nachrichtenverkehr und der Möglichkeiten zur Verschlüsselung oder Verschleierung von Dateien zu sehen (vgl. zur Strafverfolgung BVerfGE 115, 166 <193>).“ Der verdeckte Einsatz von technischen Mitteln, um auf informationstechnische Systeme zugreifen und Zugangsdaten und gespeicherte Daten erheben zu können, zählt angesichts des rasanten technischen Fortschritts zu den unverzichtbaren Instrumenten der Strafverfolgung. Den Strafverfolgungsbehörden muss daher auch in Zukunft das notwendige Instrumentarium zur Verfügung stehen, um in hoch konspirative kriminelle Netze eindringen zu können und Straftaten gegen überragend wichtige Rechtsgüter effektiv verfolgen zu können. Andernfalls besteht aufgrund des schnellen Fortschrittes in der Informationstechnologie und der steigenden Konspirativität der Täter die Gefahr unverantwortbarer Ermittlungslücken und de facto rechtsfreier Räume. Derzeit ist die verdeckte Online-Durchsuchung insbesondere nicht durch § 102 Strafprozessordnung (Durchsuchung beim Verdächtigen) gedeckt, weil die Durchsuchung in der Strafprozessordnung als eine offen durchzuführende Ermittlungsmaßnahme geregelt ist. Konsequenz: Der verdeckte Zugriff auf Informationssysteme sollte in die Strafprozessordnung aufgenommen werden. Hierbei kann man zur Begründung ergänzend auf die UN-Resolution 2178 (2014) zurückgreifen. Darin heißt es in der Nr. 12 (S. 6): „(…) 12. erinnert an seinen Beschluss in Resolution 1373 (2001), wonach die Mitgliedstaaten einander größtmögliche Hilfe bei strafrechtlichen Ermittlungen oder Strafverfahren im Zusammenhang mit der Finanzierung oder Unterstützung terroristischer Handlungen gewähren werden, einschließlich Hilfe bei der Beschaffung des für die Verfahren notwendigen Beweismaterials, das sich in ihrem Besitz befindet, und unterstreicht, wie wichtig die Erfüllung dieser Verpflichtung in Bezug auf solche Ermittlungen oder Verfahren ist, die ausländische terroristische Kämpfer betreffen; (…)“ Das Bundesverfassungsgericht hat sich in seiner jüngsten Entscheidung zur Vereinbarkeit des Bundeskriminalamtsgesetzes (BKAG) mit dem Grundgesetz (vom 20. April 2016 -1 BvR 966/09) erneut mit der Zulässigkeit der Online-Durchsuchung befasst und diese im Grundsatz bejaht. Zwischenergebnis: Ohne ein Update der Strafprozessordnung wird sich das Darknet nicht wirkungsvoll erhellen lassen. Rainer Franosch 32 Botnetzkriminalität als Beispiel für cyber-dependent crime Im Darknet werden nicht nur Schusswaffen und Drogen, sondern auch digitale Angriffsinstrumente gehandelt. Dadurch wird auch die Cyberkriminalität im engeren Sinne gefördert. Jeder – nicht nur die Internetnutzer – kann Opfer von Cybercrime werden. Dies betrifft den einzelnen Bürger, Unternehmen, aber auch staatliche Stellen. Mit der Zunahme der Bedeutung der Informationstechnologie als Bestandteil des Alltags der Bürger steigen die Manipulations- und Angriffsmöglichkeiten auf Seiten der Cyberkriminellen. Cyberkriminelle handeln global, nationale Grenzen spielen keine Rolle, wobei Handlungs-, Taterfolgs- und Aufenthaltsorte von Tätern und Opfern irrelevant sind. Das Internet bringt alles und alle zusammen. Bucht ein Bürger in Frankfurt am Main eine Urlaubsreise über Internet, hat der am anderen Ende der Welt wartende Straftäter in Echtzeit potentiellen Zugriff auf den für die Buchung genutzten Computer. Aber auch diejenigen, die ihre Urlaubsreise nicht selbst über Internet buchen, können Opfer von Cybercrime werden, z.B. dadurch, dass die Täter sich Zugriff auf die persönlichen Daten durch einen Angriff auf die Server des Reisevermittlers verschaffen. Das bedeutet kurz gefasst, dass durch das Internet erstmals in der Geschichte der Kriminalität Straftaten • in Echtzeit • weltweit und • unter Überwindung jeder räumlichen Distanz zwischen Täter und Opfer begangen werden können. Die daraus resultierenden Konsequenzen für die Strafverfolgungsbehörden und die Tauglichkeit des zur Verfügung stehenden Rechtrahmens sind ebenso erheblich wie der Umfang von Cybercrime. Der im Januar 2014 bekannt gewordene Diebstahl von 16 Millionen E- Mail-Adressen12 belegt beispielhaft die Schadensdimensionen im Phänomenbereich Cybercrime. Der Diebstahl digitaler Identitäten, also der Diebstahl von Daten, ist ein Massenphänomen. III. 12 https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2014/Mailtest_210 12014.html. Das Darknet – ein rechtsfreier Raum? 33 Die Täter nutzen Schadprogramme, um Eingaben des Computernutzers auszuspähen sowie um Anmeldedaten zu erlangen und Transaktionen durchführen zu können; sie gehen dabei häufig arbeitsteilig und unter Nutzung professioneller Strukturen vor. Anschließend werden die Daten entweder von den Tätern selbst eingesetzt oder aber an Dritte weiterveräu- ßert, welche die Daten dann kriminell einsetzen. Legt man die Ergebnisse einer Online-Umfage aus dem Jahr 2013 zugrunde, wurde schon rund ein Fünftel der Deutschen (21 Prozent) Opfer von Identitätsdiebstahl oder -missbrauch, weitere 27 Prozent können nicht ausschließen, dass ihre personenbezogenen Daten schon missbraucht wurden. Diese Zahlen gehen weit über die polizeilich registrierten Fälle des Ausspähens/Abfangens von Daten hinaus und sind ein Beleg für das hohe Dunkelfeld im Bereich Cybercrime. Das hohe Dunkelfeld speziell bei Cybercrime hat im Wesentlichen zwei Ursachen. Zum einen ist den Betroffenen häufig nicht bewusst, dass sie Opfer einer Straftat geworden sind. Insbesondere die Besitzer infizierter Endgeräte bemerken das Vorhandensein einer Schadsoftware, die im Hintergrund Spam-E-Mails versendet häufig nicht. Zudem erstatten die Opfer von Cybercrime selten Strafanzeiger. Nach der jüngsten Dunkelfeldstudie des LKA Niedersachsen beträgt dort die Anzeigequote für computerbezogene Delikte lediglich 12,1%13. Diese Zahl dürfte auf die Gesamtbevölkerung übertragbar sein. Eine wesentliche Täterinfrastruktur im Phänomenbereich Cybercrime stellen sogenannte „Botnetze“ dar. Als ein Botnetz bezeichnet man eine große Anzahl von mit dem Internet ständig oder zeitweise verbundener Computer, die – von ihrem rechtmäßigen Nutzer unbemerkt – mit Schadprogrammen infiziert sind und daher einzeln oder in ihrer Gesamtheit einer fremden Kontrolle unterliegen .Große Botnetze umfassen mehrere Millionen Opferrechner, die von dem jeweiligen sie kontrollierenden Täter einzeln oder zusammen ferngesteuert werden können. Botnetze sind auch Handelswaren, die über Darknetmärkte in Gänze oder in Teilen verkauft, verliehen oder vermietet werden. Die Infektion der Opferrechner geschieht auf unterschiedliche Weise. Neben dem Anklicken von Links in Spam-Emails kann eine Infektion etwa auch dadurch erfolgen, dass der rechtmäßige Nutzer mit seinem Com- 13 Befragung zu Sicherheit und Kriminalität in Niedersachsen 2015, http://www.lka. niedersachsen.de/download/72400/Bericht_zu_den_Kernbefunden.pdf. Rainer Franosch 34 puter eine legitime Internetseite aufsucht, die zuvor von den Tätern unerkannt präpariert wurde. Die Täter schleusen dabei Schadcode in die Webseite ein, der dazu führt, dass auf den Opfercomputer im Hintergrund heimlich Schadprogramme aufgespielt werden und er so zum „Bot“ wird, also zu einem durch Dritte unerkannt fernsteuerbaren Zombie-Computer, dessen sämtliche Funktionen und Daten nunmehr eben jenem Dritten, der ihn infiziert hat, offenstehen. Gegen diese Art der Infektion kann sich auch der aufmerksame Computernutzer kaum zur Wehr setzen. Zur Zeit geht man davon aus, dass bis zu 40% aller internetfähigen Computersysteme in Deutschland mit Schadsoftware verseucht sind und damit potentielle Bots darstellen14. Präzise Fallzahlen in diesem Kriminalitätsbereich liegen nicht vor. Es ist, wie bereits dargelegt, von einem erheblichen Dunkelfeld auszugehen, da die Geschädigten in aller Regel nicht wissen, dass ihre Rechner infiziert und ferngesteuert werden. Nur dann, wenn es zu einem missbräuchlichen Einsatz von ausgespähten Daten kommt, erfolgt unter Umständen eine Mitteilung an die Strafverfolgungsbehörden. Die Erkenntnisse der nationalen und internationalen Strafverfolgungsorgane und Cybersicherheitszentren sowie diejenigen von IT-Wissenschaftlern belegen aber, dass die Fallzahlen und die daraus resultierenden Schäden deutlich steigen. In der ersten Jahreshälfte 2015 wurden von Sicherheitsforschern täglich bis zu 60.000 Infektionen deutscher Systeme registriert15. Die polizeiliche Kriminalstatistik verzeichnet seit Jahren steigende Fallzahlen im Bereich der Delikte gegen die Integrität, Vertraulichkeit und Verfügbarkeit informationstechnischer Systeme und Daten. Weitere verlässliche Angaben über die Anzahl der infiltrierten Opfersysteme lassen sich aus der Analyse großer Botnetze gewinnen. Bereits im Jahr 2011 wurde der jährliche, weltweit von für Bot-Netze verantwortlicher Schadsoftware verursachte Schaden in einer Studie, die das Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) im Auftrag der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) erstellt hat, auf rund 10 Mrd. USD geschätzt. 14 http://www.spiegel.de/netzwelt/netzpolitik/botnetze-40-prozent-der-rechner-vireni nfiziert-a-1021412.html. 15 Bundesamt für Sicherheit in der Informationstechnik, Die Lage der IT-Sicherheit in Deutschland 2015, S. 30. Das Darknet – ein rechtsfreier Raum? 35 Den Medien sind für Deutschland Schadenssummen von 3,4 Mrd. EUR (DIW für 2014), über 54 Mrd. (Wirtschaftsberatungsgesellschaft KPMG für 2013/2014) bis hin zu 102 Mrd. EUR (Bitkom für 2013/2014) zu entnehmen. Aus Kreisen der Telekommunikationsprovider wird die Bandbreitennutzung des Internets durch Bot-Netze mit 80% beziffert. Auch hier dürfte von sehr hohen Schadenssummen auszugehen sein. Laut Angaben eines US-amerikanischen IT-Sicherheitsdienstleisters aus dem Jahr 2013 habe das Bot-Netz „Chameleon“ ab 2012 beispielsweise einen Schaden von rund sechs Millionen USD im Monat für die Werbebranche verursacht. Über dieses Bot-Netz verbreitete Schadsoftware habe automatisiert Klicks auf Werbebanner simuliert, wobei für jeden Klick eine entsprechende Vergütung für den Internetdienstleister festgelegt war. Von 14 Milliarden Klicks auf ausgewählten Webseiten seien neun Milliarden auf dieses Bot-Netz zurückzuführen. Allein der Schaden, der für Internet-Werbetreibende durch das ZeroAccess-Bot-Netz verursacht worden sein soll, wurde Ende 2013 auf rund 2,7 Mio. USD monatlich beziffert. In den Jahren 2010 bis 2013 ermittelte die hessische Zentralstelle zur Bekämpfung der Internetkriminalität gemeinsam mit dem BKA in einem bundesweiten Verfahrenskomplex wegen einer Vielzahl von Erpressungen von Online-Shops mittels DDos-Attacken. Es konnten nach intensiven Ermittlungen fünf Beschuldigte identifiziert und vor Gericht gestellt werden, die in unterschiedlicher Zusammensetzung für die Erpressungen verantwortlich waren. Insgesamt konnten 40 Fälle aufgeklärt werden, in denen Betreiber von Webshops mit DDoS-Attacken bedroht oder tatsächlich angegriffen wurden. Die von den geschädigten Unternehmen auf die DDoS- Angriffe zurückzuführenden, geschätzten Umsatzeinbußen beliefen sich zusammen auf Beträge im mittleren sechsstelligen Bereich. Ein Unternehmen aus Hessen erlitt ein Schaden in Höhe von ca. 65.000 EUR Auch auf europäischer Ebene hat man die Gefahren durch Botnetze schon vor längerer Zeit erkannt. Die EU-Richtlinie 2013/40/EU vom 12. August 2013 über Angriffe auf Informationssysteme führt dazu aus: „(…) Es besteht eine Tendenz zu immer gefährlicheren und häufigeren Großangriffen auf Informationssysteme, die für den Mitgliedstaat oder für bestimmte Funktionen im öffentlichen oder privaten Sektor oft unverzichtbar sein können. Diese Tendenz geht einher mit der Entwicklung immer ausgefeilterer Methoden, wie etwa der Schaffung und Verwendung von sogenannten Botnetzen, bei denen die kriminelle Handlung in verschiedenen Stufen erfolgt, wobei jede Stufe für sich eine ernsthafte Gefahr für die öffentlichen Interessen darstellen könnte. Diese Richtlinie zielt unter anderem darauf ab, Rainer Franosch 36 Strafen hinsichtlich der Schaffung der Botnetze einzuführen, nämlich für die Einrichtung einer ferngesteuerten Kontrolle über eine bedeutende Anzahl von Computern, indem diese durch gezielte Cyberangriffe mit Schadsoftware infiziert werden. Sobald es eingerichtet ist, kann das infizierte Netz von Computern, die das Botnetz bilden, ohne Wissen der Computerbenutzer aktiviert werden, um einen breit angelegten Cyberangriff zu starten, der in der Regel erheblichen Schaden anrichten kann (…)“ Darüber hinaus ist zu berücksichtigen, dass die Täterkontrolle über die Bots, also die infizierten Opfersysteme, vollständig ist, d.h. sämtliche auf der Festplatte gespeicherten Daten des legitimen Benutzers den Tätern offenstehen; sie können diese beliebig ausspähen oder kopieren. Weiterhin kann der gesamte Internetverkehr der Opfer durch die Straftäter abgehört und manipuliert werden. Auch die Computerhardware des Opfersystems kann unbeschränkt ferngesteuert werden, so können z.B. Webcam oder Mikrofon unbemerkt eingeschaltet werden, um aus den Räumen der Opfer heimlich Videos und Töne zu übertragen. Damit wird der heimische Laptop oder das Mobiltelefon zu einem machtvollen Ausspähwerkzeug in den Händen international agierender Cyberkrimineller. Das Bundesverfassungsgericht hat in seinem Urteil zur Online-Durchsuchung vom 27. Februar 2008 als besondere Ausprägung des allgemeinen Persönlichkeitsrechts (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) das „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“ postuliert. Damit ist dem Regelungsanliegen, IT-Systeme vor dem unbefugten Zugriff Dritter zu schützen, grundrechtliche Relevanz beizumessen (BVerfGE 120, 274 ff.). Durch das Phänomen der schadsoftwaregestützten Existenz großer – teilweise weltumspannender – Botnetze wird dieses Grundrecht massenhaft verletzt. Derzeit können im Kernstrafrecht zur Bekämpfung der Botnetzkriminalität vor allem die §§ 202a, 303a und 303b StGB herangezogen werden. Diese Normen zielen indes nicht unmittelbar auf den Schutz der Vertraulichkeit und Integrität von informationstechnischer Systemen ab. § 202a StGB und § 303a StGB schützen lediglich Daten, nicht aber das technische System. § 303b StGB bezweckt zwar grundsätzlich den Schutz von Systemen. Für einen wirksamen Rechtsgüterschutz genügt es jedoch nicht, lediglich auf das Interesse des Verfügungsberechtigten an der unversehrten Verwendbarkeit von Daten oder auf das Interesse der Betreiber und Nutzer am störungsfreien Funktionieren ihrer Datenverarbeitung – so der Schutzzweck des § 303b StGB – abzustellen. Schon das Interesse der rechtmäßigen Nutzer von Computern, Laptops und Smartphones an dem Das Darknet – ein rechtsfreier Raum? 37 ausschließlichen Gebrauchsrecht ihrer Geräte, unabhängig davon, ob ihre Daten beeinträchtigt werden oder sich Störungen im Funktionieren der Geräte zeigen, ist schützenswert. Wie der § 248b StGB zeigt, ist es der Systematik des Strafgesetzbuches nicht fremd, auch das schlichte Gebrauchsrecht an Sachen einem strafrechtlichen Schutz zu unterstellen. In diesem Zusammenhang kann ein wirksamer Rechtsgüterschutz nicht davon abhängen, dass die Grundrechtsträger gehalten sind, für den Schutz ihrer IT-Systeme selbst zu sorgen. Wie das Bundesverfassungsgericht dargelegt hat, ist dies heutzutage bereits technisch kaum möglich (vgl. BVerfG, a.a.O.). Ziel für den Gesetzgeber sollte es vor diesem Hintergrund sein, Art. 2 S. 1 des Budapester Übereinkommens über Computerkriminalität vom 23. November 2001 (BGBl. 2008 II S. 1242, „Convention on Cybercrime“) ohne die Einschränkung des S. 2 umzusetzen: Artikel 2 Rechtswidriger Zugang 1 Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und anderen Maßnahmen, um den unbefugten Zugang zu einem Computersystem als Ganzem oder zu einem Teil davon, wenn vorsätzlich begangen, nach ihrem innerstaatlichen Recht als Straftat zu umschreiben. 2 Eine Vertragspartei kann als Voraussetzung vorsehen, dass die Straftat unter Verletzung von Sicherheitsmaßnahmen, in der Absicht, Computerdaten zu erlangen, in anderer unredlicher Absicht oder in Zusammenhang mit einem Computersystem, das mit einem anderen Computersystem verbunden ist, begangen worden sein muss. Diese Vorschrift ist durch § 202a StGB nur sehr eingeschränkt in das innerstaatliche Recht umgesetzt worden. Der damalige Bundesgesetzgeber hat von der Möglichkeit des Satzes 2 Gebrauch gemacht und als Voraussetzung für eine Strafbarkeit vorgesehen, dass die Straftat subjektiv auf Daten bezogen, objektiv unter Verletzung von Sicherheitsmaßnahmen begangen worden sein muss und nur solche Daten geschützt sind, die besonders gesichert sind. Der Gesetzgeber war damals der Auffassung, vor allem der letztgenannten Einschränkung auf solche Daten, die gegen unberechtigten Zugang besonders gesichert sind, komme eine besondere Bedeutung für die Eingrenzung des Tatbestandes zu, um Bagatellfälle auszufiltern (vgl. BT-DrS 16/3656 v. 30.11.2006). Angesichts der heutigen arbeitsteiligen Vorgehensweise von Internetkriminellen und im Lichte der zitierten Entscheidung des BVerfG, wonach ein wirkungsvoller technischer Selbstschutz der Berechtigten kaum möglich ist, sind diese Einschränkungen indes überholt und stehen einer effektiven Strafverfolgung und dem Schutz der Bürger entgegen. Rainer Franosch 38 So wird beispielsweise der Einsatz von Hardwaretrojanern derzeit strafrechtlich nicht erfasst. Wenn also ein Straftäter vor dem Weiterverkauf in Laptops, Router oder Smartphones Teile einbaut, die eine spätere heimliche Systemübernahme ermöglichen, bleibt der Datenabgriff im Kernstrafrecht straflos. Eine heimliche Datenausleitung über voreingebaute Hardwarebauteile ist von § 202a StGB nicht erfasst, da von Anfang an keine Zugangssicherung gegeben ist. Auch vernetzte Haushaltsgeräte werden nicht geschützt. Die im Internet der Dinge vernetzten Geräte sind häufig nicht mit einer Zugangssicherung i.S.v. § 202a StGB versehen. Sie unterfallen auch nicht dem Schutz von § 303b StGB, da sie keine „wesentliche Bedeutung“ für ihre Besitzer aufweisen. Zudem ist die Übernahme von Systemen, die ein Dritter infiziert hat, also der Handel mit Botnetzen, weitgehend straflos. Beim Handel von Botnetzen werden keine Straftaten nach § 202a StGB oder § 202b vorbereitet, weil die Opfersysteme im Zeitpunkt der Übergabe der Kontrolle bereits offen sind (also keine Zugangssicherung mehr besteht) und von den Erwerbern von Botnetzen keine Daten aus einer Datenübermittlung, sondern von den Festplatten der Opfersysteme ausgespäht werden. Daher bietet auch § 202c StGB keinen Schutz. Auch die Datenhehlerei hilft nicht weiter: es werden ja gerade keine ausgespähten Daten verkauft, sondern Kontrollmöglichkeiten. Wer Botnetze ankauft oder Botrechner, die ein anderer infiziert hat, ohne kollusives Zusammenwirken mit dem Vortäter benutzt, hat strafrechtlich wenig zu befürchten, sofern er nicht z.B. DDos-Angriffe begeht. Hinzu kommt, dass angesichts der wachsenden Bedeutung der IT-Wirtschaft ein lückenhafter strafrechtlicher Schutz ein Nachteil für den Wirtschaftsstandort Deutschland gegenüber den Staaten darstellt, die Art. 2 der Konvention vollständig und ohne Einschränkungen umgesetzt haben. Es ist angezeigt, der ursprünglichen Intention der Konvention folgend, den unbefugten Zugang zu einem Computersystem („digitaler Hausfriedensbruch“) und die dadurch eröffnete bloße Möglichkeit jedweden Datenzugriffs als Eingriff in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme unter Strafe zu stellen. Eine jüngst ergangene Entscheidung des BGH (Beschluss vom 21.07.2015, 1 StR 16/15) belegt eindrucksvoll die Lückenhaftigkeit des derzeitigen Rechtsgüterschutzes und das Leerlaufen von § 202a StGB selbst in gravierenden Fällen. Nach den Feststellungen des Landgerichts Das Darknet – ein rechtsfreier Raum? 39 hatten die Angeklagten ein großes Botnetz aufgebaut und betrieben, das unter anderem der Erzeugung von Bitcoins, einer elektronischen Werteinheit, diente. Dazu nutzten die Angeklagten die Rechenleistung der von ihnen infiltrierten Opfersysteme aus. Das Gericht hatte in der Hauptverhandlung einen Sachverständigen des BKA zu den IT-technischen Fragen gehört und auf Grundlage seines Gutachtens, das auch schriftlich vorlag, die Funktionsweise der Schadsoftware in groben Zügen beschrieben. Der BGH hob die Verurteilungen mit folgender Begründung auf: „(…) Die Verurteilung wegen Ausspähens von Daten in Tateinheit mit Datenveränderung (…) hält rechtlicher Nachprüfung nicht stand; der Schuldspruch wird von den getroffenen Feststellungen nicht getragen. Die Feststellungen sind teilweise lückenhaft und weisen zudem einen inneren, auch durch den Gesamtzusammenhang der Urteilsgründe nicht auflösbaren Widerspruch auf. Sie belegen nicht hinreichend, dass der Angeklagte jeweils eine Zugangssicherung überwunden hat, die für die Erfüllung des Straftatbestands des § 202a Abs. 1 StGB erforderlich ist. Denn der Schutzbereich dieser Strafvorschrift erstreckt sich nur auf Daten, die gegen unberechtigten Zugang besonders gesichert sind. Dies sind nur solche, bei denen der Verfügungsberechtigte durch seine Sicherung sein Interesse an der Geheimhaltung der Daten dokumentiert hat (vgl. BGH, Beschluss vom 6. Juli 2010 - 4 StR 555/09, NStZ 2011, 154). Die Zugangssicherung im Sinne von § 202a Abs. 1 StGB muss darauf angelegt sein, den Zugriff Dritter auf die Daten auszuschließen oder wenigstens nicht unerheblich zu erschweren (vgl. BGH, Beschluss vom 6. Juli 2010 - 4 StR 555/09, NStZ 2011, 154; LK-StGB/Hilgendorf, StGB, § 202a Rn. 30; MüKo- StGB/Graf, StGB, § 202a Rn. 35; Rübenstahl/Debus, NZWiSt 2012, 129, 131). Darunter fallen insbesondere Schutzprogramme, welche geeignet sind, unberechtigten Zugriff auf die auf einem Computer abgelegten Daten zu verhindern, und die nicht ohne fachspezifische Kenntnisse überwunden werden können und den Täter zu einer Zugangsart zwingt, die der Verfügungsberechtigte erkennbar verhindern wollte (vgl. BT-Drucks. 16/3656 S. 10). Schließlich muss der Zugangsschutz auch gerade im Zeitpunkt der Tathandlung bestehen (vgl. MüKo-StGB/Graf, StGB, § 202a Rn. 20). Ob diese Voraussetzungen in den der Verurteilung zugrunde liegenden Fällen gegeben sind, vermag der Senat anhand der unvollständigen Feststellungen im Urteil nicht abschließend zu beurteilen. Zugleich kann nicht ausgeschlossen werden, dass das Landgericht der vorgenommenen Rechtsanwendung, die nicht näher erläutert wird (UA S. 13), ein fehlerhaftes Verständnis zugrunde gelegt hat. Es fehlt in den Urteilsgründen eine hinreichend genaue Darstellung der Wirkweise der von dem Angeklagten bereitgestellten Schadsoftware, welche die Benennung der im konkreten Einzelfall umgangenen Zugangssicherung erfasst. Der pauschale Verweis auf deren Bestehen reicht dafür ohne nähere Darlegung nicht aus, denn eine revisionsgerichtliche Kontrolle der eingangs genannten Voraussetzungen ist nur auf der Grundlage einer ausreichend deskriptiven Darlegung der konkreten tatsächlichen und technischen Umstände möglich. Die insoweit bestehende Lücke lässt sich durch die Feststellungen Rainer Franosch 40 auch in ihrer Gesamtheit nicht schließen. Hinzu kommt, dass das Landgericht zwischen den Begrifflichkeiten der Firewall und des Virenschutzprogrammes nicht erkennbar differenziert hat, wodurch unklar bleibt, ob es die technischen Voraussetzungen der Zugangssicherung in tatsächlicher Hinsicht zutreffend bewertet hat. Während es zunächst nämlich darauf abstellt, der Trojaner sei so konzipiert gewesen, die vorinstallierte Firewall bestimmter Betriebssysteme zu umgehen (UA S. 3), findet sich im Widerspruch dazu an späterer Stelle der Urteilsgründe die Feststellung und Wertung, die vom Angeklagten bereitgestellte Schadsoftware sei durch die Virenprogramme der 327.379 Nutzer nicht erkannt worden (UA S. 4). Unter Zugrundelegung der zu der Schadsoftware zuletzt getroffenen Feststellungen käme eine Firewall als tatbestandsmäßige Schutzvorrichtung bereits dem Grunde nach nicht in Betracht. (…) Die dargelegten Rechtsfehler führen insgesamt zur Aufhebung des Urteils. Aufgrund desaufgezeigten Widerspruches und um dem neuen Tatrichter zu ermöglichen, umfassend stimmige eigene Feststellungen treffen zu können, waren auch die Feststellungen aufzuheben (§ 353 Abs. 2 Strafprozessordnung). Das neue Tatgericht wird Gelegenheit haben, sich mit den Handlungsabläufen in technischer und zeitlicher Hinsicht umfassender als bislang auseinanderzusetzen. Erst die hinreichend genaue Feststellung der technischen Gegebenheiten ermöglicht die strafrechtliche Bewertung der in Frage kommenden als solche bereits zutreffend erkannten Straftatbestände.“ Die Entscheidung verdeutlicht, dass die §§ 202a, 303a, 303b StGB in ihrer jetzigen Fassung bereits im Tatbestand untauglich sind, die heutigen Erscheinungsformen der Botnetzkriminalität wirkungsvoll zu bekämpfen. Die Anforderungen, die die Normen an die Strafjustiz stellen, sind für das Tatgericht kaum zu erfüllen. Dieses ist nach derzeitiger Rechtslage gehalten, nicht nur die Wirkungsweise der Zugangssicherung der Geschädigten im Einzelnen zumindest exemplarisch darzulegen, sondern auch die Ver- änderungen, die die Schadsoftware auf dem Opfersystem vorgenommen hat. Dies setzt voraus, dass solche Feststellungen überhaupt möglich sind. Verwenden die Täter jedoch eine Schadsoftware, die sich nach ihrem Einsatz selbsttätig löscht, fehlt es an dieser Möglichkeit. Die Notwendigkeit für das Tatgericht, im Urteil zumindest exemplarisch detailliert darzulegen, welche technische Funktionsweise die Zugangssicherung der Opfersysteme in tatsächlicher Hinsicht jeweils hatte, bringt für die Besitzer der infiltrierten IT-Systeme erhebliche Belastungen mit sich. Die informationstechnische Funktionsweise der Zugangssicherung kann durch Zeugenbeweis der Berechtigten kaum in die Hauptverhandlung eingeführt werden, da die meisten Opfer Laien sind und häufig selbst nicht wissen, ob und wie ihr System zum Tatzeitpunkt in technischer Hinsicht geschützt war. Dies gilt besonders bei infiltrierten Mobiltelefonen. Das wiederum bedeutet, dass zukünftig die Opfersysteme im Er- Das Darknet – ein rechtsfreier Raum? 41 mittlungsverfahren durch Sachverständige IT-forensisch zu untersuchen sind, um es dem Gericht später zu ermöglichen, in den Feststellungen deskriptiv die konkreten tatsächlichen und technischen Umstände des Zugangsschutzes darzulegen. Den Opfern der Infiltration entstehen neben dem Verlust von Daten und ihrer Privatheit aufgrund des Täterhandelns zusätzliche zeitliche Einbußen und Unannehmlichkeiten, weil sie den Sachverständigen der Staatsanwaltschaft (i.d.R. besonders ausgebildete Polizeibeamte) eine Datenspiegelung ermöglichen müssen. Eine derartige Spiegelung des IT-Systems bedeutet zwingend, dass höchstpersönliche Daten, auch aus dem Kernbereich, der Opfer ausgehändigt werden müssen. Auch wenn dies keine datenschutzrechtlichen Bedenken in sich birgt, da es sich um einen staatlichen Zugriff handelt, dürfte es aus Opfersicht gleichwohl zu einem Gefühl des Überwachtseins führen. Mit dem 41. Strafrechtsänderungsgesetz vom 7. August 2007 (BGBl. I S. 1786), mit welchem der deutsche Gesetzgeber dem aus dem Übereinkommen des Europarates über Computerkriminalität vom 23. November 2001 (Cybercrime Convention) sowie dem aus dem Rahmenbeschluss 2005/222/JI des Rates vom 24. Februar 2005 über Angriffe auf Informationssysteme resultierenden Umsetzungsbedarf nachgekommen ist, und mit der Einführung des Straftatbestandes der Datenhehlerei durch das Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten vom 10. Dezember 2015 wurden zuletzt Regelungen getroffen, um den Missbrauch der Informationstechnologie zu bekämpfen. Diese genügen jedoch nicht, da die strafrechtliche Praxis gezeigt hat, dass die fortschreitende technische Entwicklung weiterhin zu spürbaren Strafbarkeitslücken führt. Vor diesem Hintergrund hat der Bundesrat auf Initiative Hessen einen Gesetzentwurf verabschiedet, der eine neue Strafnorm vorschlägt, die den unbefugten Zugang und den unbefugten Gebrauch von informationstechnischen Systemen pönalisiert16. Die heimliche Infiltration eines IT-Systems, also der schlichte digitale Hausfriedensbruch, soll bereits ohne das Hinzutreten weiterer Voraussetzungen, bestraft werden. Zur Erreichung eines angemessenen Schutzniveaus für die Vertraulichkeit und Integrität informationstechnischer Systeme sollen also die Rechtsgedanken des § 123 StGB und des § 248b StGB übertragen werden. IT-Systeme sind mindestens ebenso schutzwürdig wie das Hausrecht und wie das aus- 16 http://dip21.bundestag.de/dip21/btd/18/101/1810182.pdf. Rainer Franosch 42 schließliche Benutzungsrecht an Fahrzeugen. Derzeit sind sogar Fahrräder besser geschützt als Smartphones oder Tablets mit höchstpersönlichen Daten. Damit kann ein lückenloser strafrechtlicher Schutz aller Systeme und die Strafbarkeit nahezu aller Angriffsarten sichergestellt werden, denn die Infiltration von Computern und Cyberangriffe jeder Art beinhalten als Teilkomponente regelmäßig die Fernsteuerung, also das Beeinflussen oder Auslösen von informationstechnischen Vorgängen durch Dritte. Die vorgeschlagene Strafnorm ist ausgewogen, indem sie auf der einen Seite nur bestimmte, besonders sensible IT-Systeme schützt und eine Bagatellklausel enthält, auf der anderen Seite jedoch für besonders schwerwiegende Begehungsformen höhere Strafdrohungen vorsieht, die die Strafverfolgungsbehörden in die Lage versetzt, endlich auch z.B. mit verdeckten Ermittlern gegen Botnetzkriminalität vorgehen zu können. Fazit Der flankierende Schutz der Informationssicherheit durch ein funktionierendes und zeitgemäßes Straf- und Strafprozessrecht ist wesentliche Vorbedingung für das Gelingen der Digitalisierung in Deutschland geworden. In der täglichen Arbeit der hochspezialisierten Staatsanwältinnen und Staatsanwälte bei der hessischen Zentralstelle zur Bekämpfung der Internetkriminalität wird demgegenüber immer wieder offenbar, dass deren gesetzgeberisches Handwerkszeug, das Strafgesetzbuch und die Strafprozessordnung, im Kern aus dem Jahr 1877 stammen und empfindliche Lücken in Bezug auf die neuartigen Herausforderungen der digitalen Gesellschaft aufweisen. Zahlreiche Rechtsprobleme, die durch die Nutzung des Mediums Internet aufgeworfen werden, sind ungelöst. Zu nennen wären hier beispielsweise fehlende gesetzliche Regelungen für die E-Mail-Überwachung, für die Quellen-Telekommunikationsüberwachung, für die Online-Durchsuchung elektronischer Speichermedien sowie für die beschleunigte grenzüberschreitende Sicherung digitaler Beweismittel. Die Strafverfolgungsbehörden und Gerichte behelfen sich, soweit rechtlich möglich, entweder mit der Anwendung von Rechtsnormen, die ursprünglich für völlig andere Sachverhalte und Kommunikationsformen vorgesehen waren – wie etwa bei der E-Mail-Überwachung, die teilweise auf überkommene Regelungen zur Postbeschlagnahme und teilweise auf solche zur Beschlagnahme von körperlichen Gegenständen gestützt wird, oder mit rechtlichen Konstruktionen, die mangels ausdrücklicher gesetzli- IV. Das Darknet – ein rechtsfreier Raum? 43 cher Regelung mitunter sehr umstritten sind, so etwa bei der Quellen-Telekommunikationsüberwachung. Vielfach indes lässt sich das Fehlen zeitgemäßer und notwendiger Ermächtigungsgrundlagen nicht kompensieren, so etwa bei dem Zugriff auf elektronische Speichermedien. Täter verschlüsseln ihre Endgeräte oder speichern ihre Daten in der Cloud. Herkömmliche Durchsuchungs- und Beschlagnahmemaßnahmen sind damit wirkungslos, da die Täterdaten wegen der Verschlüsselung der Speichermedien nicht auswertbar sind oder - bei externer Speicherung in der Cloud – nicht aufgefunden werden können. Staatsanwaltschaften, Gerichte und die Polizei benötigen aber dringend zeitgemäße Mittel, um Datenspuren zu sichern und Täter überführen zu können. In diesem Zusammenhang gilt es auch, mit adäquaten rechtlichen Instrumenten der Grenzenlosigkeit des Internets zu begegnen. Während nämlich die Täter ungehindert von der Möglichkeit profitieren, über Internet in Echtzeit weltweit grenzüberschreitend Straftaten zu begehen, erschweren Unterschiede in nationalen Gesetzeswerken und die Erforderlichkeit von Maßnahmen der internationalen Rechtshilfe in Strafsachen eine effektive Strafverfolgung. Ein effektiver Schutz sowohl der Bürgerinnen und Bürger, aber auch von Verwaltung und Unternehmen ist nur möglich, wenn man die vorhandenen Spezialisten der Strafverfolgung mit den rechtlichen Mitteln versieht, die sie für ihre tägliche Arbeit brauchen. Die digitale Gesellschaft verlangt nach modernen rechtlichen Grundlagen, die den Bürgerinnen und Bürgern Schutz bieten und Handlungssicherheit gewähren. Dies sollte nicht durch gesetzgeberisches Stückwerk, getrieben durch aktuelle Vorfälle, sondern durch eine durchdachte und abgestimmte digitale Agenda für das Straf- und Strafprozessrecht geschehen. Rainer Franosch 44

Chapter Preview

References

Zusammenfassung

Wie kaum ein Politikfeld hat die Innere Sicherheit in den letzten Jahren an Aufmerksamkeit gewonnen.

Unter dem Eindruck des internationalen Terrorismus, der anwachsenden Cybergefahren und hybriden Kriegsszenarien spielt die Vernetzung der Sicherheitsbehörden und -institutionen eine große Rolle. Die diesem Buch zugrundeliegende Vortragsreihe hat gezeigt, dass digitale Ansätze allen heutigen Bedrohungsszenarien innewohnen und das Agieren in der digitalen Welt alles Handeln umklammert. Die Präsidenten von BND, Verfassungsschutz, BKA, BSI und Interpol sowie ausgesuchte Experten stellen ihre Sicht auf die Herausforderungen der Zukunft prägnant dar.

Mit Beiträgen von:

Rainer Franosch (OStA und Referatsleiter im Hessischen Ministerium der Justiz) | Prof. Dr. Bernhard Frevel (FHÖV NRW und WWU Münster) | Dr. Bruno Kahl (Präsident des Bundesnachrichtendienstes) | Dr. Andreas Könen (Vizepräsident des Bundesamtes für Sicherheit in der Informationstechnik) | Dr. Hans-Georg Maaßen (Präsident des Bundesamtes für Verfassungsschutz) | Holger Münch (Präsident des Bundeskriminalamtes) | Prof. Dr. Patrick Ernst Sensburg, MdB (FHÖV NRW) | Prof. Dr. Jürgen Stock (Generalsekretär Interpol) | Dr. Stefan Süß (Kriminologe).