2005/06/13 Welche Cybercrime-Bestimmungen gelten?
Als Reaktion auf die (angeblich) ständig zunehmende Bedeutung der Computerkriminalität (Stichwort: Cybercrime) wurden vom Gesetzgeber eine Reihe von Bestimmungen in das Strafgesetzbuch aufgenommen, die der Bekämpfung solcher Delikte dienen sollen. Eine umfassende Evaluation dieser Maßnahmen steht noch aus, allerdings zeigt ein Blick auf die Kriminalstatistik, dass bisher nur relativ wenige Verurteilungen aufgrund solcher Delikte erfolgt sind
Übersicht über die Delikte
Widerrechtlicher Zugriff auf ein Computersystem (§118a StGB)
§ 118a. (1) Wer sich in der Absicht, sich oder einem anderen Unbefugten von in einem Computersystem gespeicherten und nicht für ihn bestimmten Daten Kenntnis zu verschaffen und dadurch, dass er die Daten selbst benützt, einem anderen, für den sie nicht bestimmt sind, zugänglich macht oder veröffentlicht, sich oder einem anderen einen Vermögensvorteil zuzuwenden oder einem anderen einen Nachteil zuzufügen, zu einem Computersystem, über das er nicht oder nicht allein verfügen darf, oder zu einem Teil eines solchen Zugang verschafft, indem er spezifische Sicherheitsvorkehrungen im Computersystem verletzt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.
(2) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen.
Diese Regelung zielt in erster Linie auf das 'Hacken' fremder Computersysteme. Nach dem Wortlaut ist nur das Eindringen in fremde Computersysteme strafbar, allerdings sind auch Systeme erfasst, über die keine alleinige Verfügungsbefugnis besteht.
Die Strafbarkeit tritt allerdings nur dann ein, wenn spezifische Sicherheitsvorkehrungen verletzt werden. Dies bedeutet umgekehrt, dass der widerrechtliche Zugriff auf ungesicherte Systeme nicht strafbar ist, weil in diesen Fällen keine Verletzung von Sicherheitsvorkehrungen für den Zugriff notwendig ist.
Nicht erfasst ist demnach auch das Eindringen unter der Ausnützung von Sicherheitslücken eines Betriebssystems, weil auch hier keine Sicherheitsvorkehrungen verletzt werden.
Da das Delikt nach Abs. 2 nur mit Ermächtigung des Verletzten vom Staatsanwalt verfolgt werden kann, ist davon auszugehen, dass z.B. aus Imagegründen viele Fälle nicht öffentlich gemacht werden und eine relative hohe Dunkelziffer gegeben ist.
Verletzung des Telekommunikationsgeheimnisses (§119 StGB)
§ 119. (1) Wer in der Absicht, sich oder einem anderen Unbefugten vom Inhalt einer im Wege einer Telekommunikation (§ 3 Z 13 TKG) oder eines Computersystems übermittelten und nicht für ihn bestimmten Nachricht Kenntnis zu verschaffen, eine Vorrichtung, die an der Telekommunikationsanlage oder an dem Computersystem angebracht oder sonst empfangsbereit gemacht wurde, benützt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.
(2) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen.
Mit der Umbenennung des Fernmeldegeheimnisses zum Kommunikationsgeheimnis wurde dies auch in den Anwendungsbereich des Strafgesetzbuches aufgenommen. §119 bezieht sich jetzt ausdrücklich auf Telekommunikationsanlagen und Computersysteme. Erfasst sind alle denkbaren Kommunikationsmittel wie Sprachtelefonie, Telefax, E-mail, VoIP, Instant Messaging usw. Strafbar ist bereits die Benützung von Abhörvorrichtungen, unabhängig davon, ob tatsächlich der Inhalt bestimmter Nachrichten bekannt wird. Auch hier kann eine Verfolgung nur mit Ermächtigung des Verletzten erfolgen.
Missbräuchliches Abfangen von Daten (§119a StGB)
§ 119a. (1) Wer in der Absicht, sich oder einem anderen Unbefugten von im Wege eines Computersystems übermittelten und nicht für ihn bestimmten Daten Kenntnis zu verschaffen und dadurch, dass er die Daten selbst benützt, einem anderen, für den sie nicht bestimmt sind, zugänglich macht oder veröffentlicht, sich oder einem anderen einen Vermögensvorteil zuzuwenden oder einem anderen einen Nachteil zuzufügen, eine Vorrichtung, die an dem Computersystem angebracht oder sonst empfangsbereit gemacht wurde, benützt oder die elektromagnetische Abstrahlung eines Computersystems auffängt, ist, wenn die Tat nicht nach § 119 mit Strafe bedroht ist, mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.
(2) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen.
Während sich der §119 StGB insbesondere auf Nachrichten mit einem gedanklichen Inhalt bezieht, zielt §119a auf den Schutz anderer Übermittlungen ab, die nicht direkt einer Kommunikation entsprechen. Außerdem wird das Abfangen der Abstrahlung von Computersystemen erfasst. Damit könnte, zumindestens theoretisch, von außen auf Computersysteme und die gespeicherten Daten zugegriffen werden.
Datenbeschädigung (§126a StGB)
§ 126a. (1) Wer einen anderen dadurch schädigt, dass er automationsunterstützt verarbeitete, übermittelte oder überlassene Daten, über die er nicht oder nicht allein verfügen darf, verändert, löscht oder sonst unbrauchbar macht oder unterdrückt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.
(2) Wer durch die Tat an den Daten einen 3 000 Euro übersteigenden Schaden herbeiführt, ist mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bis zu 360 Tagessätzen, wer einen 50 000 Euro übersteigenden Schaden herbeiführt, mit Freiheitsstrafe von sechs Monaten bis zu fünf Jahren zu bestrafen.
Die Datenbeschädigung ist ähnlich konstruiert wie das Delikt der Sachbeschädigung. Geschützt sind demnach nur Daten, die einen gewissen Vermögenswert verkörpern. Strafbar ist die Löschung, die Veränderung und das Unbrauchbarmachen (z.B. Verschlüsselung) von Daten.
2003 1 Anzeige, 0 Verurteilungen
2002 5 Anzeigen, 4 Verurteilungen
2001 19 Anzeigen, 4 Verurteilungen
(Die Zahl der Verurteilungen kann in einem Jahr höher als die Zahl der Anzeigen sein, da sich Verfahren meist über mehrere Jahre erstrecken.)
Störung der Funktionsfähigkeit eines Computersystems (§126b StGB)
§ 126b. Wer die Funktionsfähigkeit eines Computersystems, über das er nicht oder nicht allein verfügen darf, dadurch schwer stört, dass er Daten eingibt oder übermittelt, ist, wenn die Tat nicht nach § 126a mit Strafe bedroht ist, mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.
Die Bestimmung des §126b zielt auf Handlungen, die nicht direkt ein Computersystem oder die gespeicherten Daten zerstören. Gedacht ist vor allem an so genannte DoS (Denial of Service)-Attacken, die z.B. zum Ausfall von Webservern führen können, ohne dass ein Eindringen in das jeweilige System notwendig ist.
Missbrauch von Computerprogrammen oder Zugangsdaten (§126c StGB)
§ 126c. (1) Wer ein Computerprogramm, das nach seiner besonderen Beschaffenheit ersichtlich zur Begehung eines widerrechtlichen Zugriffs auf ein Computersystem (§ 118a), einer Verletzung des Telekommunikationsgeheimnisses (§ 119), eines missbräuchlichen Abfangens von Daten (§ 119a), einer Datenbeschädigung (§ 126a), einer Störung der Funktionsfähigkeit eines Computersystems (§ 126b) oder eines betrügerischen Datenverarbeitungsmissbrauchs (§ 148a) geschaffen oder adaptiert worden ist, oder eine vergleichbare solche Vorrichtung oder ein Computerpasswort, einen Zugangscode oder vergleichbare Daten, die den Zugriff auf ein Computersystem oder einen Teil davon ermöglichen, mit dem Vorsatz herstellt, einführt, vertreibt, veräußert, sich verschafft oder besitzt oder sonst zugänglich macht, dass sie zur Begehung einer der in Z 1 genannten strafbaren Handlungen gebraucht werden, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. [...]
Nach §126c ist das Herstellen, verkaufen und sogar der Besitz von Computerprogrammen verboten, die für die Begehung der in der Bestimmung genannten Delikte benützt werden können. Die Strafbarkeit ist allerdings nur dann gegeben, wenn auch ein entsprechender Vorsatz vorliegt. Dies wird bei der Verwendung von Sicherheitstools zur Aufspürung von Sicherheitslücken in eigenen Systemen nicht der Fall sein.
Betrügerischer Datenverarbeitungsmissbrauch (§148a StGB)
§ 148a. (1) Wer mit dem Vorsatz, sich oder einen Dritten unrechtmäßig zu bereichern, einen anderen dadurch am Vermögen schädigt, dass er das Ergebnis einer automationsunterstützten Datenverarbeitung durch Gestaltung des Programms, durch Eingabe, Veränderung, Löschung oder Unterdrückung von Daten oder sonst durch Einwirkung auf den Ablauf des Verarbeitungsvorgangs beeinflußt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.
(2) Wer die Tat gewerbsmäßig begeht oder durch die Tat einen 3 000 Euro übersteigenden Schaden herbeiführt, ist mit Freiheitsstrafe bis zu drei Jahren, wer durch die Tat einen 50 000 Euro übersteigenden Schaden herbeiführt, mit Freiheitsstrafe von einem bis zu zehn Jahren zu bestrafen.
Dieses Delikt ist dem "klassischen" Betrug nachgebildet. Allerdings wird hier nicht ein Mensch getäuscht. Allerdings kommt es zu einer Beeinflussung des Verarbeitungsvorgangs, getäuscht wird hier also die Maschine. Die genaue Auslegung der Bestimmung ist strittig, auf die unbefugte Behebung von Bargeld wird §148a üblicherweise nicht angewendet. Ein typischer Fall wäre die Manipulation von Buchungsprogrammen, so dass Überweisungen fehlgeleitet werden.
2003 4 Anzeigen, 15 Verurteilungen
2002 9 Anzeigen,12 Verurteilungen
2001 4 Anzeigen, 3 Verurteilungen
(Die Zahl der Verurteilungen kann in einem Jahr höher als die Zahl der Anzeigen sein, da sich Verfahren meist über mehrere Jahre erstrecken.)
Tatbestände nach dem Zugangskontrollgesetz
Das Zugangskontrollgesetz dient zum Schutz der Zugangskontrollen zu bestimmten Fernseh- und Radiosendungen und anderen Diensten der Informationsgesellschaft.
Der Vertrieb, die Herstellung und der Erwerb und Besitz von Umgehungsvorrichtungen ist strafbar, wenn die entsprechenden Handlungen gewerbsmäßig erfolgten. Eine private Nutzung fällt nicht unter die Bestimmungen des Zugangkontrollgesetzes. Beispiele: Herstellung und Vertrieb gefälschter Smart-Cards zum Empfang von Pay-TV-Sendern
'Traditionelle' Delikte mit Online-Bezug
Neben den speziellen Cybercrime-Bestimmungen, sorgen insbesondere in der öffentlichen Diskussion immer wieder Taten für aufsehen, die nach 'traditionellen' Tatbeständen zu beurteilen sind:
Kinderpornographie (§207a StGB)
Sowohl die Herstellung als auch der Besitz von kinderpornographischen Darstellungen ist strafbar und zwar unabhängig vom Medium. Ob, wie teilweise behauptet wird, das Internet zu einer Zunahme der entsprechenden Delikte geführt hat, ist mangels einschlägiger Untersuchungen zweifelhaft. Mit dem Strafrechtsänderungsgesetz 2004 wurde die Definition von Kinderpornographie wesentlich erweitert. Erfasst sind demnach alle Minderjährigen bis 18 Jahre und auch gestellte Aufnahmen u.ä.
Delikte nach dem Verbotsgesetz
Auch Delikte nach dem Verbotsgesetz können im Online-Zusammenhang auftreten, werden allerdings nach den entsprechenden Bestimmungen des Verbotsgesetzes bestraft.
Mitwirkung am Selbstmord
Besonderes Aufsehen erregten einige Fälle sogenannter Selbstmord-Foren oder Chats, die angeblich zum Selbstmord Jugendlicher geführt hatten. Selbstmord ist in Österreich zwar nicht strafbar, allerdings ist nach §78 StGB die Mitwirkung am Selbstmord strafbar, unabhängig davon, ob diese Mitwirkung online oder offline erfolgt.
Datenfälschung (§225a StGB)
§ 225a. Wer durch Eingabe, Veränderung, Löschung oder Unterdrückung von Daten falsche Daten mit dem Vorsatz herstellt oder echte Daten mit dem Vorsatz verfälscht, dass sie im Rechtsverkehr zum Beweis eines Rechtes, eines Rechtsverhältnisses oder einer Tatsache gebraucht werden, ist mit Freiheitsstrafe bis zu einem Jahr zu bestrafen.
Der §225a ist das elektronische Pendant zur Urkundenfälschung. Strafbar ist sowohl die Herstellung falscher Daten als auch die Verfälschung echter Daten, wenn diese im Rechtsverkehr gebraucht werden sollen. Beispiele wären z.B. die Fälschung von Bankomat- oder Signaturkarten.
|