Hacking, ein Teilbereich der Computerkriminalität resp. von Cybercrime, steht in der Schweiz mit Art. 143bis Abs. 1 StGB unter Strafe. Im Strafverfahren stellt sich die komplexe Frage, wann sich ein Hacker strafbar gemacht hat resp. welche Hacker-Aktivitäten sich noch im legalen Rahmen bewegen. Nicht alles, was man vordergründig einem Hacker zuschreibt, ist auch verboten.
143bis.ch stellt hier eine Kommentar zum sog. Hackerparagraphen (in der Schweiz wäre genauer vom Hackerartikel zu sprechen) online zur Verfügung.
Dieser Kommentar wurde von Rechtsanwalt Roman Kost entwickelt. In mittlerer Zukunft wird dieser Kommentar unter cyberstrafrecht.ch (aktuell noch nicht zugänglich) zu finden sein. Zwischenzeitlich können Sie die kommentierte Cyber Kill Chain von LAYER‑8.LAW besuchen, die als Public Beta einsehbar ist: cyber-kill-chain.ch. Cyber-Kill-Chain.ch stellt einen digitalen Rechts- und Forensikkommentar rund um die Techniken der Cybersecurity dar.
Art. 143bis Unbefugtes Eindringen in ein Datenverarbeitungssystem
1 Wer auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.
2 Wer Passwörter, Programme oder andere Daten, von denen er weiss oder annehmen muss, dass sie zur Begehung einer strafbaren Handlung gemäss Absatz 1 verwendet werden sollen, in Verkehr bringt oder zugänglich macht, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.
SR HTML: StGB 143bis SR PDF: StGB [MATERIALIEN: BOTSCHAFT BR] [WEITERE PLATZHALTER]
Im Moment finden Sie hier nur einen stark reduzierten Auszug aus dem Kommentar. Der Kommentar wird im Augenblick überarbeitet und ist noch nicht redigiert. Er wurde zu Testzwecken aufgeschaltet.
Falls Sie an einem fachlichen Austausch interessiert sind (z.B. Lehre / Medienschaffende), dürfen Sie sich gerne bei mir melden: Impressum.
Bitte besuchen Sie die Seite zu einem späteren Zeitpunkt wieder.
Von: Rechtsanwalt Roman Kost, MLaw, CAS Informationssicherheit, selbstständiger Rechtsanwalt, ra-kost.ch
Kommentarrevision: 2022–02-04–152406
A. Literaturverzeichnis
[spoiler show=“anzeigen” hide=“ausblenden” title=“Literaturverzeichnis anzeigen”]
Bachmann Adrian, “phishing” nach Zugangsdaten der Kunden von Onlineportalen, Diss., 2015, Zürich (zit. Bachmann, S. ); Baltisser Annina, Datenbeschädigung und Malware im Schweizer Strafrecht – Der Tatbestand des Art. 144bis StGB im Vergleich mit den Vorgaben der Cybercrime Convention und der deutschen Regelung, Diss., 2013, Zürich (zit. Baltisser, S. ); Donatsch Andreas/Rehberg Jörg/Schmid Niklaus, Strafrecht III – Delikte gegen den Einzelnen, 10. Aufl., 2013, S. 164 ff. (zit. Donatsch, III, S. ); Donatsch Andreas in: Navigator-Kommentar StGB, 19. Aufl., 2013, zu Art. 143bis StGB, S. 270 ff. (zit. Donatsch, Navigator, StGB 143bis, S. ); Hurtado Pozo José, Droit pénal: partie spéciale, Genève, 2009, S. 318 ff. (zit. Hurtado Pozo, PS, N ); Kleiner Jan/Stocker Lukas, Data Breach Notifications, Meldepflichten bei Datenpannen de lege lata und de lege ferenda, digma, 3/2015, S. 90; Koch Alexander, Strafrechtliche Probleme des Angriffs und der Verteidigung in Computernetzen, Diss., Baden-Baden, 2008; Kochheim Dieter, Cybercrime und Strafrecht in der Informations- und Kommunikationstechnik, 2015, München; Monnier Gilles, Le hacking: enjeux actuels à la lumière du cas “Hacker-Croll”, Medialex 2010, S. 130 ff. (zit. Monnier, 2010, S. ); Riedo Christof, Der Strafantrag, Diss., 2004; Ryser Dominic, “Computer Forensics”, eine neue Herausforderung für das Strafprozessrecht – Strafprozessrechtliche Beweissicherung, Beweisführung mit Sachverständigengutachten und Beweiswürdigung in IT-Fällen, in: Internet-Recht und Strafrecht, 4. Tagungsband, Bern, 2005, S. 553–594; Schmid Niklaus, Computer- sowie Check- und Kreditkarten-Kriminalität, Zürich 1994, § 5/Art. 143bis N 1 (zit. Schmid, 1994 N ); Schmid Niklaus, das neue Computerstrafrecht, in ZStR 1995 Trechsel Stefan, Schweizerisches Strafgesetzbuch, Praxiskommentar, 2. Aufl. Zürich, 2012, Art. 143bis N 1 ff. (zit. Trechsel, PK, N ); Pfister Christa, Hacking in der Schweiz – Im Spiegel des europäischen, deutschen und des österreichischen Computerstrafrechts, Diss., Zürich, 2008 (zit. Pfister, S. ); Björn Sendzik, Der “Datendiebstahl”, Diss., 2014, Hamburg; Schwarzenegger Christian, Der räumliche Geltungsbereich des Strafrechts im Internet, ZStrR 118 (2000), S. 109 ff. (zit. Schwarzenegger, Geltungsbereich, S. ); Schwarzenegger Christian, Die Internationalisierung des Wirtschaftsstrafrechts und die schweizerische Kriminalpolitik: Cyberkriminalität und das neue Urheberstrafrecht, ZSR 2008 II, S. 399 ff. (zit. Schwarzenegger, Internationalisierung, S. ); Schwarzenegger Christian, Die internationale Harmonisierung des Computer- und Internetstrafrechts durch die Convention on Cybercrime vom 23. November 2001: Am Beispiel des Hackings, der unrechtmässgen Datenbeschaffung und der Verletzung des Fernmeldegeheimnisses, in: Festschrift für Stefan Trechsel zum 65. Geburtstag Zürich, 2002, (zit. Schwarzenegger, FS-Trechsel, S. ), Stratenwerth Günther/Bommer Michael, Schweizerisches Strafrecht – Besonderer Teil Bd. II, 7. Aufl., Zürich, 2013 (zit. Stratenwerth/Bommer, S. , N); Weissenberger Philippe, in: Basler Kommentar, Strafrecht, 3. Aufl., 2013, Art. 143bis StGB, S. 546 ff. (zit. Weissenberger, 143bis, N );
[…]
[/spoiler]
B. Materialienverzeichnis
[spoiler show=“anzeigen” hide=“ausblenden” title=“Materialienverzeichnis anzeigen”]
Botschaft vom 24. April 1991 über die Aenderung des Schweizerischen Strafgesetzbuches und des Militärstrafgesetzes (Strafbare Handlungen gegen das Vermögen und Urkundenfälschung), BBl 1991 II, S. 969 ff. (zit. Botschaft 1991, S. )
Botschaft vom 18. Juni 2010 über die Genehmigung und Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität, BBL 2010 4697 (zit. Botschaft 2010, S. )
Convention on Cybercrime – Explanatory Report – [2001] COETSER 8 (23 November 2001), ETS No. 185, PDF
Zeitschrift Kriminalistik
[…]
[/spoiler]
C. Abkürzungsverzeichnis
[spoiler show=“anzeigen” hide=“ausblenden” title=“Abkürzungsverzeichnis anzeigen”]
StGB
dStGB
öStGB
liStGB
WLAN
[…]
[/spoiler]
I. Vorbemerkungen
a. Zum Begriff des Hackers
Landläufig wird der Begriff Hacker fälschlicherweise negativ konnotiert. Ein Hacker ist im noch heute gültigen Verständnis der Hackerszene eine neugierige Person, die sich eines technischen Problems annimmt und dieses Problem mit einer kreativen Herangehensweise löst. Dabei kann durchaus die Herausforderung im Zentrum stehen, in ein gesichertes System einzudringen. Ein Hacker befasst sich aber nicht per se einzig damit, Sicherungen zu umgehen.
Ein Hacker nach dieser Umschreibung hat im Zusammenhang mit StGB 143bis keinerlei weiteren Antrieb, ausser eben jenem, ein gesichertes System zu meistern und damit die Technik zu schlagen. Es handelt sich dabei zweifelsohne um eine romantisierte Vorstellung des Hackers.
Das Selbstverständnis der Hacker wurde erstmals im sog. Hackermanifest verschriftlicht, das am 8. Januar 1986 im ältesten Hackermagazin Phrack unter dem Titel «The Conscience of a Hacker”» veröffentlicht wurde. In den heutigen Computersicherheitskreisen wird häufig zwischen Hackern und Crackern unterschieden. Letztere haben bösartige Gesinnung. Sie handeln z.B. in Bereicherungsabsicht oder mit dem Ziel, Schaden anzurichten (eingehender und mit vielen Hinweisen Pfister, S. 89 – 97).
b. Gefahren des Hackings
Die ursprüngliche und positiv konnotierte Begriffsdefinition trifft zwar auch heute noch auf die grosse Mehrheit der Hacker zu. Sie kann aber nicht davon ablenken, dass der Schweizer Gesetzgeber grade diese Ur-Tätigkeit des Hackers unter Strafe gestellt hat und damit gesellschaftlich ächten will. In der breiten Bevölkerung wird ein Hacker denn auch tendenziell als Krimineller wahrgenommen.
Es ist fraglich, ob das pauschale unter Strafe stellen von Hacking, wie es heute mit StGB 143bis der Fall ist, überhaupt sinnvoll ist: Sicherheitsforscher, die bei ihren Analysetätigkeiten in ein Datenverarbeitungssystem gelangen und im Anschluss den Verfügungsberechtigten dieses Systems über die entdeckte Sicherheitslücke informieren, sollten nicht bestraft werden. Sie leisten einen wertvollen Beitrag zur Sicherheit der zunehmend digital werdenden Welt.
Dass Hacking aber ein grosses Gefahrenpotential in sich birgt, kann man dagegen kaum bestreiten. Je nach angewandter Technik bringt ein Hacker gezielt ein System oder einzelnen laufenden Prozesse dieses Systemsin einen Zustand, der nicht vorgesehen ist und dessen küniitge Operationen dann nicht mehr abschätzbar sind. Das kann im äussersten Fall zum Absturz einzelner Prozesse oder gar des gesamten Systems führen. Das Gefährliche darin liegt im Umstand, dass der Hacker in der Regel nicht über alle internen Einzelheiten des Systems weiss. Der Absturz eines Prozesses, auf den andere Prozesse angewiesen sind, kann zur Funktionsunfähigkeit des Systems und letztlich auch zu Datenverlusten führen. Sind Systeme nicht mehr verfügbar, kann je nach Datenverarbeitungsanlagen nicht nur das Vermögen sondern gar Leib und Leben in Gefahr sein. Man denke an Datenverarbeitungssysteme in Spitälern, Einsatzzentralen von Polizei oder Feuerwehr, oder an solche in Wasser- oder Kernkraftanlagen. Hacking ist aber nicht per se gefährlich.
Davon abzugrenzen sind Angriffe, die das Zielsystem nicht instabil lassen werden. Das Ausprobieren von unzähligen Passwortkombinationen bei einem Brute-Force-Angriff führt in aller Regel zu keinen Nebenwirkungen und gilt als ungefährlich.
Zusätzliche Gefahren entstehen erst durch den anschliessenden Missbrauch eines gehackten Systems, werden aber fälschlicherweise dem Hacken selber zugeschrieben. So adressiert z.B. der Europarat in seinem Explanatory Report vom 23. November 2001 einerseits Gefahren wie System- und Datenfehler für legitimierte Benutzer, sowie unspezifische Veränderungen und Zerstörungen mit hohen Wiederherstellungskosten. Zum andern werden der Zugriff auf vertrauliche Daten (namentlich Passwörter und Systeminformationen) erwähnt, sowie geheime Informationen, mit welchen die Systeme ohne Bezahlung genutzt werden oder gar zu Computerbetrug oder ‑fälschungen führen könnten.
Hacking ist vielfach auch massiv persönlichkeitsverletzend. So wird eine betroffene Person, die bemerkt, dass ihr System infiltriert wurde, durch diesen Umstand massiv verunsichert. Um sicher zu sein, dass auf einem Computer kein Eindringling mehr zugegen ist, werden die Systeme meistens komplett formatiert und neu aufgesetzt.
Für gewöhnlich wird ein Hack erst nach langer Zeit und eher zufällig bemerkt. Hacking ist für den Menschen nicht real wahrnehmbar. Noch viel weniger, als beim Hausfriedensbruch in realen Räumen. Ein erfolgreicher Hack ermöglicht es dem Täter, auf einen Schlag über privateste Details seiner Zielperson Kenntnis zu erlangen. Von privaten Film- und Fotosammlungen, über die gesamte elektronische Korrespondenz, elektronische Tagebücher, Rechnungen etc. pp findet sich heute alles auf einem Computer. Ebenso kann er durch den Hack in den Besitz weiterer Zugangsdaten kommen. Identitätsdiebstahl kann die Folge sein, was gravierende Ausmasse annehmen kann. Identitätsdiebstahl oder ‑missbrauch ist als solcher ist in der Schweiz nicht strafbar (wohl aber andere Rechtsgutsverletzungen unter anderen Titeln; siehe aber die angenommene ständerätliche Motion Comte vom 21.03.2014, wonach ein Straftatbestand für den Identitätsmissbrauch als solches verlangt wird). Nicht zu vergessen ist die Möglichkeit, sich auch unmittelbar am Vermögen zu bereichern, in dem Bestellungen ausgeführt werden oder Zahlungsanweisungen vorgenommen werden. Gehackter Computer bedeutet also persönlich massive Unsicherheit für die Betroffenen.
Aus diesen zwei unterschiedlichen Argumentationsrichtungen ist bereits jetzt erkennbar, dass der Hackingtatbestand zwei Gesichter in sich vereint. Dieses Gemenge führt zu einem Lehrstreit über den Deliktscharakter von StGB 143bis.I, welcher im Abschnitt Rechtsgut und Deliktsnatur weiter unten aufgezeigt wird.
c. Kriminalstatistik
Im Jahr 2014 waren 92 Personen polizeilich registriert, denen vorgeworfen wurde, unbefugt in ein Datenverarbeitungssystem eingedrungen zu sein. Dabei wurden dreimal mehr Männer als Frauen gezählt. Die polizeilich registrierten beschuldigten Personen werden wie folgt aufgeschlüsselt (Stand 01.02.2016):
(PDF | SVG | CSV-Datensatz | Datenquelle)Die grösste Anzahl beschuldigter Personen findet sich seit Beginn der statistischen Erfassung im Jahr 2009 durch das Bundesamt für Statistik in der Gruppe der 20- bis 40-jährigen. Die Personen dieser Gruppe gelten heute als digital natives, also jene Personen, die in einer digitalisierten Umgebung aufgewachsen sind. Danach folgt quantitativ (ausser im Jahr 2013) die Gruppe der 40- bis 60-jährigen und erst danach jene der bis 20-jährigen. Die Gruppe der ab 60-jährigen ist verschwindend klein.
Die Strafurteilsstatistik der Erwachsenen basiert auf den im Strafregister eingetragenen Urteilen. Das heisst, dass nur rechtskräftige Urteile erfasst werden. Ein Vorfall aus dem Jahr 2010 kann unter Umständen erst im Jahr 2014 in Rechtskraft erwachsen, wobei das Urteil in der Statistik des Jahres aufgenommen wird, in dem das erstinstanzliche Urteil gefällt wurde. Es bestehen keine Daten, die einen Rückschluss auf die effektive Tätigkeit von Hackern in den jeweiligen Jahren ermöglichen.
In Bezug auf StGB 143bis weisst die Urteilsstatistik folgendes Bild auf (Stand 01.02.2016):
(PDF | SVG | CSV-Datensatz | Datenquelle)Im Jahr 2014 wurden 19 rechtskräftige Urteile von Hacking erfasst. Den bisherigen Höhepunkt stellt das Jahr 2013 mit 21 Verurteilungen dar. Von 1994 bis 2001 fand StGB 143bis kaum Anwendung. Von 2001 bis 2009 wurden nie mehr als 10 Urteile registriert. Ab 2009 hat sich die Anzahl der Verurteilungen zwischen 12 und 21 eingependelt. Obschon im Unterschied zu den ersten Jahren nach der Inkraftsetzung von StGB 143bis sich die Urteilszahlen konstant gesteigert haben, muss man StGB 143bis weiterhin ein absolutes Nischendasein konstatieren.
Es muss davon ausgegangen werden, dass die grosse Mehrheit an Hacking gar nicht erst bemerkt wird. Wird Hacking doch bemerkt, so wird es vielfach nicht angezeigt. Gerade betroffene Unternehmungen scheuen negative Presse. Ausserdem kennt die Schweiz keine Meldepflicht für IT- oder datenschutzrelevante Vorfälle, was bedauerlich ist, da die betroffenen Personen nicht reagieren könne. Soweit die Strafverfolgungsbehörden keine spezialisierte Cybercrime-Stellen führen, fehlt ausserdem meistens das Wissen, um einen Hackingvorfall nach StGB 143bis.I oder II überhaupt zu erfassen.
Die ernüchternde Analyse von Schwarzenegger im Jahr 2001, dass auf Grund der Fall- und Urteilszahlen deutlich wird, “dass die Strafverfolgungsbemühungen im Bereich der Computer- und Internetkriminalität gemessen an den Schäden und Gefahren, die mit dem Hacking oder der Verbreitung von Computerviren verbunden sind, noch völlig hinterherhinken”, hat nach wie vor Gültigkeit (Schwarzenegger, FS-Trechsel, S. 312).
[…]
Das Bundesamt für Statistik weisst darauf hin, dass vor allem bei schweren Straftaten oder eingelegten Rechtsmitteln mehrere Jahre vergehen können, bis alle in einem Jahr gefällten Urteile im Strafregister eingetragen sind und in der Statistik erscheinen. Demzufolge sei die Entwicklung der Zeitreihen in den jüngsten Erhebungsjahren bei Urteilen mit schweren Straftaten nicht aussagekräftig und es könne nicht davon ausgegangen werden, dass die Zahlen bereits vollständig sind.
d. Kasuistik
- BGer vom Urteil 6B_615/2014 vom 02.12.2014: Beschwerde gegen Nichtanhandnahme; Sachverhalt: Einer GmbH wurde vorgeworfen, in den Email-Account des Beschwerdeführers eingedrungen zu sein, obschon der Beschwerdeführer der GmbH die Passwörter nur für Analysen mit Google-Analytics bekannt gegeben habe; Verletzung von StGB 143bis wurde vor BGer nicht mehr geltend gemacht;
- Bundesgericht, Strafrechtliche Abteilung, Urteil 6B_456/2007 vom 18.3.2008: Erraten der Antwort zur Geheimfrage und danach einloggen mit erhaltenem Passwort in Emailaccount ist nach StGB 143bis strafbar;
- Bundesgericht, Zivilrechtliche Abteilung, Urteil 4C.223/2003 vom 21.10.2003 (BGE 130 III 28, E. 4.2): Durch “Eingriff in die Informatik” umgeleitete Emails in eigenen Account und dortiges Lesen sei durch StGB 143bis erfasst; Fristlose Entlassung aus wichtigem Grund in Ordnung; in Bezug auf die Subsumtion unter 143bis ein Fehlentscheid, da das Konfigurieren von reinem Mail-Forwarding kein Eindringen in ein besonders gesichertes System darstellt. Der Arbeitnehmer hat klar seine Kompetenzen überschritten, aber dabei nicht gehackt im Sinne von StGB 143bis;
- Bundesgericht, Kassationshof, Urteil 6S.117/2003 vom 7. November 2003 (BGE 129 IV 315, E 2.2.3): Mobiltelefone werden vom Begriff der Datenverarbeitungsanlage erfasst;
- […]
e. Entstehungsgeschichte und Einbettung des Tatbestands
Neben der Schweiz kennt auch das umliegende Ausland eine derartige Strafbestimmung (DE: § 202a StGB, FR: art. 323–1 CP, IT: art. 615-ter CP, AT: § 118a StGB, LI: § 118a StGB). Die Schweiz hat diese Strafbestimmung erst im Jahr 1995 eingeführt. Vorfälle wie jene um den Deutschen Hacker (eigentlich Cracker) Karl Koch haben in Europa das Bewusstsein um die Sicherheit von Datenverarbeitungssystemen geschärft. Die Gruppe um Koch verkaufte dem russischen Geheimdienst KGB durch Hacking erlangte Datenbestände unter anderem des US-amerikanischen Militärs.
Der Bundesrat stellte in seiner Botschaft vom 24. April 1991 fest, dass empfindliche Strafbarkeitslücken im Bereich der Computerkriminalität herrschten. So waren bis vor dem Inkrafttreten im Jahr 1995 unter anderem der Datendiebstahl (als Computerspionage bezeichnet), das Eindringen in fremde Datenverarbeitungsanlagen (Hacken), der Computerbetrug oder die Datenbeschädigung (als Computersabotage bezeichnet) sowie das Erschleichen einer Leistung, die ein Datenverarbeitungssystem erbrachte (sog. Zeitdiebstahl) nicht strafbar.
Schon 1978 wurde eine Expertenkommission damit beauftragt, die Revision des StGB betreffend die Vorschriften über die Vermögensdelikte und die Urkundenfälschung zu überprüfen. Ihre Arbeiten schloss Sie 1982 ab und reichte ein Jahr später dem Eidgenössischen Justiz und Polizeidepartement (EJPD) den Bericht ein. Die technischen Entwicklungen forderten die Expertenkommission in besonderem Masse heraus. Nach halbjähriger Vernehmlassung zwischen 1985 und 1986 und der Kenntnisnahme der Ergebnisse des Vernehmlassungsverfahrens durch den Bundesrat im Jahr 1988 wurde bis 1990 der Entwurf der Expertenkommission unter Berücksichtigung der Vernehmlassungsergebnisse überarbeitet. Für den Bereich der Computerkriminalität sowie des Cheks- und Kreditkartenmissbrauchs wurde Niklaus Schmid sowie diverse Vertreter von Bundesstellen beigezogen, um von deren Spezialkenntnissen profitieren zu können. Die Überarbeitungstätigkeiten fanden schliesslich in der Botschaft des Bundesrats vom 24. April 1991 ihren Niederschlag und standen im Einklag mit den Empfehlungen des Ministerkomitees des Europarates, der am 13. September 1989 zuhanden der Mitgliedstaaten Empfehlungen zur Schaffung von Straftatbeständen im Bereiche der Computerkriminalität verabschiedet hatte. Die Arbeit des Ministerkomitees wurden laufend mitverfolgt. Während dieser Revisionsvorhaben befand sich auch die Schweizer Datenschutzgesetzgebung in Vorbereitung.
Dem Parlament wurde folgender Wortlaut von StGB 143 vorgeschlagen, welcher die Straftatbestände des unbefugten Datenbeschaffens und des unbefugten Eindringens kombinierte und in beiden Fällen die fehlende Bereicherungsabsicht mit der Voraussetzung eines Strafantrags privilegierte. Er lautete wie folgt:
1. Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichen, sich oder einem andern elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten verschafft, die nicht für ihn bestimmt und gegen unbefugten Zugriff besonders gesichert sind, oder auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in fremde, besonders gesicherte Datenverarbeitungsanlagen eindringt, wird mit Zuchthaus bis zu fünf Jahren oder mit Gefängnis bestraft.
In seiner Botschaft führt der Bundesrat die eigentliche Stossrichtung aus, wie sie heute im geltenden Recht tatsächlich umgesetzt ist: “Die Tätigkeit dieser “Hacker” hat sich für den ordnungsgemässen Betrieb insbesondere von Grossanlagen als sehr störend und gefährlich erwiesen. Es erscheint deshalb als notwendig, den Betreibern von Datenverarbeitungsanlagen bereits im Vorfelde der unbefugten Datenbeschaffung, die die Verletzung des Datenverfügungsrechtes erfassen soll, in Form dieses Gefährdungsdeliktes Schutz zu gewähren.” (Botschaft 1991, S. 1011). Strafrechtlich sollte also die Vorstufe der unbefugten Datenbeschafftung, das Hacken, bestraft werden. Dennoch bringt der Bundesrat in seinem Gesetzesvorschlag ohne eingehendere Erläuterung das Kriterium der unrechtmässigen Bereicherung auch für das unberechtigte Eindringen zur Anwendung, um “auch hier dem Diebstahl (Art. 139 StGB‑E)” zu folgen. Er hat sich dabei wohl in erster Linie auf die Datenbeschaffung fokussiert, die wie dargelegt zusammen mit dem Hacken geregelt werden sollte. Die Gefährlichkeit der hackerischen Tätigkeit hängt aber, das sei an dieser Stelle eingefügt, nicht davon ab, ob der Hacker mit oder ohne Bereicherungsabsicht handelt.
Zudem enthielt StGB 143.3 des Revisionsentwurfs wie auch der heute in Kraft stehende StGB 143bis für die Verübung ohne Bereicherungsabsicht eine Privilegierung durch Ausgestaltung zu einem Antragsdelikt. Geht man vom gutwilligen und eher dem sportlichen Wettkampf nacheifernden Hacker aus, wäre diese Privilegierung noch nachvollziehbar. Weshalb die Bestrafung bei fehlender Bereicherungsabsicht vom Strafantragssteller abhängig sein soll, wenn es sich doch laut Bundesrat um ein “Gefährdungsdelikt” handeln soll, ist dagegen nicht einleuchtend erklärt (zum Rechtsgut siehe das einschlägige Kapitel unten). Dass die Bereicherungsabsicht im ursprünglich vorgeschlagenen Wortlaut die Strafbarkeit des unbefugten Eindringens beschränkt, ist letztlich auf ein gesetzgeberisches Versehen zurückzuführen.
Mit Bundesbeschluss vom 17. Juni 1994 änderte das Parlament den Vorschlag des Bundesrats und gliederte das unbefugte Eindringen in den separaten StGB 143bis aus. Wo zuvor nur das Eindringen in Bereicherungsabsicht strafbar gewesen wäre, war nun nur noch strafbar, wer ohne Bereicherungsabsicht handelte. Es liegt damit der zweite gesetzgeberische fauxpas in der Geschichte des Hackerartikels vor.
Im Zuge der grossen Revision des allgemeinen Teils des StGB wurden schliesslich durch Beschluss der vereinigten Bundesversammlung die Begriffe Zuchthaus und Gefängnis für die Strafandrohungen durch Freiheitsstrafe ersetzt und nach unbenutztem Ablauf des fakultativen Referendums vom Bundesrat auf den 01. Januar 2007 in Kraft gesetzt.
Bis am 01.01.2012 lautete StGB 143bis folgender Massen:
Wer ohne Bereicherungsabsicht auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.
Nach der Ratifikation der Europäischen Cybercrime-Konvention (CCC, auch Budapest-Konvention genannt) wurde vom Parlament der heute geltende Wortlaut beschlossen und auf den 01. Januar 2012 in Kraft gesetzt. Im neuen StGB 143bis.I wurde das von der Lehre viel kritisierte strafbarkeitsbeschränkende Tatbestandselement der Bereicherungsabsicht gestrichen und in StGB 143bis.II die Vorbereitungs- und Teilnahmehandlungen des Inverkehrbringens und des Verbreitens eingebaut. Gemäss Botschaft vom 18. Juni 2010 wird mit dem heute geltenden StGB 143bis die Konventionsvorgabe in CCC 2 weitgehend abgedeckt. Die Schweiz hat (in Anwendung von CCC 40 i.V.m. 2) eine Erklärung abgegeben, wonach das Überwinden einer Zugangssicherung vorliegen muss, damit von strafbarem Hacking gesprochen wird. CCC 2 erfasste in seinem Wortlaut jedes Eindringen in ein Computersystem oder einen Teil davon, unabhängig von Sicherheitsmassnahmen oder Absichten.
Diese Erklärungen haben neben der Schweiz auch Finnland und die Tschechische Republik abgegeben, sowie mit weitergehenden Einschränkungen Belgien, Japan, Litauen, die Slovakei und die Türkei.
Nach Weissenberger (aaO, N 3) und wohl auch Monnier (aaO, S. 132) ist der Grund für diesen Vorbehalt nicht einsichtig. Ein abgelehnter Minderheitsantrag im Parlament forderte seinerzeit, dass das Kriterium der besonderen Sicherung weggelassen werden soll. Geht man von einem Gefährdungsdelikt aus, so macht das Kriterium der besonderen Sicherung durchaus Sinn. Gerade die Techniken zum Umgehen der Sicherung können gefährlich sein. Der blosse Aufenthalt eines Hackers in einem fremden System ist dagegen nie gefährlich.
Mit einer Strafandrohung von bis 3 Jahren Freiheitsstrafe oder Geldstrafe handelt es sich beim unbefugten Eindringen in ein Datenverarbeitungssystem gem. erstem sowie beim Inverkehrbringen und Verbreiten gem. zweitem Absatz um ein Vergehen (StGB 10.III).
f. Rechtsgut und Deliktsnatur
Der Bundesrat führte in seiner Botschaft 1991 zur Hacker-Strafnorm aus: “Hier soll nicht erst das Beschaffen von Daten, sondern – gleichsam analog zum Hausfriedensbruch (Art. 186 StGB) – als Vorbereitungshandlung dazu bereits das Eindringen erfasst werden”. Im gleichen Zug führt er aus: “Die Tätigkeit dieser “Hacker” hat sich für den ordnungsgemässen Betrieb insbesondere von Grossanlagen als sehr störend und gefährlich erwiesen. Es erscheint deshalb als notwendig, den Betreibern von Datenverarbeitungsanlagen bereits im Vorfelde der unbefugten Datenbeschaffung, die die Verletzung des Datenverfügungsrechtes erfassen soll, in Form dieses Gefährdungsdeliktes Schutz zu gewähren”. Die bundesrätlichen Ausführungen zeigen die zwei Seiten auf, welche die Hackerstrafnorm StGB 143bis bis heute in sich trägt.
Gem. Bundesrat will StGB 143bis (seinerzeit noch StGB 143) das Individuum vor einer Verletzung der digitalen Räumlichkeiten schützen, andererseits die grundsätzlich gefährliche Tätigkeit der Hacker sanktionieren.
[…]
g) Postulat für eine Neuordnung des Hacking-Strafrechts
[…]
h) Weitere Bemerkungen
Bei Hacking nach StGB 143bis handelt es sich nicht um einen Katalogtatbestand nach StPO 286 und 269. Ein Hacker darf also nicht mit einer verdeckten Ermittlung resp. einer Überwachung des Post- und Fernmeldeverkehrs verfolgt werden, was bei der Überwachung des Fernmeldeverkehrs nicht einer gewissen Ironie entbehrt.
Im Zusammenhang mit Hackervorfällen stellen die Behörden des Bundes den zuständigen Strafverfolgungsbehörden der Schengenstaaten umfassend alle Arten von Daten, die bei Strafverfolgungsbehörden vorhanden sind unaufgefordert auf Abruf zur Verfügung (SIaG 7 iVm 2). Nicht auf Abruf nachgekommen wird Informationsersuchen, welche die Anwendung prozessualen Zwangs erfordern oder Informationen betreffen, die vom innerstaatlichen Recht geschützt sind. Was unter innerstaatlichen Behörden ausgetauscht werden kann, muss auch mit den Behörden der Schengenstaaten ausgetauscht werden können. Unter prozessualem Zwang sind dabei insbesondere die gemäss schweizerischem Polizei- und Strafverfahrensrecht möglichen Zwangsmassnahmen zu verstehen (SIaG 2.II).
Solche Ersuchen sind innert sehr kurzer Antwortfristen zu erfüllen: zwischen 8 Stunden bis sieben Tage (SIaG 11).
II. Ad StGB 143bis.I – unbefugtes Eindringen (Hacking)
a. Strafantrag, Verjährung, Strafandrohung
Im Unterschied zum zweiten Absatz, welcher als Offizialdelikt ausgestaltet ist, handelt es sich beim ersten Absatz um ein Antragsdelikt. Ohne Strafantrag wird ein Hacker nicht strafrechtlich verfolgt. Ohne Strafantrag fehlt es an einer Prozessvoraussetzung, was zu einer Nichtanhandnahme (StPO 310.I.a) oder einer Einstellung (StPO 319.I.d) führt. Eine Nichtanhandnahme erfolgt, wenn keine Untersuchungshandlungen vorgenommen wurden, andernfalls wird eingestellt. Gelangen die Untersuchungsbehörden zB im Rahmen anderer Untersuchungshandlungen zu Kenntnis, dass kein Strafantrag gestellt wurde, so ist das Verfahren (teil-)einzustellen (StPO 319.I.d).
Der Strafantrag muss innert drei Monaten gestellt werden, nach dem die Tat und der Täter bekannt sind (StGB 30). Es empfiehlt sich möglichst rasch nach der Entdeckung eines Hackerangriffs einen Antrag zu stellen, auch wenn die Täterschaft noch nicht bekannt ist (Strafantrag gegen unbekannt).
Zum Strafantrag ist der Verfügungsberechtigte der Datenverarbeitungsanlage berechtigt. Darunter fällt namtlich der Anbieter von Dienstleistungen (Provider) aber auch der Benutzer dieser Dienstleistungen, wie beispielsweise der Inhaber eines Emailaccounts (Urteil des BGer 6B.456/2007 vom 18. März 2008). Ebenso antragsberechtigt ist jeder Eigentümer eines geschützten Datenverarbeitungssystems, wie beispielsweise jener eines passwortgeschützten Heimcomputers.
Es stellt sich die Frage, ob, analog zum Hausfriedensbruch, dem Provider das Antragsrecht abgeht und nur der Dienstleistungsbenutzer antragsberechtigt ist. StGB 186 stellt den Hausfriedensbruch unter strafe und schützt das Hausrecht, “worunter die Befugnis zu verstehen ist, über die bestimmten Räume ungestört zu herrschen und darin den eigenen Willen frei zu betätigen.”(BGE 112 IV 31). Der Wortlaut von 143bis legt dieselbe Überlegung für den digitalen Raum nahe. Konsequenter Weise steht damit auch das Antragsrecht einzig dem Dienstleistungsbenutzer zu.
Dort, wo der Eigentümer eines Servers “Teile” davon an Dritte “vermietet”, vermiete er nicht einen Teil des physischen Servers, sondern stellt dem Dienstleistungsbezüger Kapzitäten des Servers zur Verfügung (Rechenzeit, Arbeitsspeicher, Festplattenspeicher etc.). Das geschieht heute vielfach durch den Betrieb einer Vielzahl an virtuellen Maschinen auf einem Host-System. Diese virtuellen Maschinen laufen in eigenen abgeschotteten Prozessen, so, dass ein Subsystem vorliegt. Wird in ein solches Subsystem eingedrungen, steht nur dem Dienstleistungsbenutzer das Antragsrecht zu. Für den Eigentümer des Host-Systems ist das Subsystem fremd, da er es dem Kunden zur Verfügung gestellt hat und darüber in aller Regel nicht mehr herrschen kann. Ihm geht deshalb auch das Antragsrecht ab. Bricht der Eindringling aber aus der virtuellen Umgebung aus und dringt in das Host-System vor, so ist auch der Anbieter der Subsysteme zum Strafantrag berechtigt.
Für eine je nach Sachverhalt differenzierte Handhabung des Antragsrechts spricht zudem, dass der Hacker “nur” den virtuellen Raum des betroffenen Dienstleistungsbenutzers verletzt und nur dessen Sicherung umgangen hat. Anders gelagert ist wohl die Situation, bei der vom Hackerangriff eine Gefahr auch für das Host-System ausgegangen ist. Da kann es keinen Sinn machen, nur dem Dienstleistungsbenützer und nicht auch dem Provider einen Strafantrag stellen zu lassen. Einmal mehr zeigt sich die problematische Konzeption von StGB 143bis.I, wenn man ihm den Charakter eines Verletzungs- und gleichzeitig eines Gefährdungsdelikts zugrunde legt.
Nicht vollends klar ist die Sachlage dann, wenn der Nutzer eines Maildienstes, auf dessen geschütztes Konto ein unberechtigter Fremder Zugriff nahm, keinen Antrag stellt. Kann dann der Provider an dessen Stelle einen Strafantrag stellen? Bei Mailaccounts liegen in aller Regel keine Subsysteme vor, sondern es läuft ein Serviceprozess auf einem Server, der je nach angegebenen Zugangsdaten andere Inhalte zur Verfügung stellt. So befinden sich diverse Mailbenuzer virtuell im selben Prozess. Mehrer Mailaccounts stellen mithin keine eigene Datenverarbeitungssysteme dar. Das liesse den Schluss zu, dass neben dem Accountinhaber auch der Provider antragsberechtigt ist.
Hacking verjährt zehn Jahre nach erfolgter Tat. Erfolgt nach abgelaufener Verjährungsfrist eine Anzeige, so wird das Verfahren nicht an die Hand genommen (StPO 310.I.a).
Der Gesetzgeber hat Hacking mit einer Freiheitsstrafe von bis zu drei Jahren oder Geldstrafe unter Strafe gestellt. Das bedeutet neben einer maximal dreijährigen Haftstrafe eine Geldstrafe von höchstens 180 Tagessätze (StGB 34.I), die je zwischen (praxisgemäss) minimalen CHF 10.00 und maximal CHF 3000.00 (StGB 34.II) liegen. Damit liegt die Spannweite der Geldstrafe für einen erfolgreichen Hack bei mindestens CHF 10.00 und maximal CHF 540’000.00.
b. Objektiver Tatbestand
aa) fremdes Datenverarbeitungssystem
[…]
ab) Besondere Sicherung gegen fremden Zugriff
Die besondere Sicherung bedeutet einzig, dass eine Sicherung vorhanden sein muss. Es muss sich dabei um eine Computersicherung handeln, d.h. gewissermassen um eine digitale Sicherung, da das Eindringen auf dem Wege von Datenübertragungseinrichtungen geschehen muss. Eine analoge Sicherung, also das physische Einschliessen oder Befestigen eines Schlosses (zB eines Kensington-Locks) ist keine Sicherung nach StGB 143bis.I. Es genügt eine einzige Sicherung und es ist nicht notwendig, dass alle Sicherungen eines Systems, welches mehrfach gesichert ist, umgangen werden (so auch Bachmann, S. 55).
Die Sicherung hat nicht besonders in dem Sinne zu sein, dass sie eine mindestens notwendige Rafinesse aufweisen müsste. Es genügt das technisch zu bewerkstelligende Minimum und damit schlicht und ergreifend das Vorhandensein einer Sicherung. Ein PIN mit vier Stellen, welcher zwar aufgrund der geringen Anzahl Stellen ausgesprochen schwach ist, muss genügen. Insofern geht die Forderung, die Sicherung müsse den Umständen des jeweiligen Falls genügen, bereits zu weit (Schmid, Computer, §4 N 30, Weissenberger, aaO, N 14). Wie Pfister (S. 107) richtig festhält, muss eine Sicherung, um 143bis zu genügen, die Funktion “als objektiv erkennbare Manifestation eines Ausschlusswillens” erfüllen. Von einer Sicherung ist dieses Minimum zu erwarten, mehr aber nicht.
Im Unterschied zur wohl herrschenden Lehre (mwH Weissenberger, N 14) wird mit einer Sicherung im vorgenannten Sinne der Anwendungsbereich von StGB 143bis.I nicht stark, sondern auf ein gesundes Mass eingeschränkt. Es kommt nicht darauf an, ob ein Berechtigter seine Computeranlage im Verhältnis zum Angriffsrisiko genügend gesichert hat oder nicht. Jede Art von Passwortschutz oder sonstiger Sicherung, auch jene, die sich aus der Grundeinstellung ergibt (egal, ob individualisiert oder nicht), muss genügen (a.A. Weissenberger, N 15). Will man das Rechtsgut des Computerfriedens schützen, so darf es darauf nicht ankommen. Ebenso wenig hat die Fähigkeit des Täters, die Sicherung zu umgehen, eine Relevanz. Das Pendel schlägt hier klar zum Verletzungsdelikt, das in StGB 143bis.I steckt.
Das Kriterium der besonderen Sicherung wird zu unrecht kritisiert (vgl. oben e)).
ac) Exkurs: Straflose Vorbereitungshandlungen
ac.1) Portscans
Portscans, die im Vorfeld eines Hacks zum Gewinnen von Informationen über das Zielsystem gestartet werden, sind straflose Vorbereitungshandlungen. Portscans sind in diesem Fall bereits vom deliktischen Willen getragen, aber immer noch im Rahmen des Sozialkonformen anzusiedeln. Im Hinblick auf die beundesgerichtliche Schwellentheorie (BGE 83 IV 142, E. 1a) ist mit einem Portscan der point of no return noch nicht erlangt. Der Hacker kann auch nach dem Portscan sein Vorhaben, das Zielsystem zu hacken, aufhören und bleibt dabei straffrei. Anderer Auffassung ist Pfister (S. 130), die unter Anwendung des sog. Film-Tests zum Schluss gelangt, Portscans seien bereits strafbares Hacking: Der gewöhnliche Betrachter eines Films, der einen Hacker beim Portscan zeigt, werde annehmen, dass der gezeigte Hacker als nächstes in das Zielsystem eindringt. Pfister führt an, Portscanning könne nicht mehr als vollständig sozialadäquat betrachtet werden, da es weniger nahe liege, dass eine Person, die ein fremdes System auf offene Ports abscannt, nicht schon wenigstens entfernt an ein eindringen denkt. Diese Überlegung hat etwas Wahres an sich, ist aber letzten Endes falsch.
Ein Computersystem, das offene Ports aufweist, biete sich explizit an, um mit ihm über diesen Port in Kontakt zu treten. Dass ein Port offen ist, bedeutet dabei noch nicht, dass er nicht geschützt ist. Ein offener Port bedeutet nur, dass auf einer Netzwerkadresse unter einer gewissen Nummer ein Dienst läuft und auf anfragen wartet. So würde zB auf dem lokalen System auf der Adresse 127.0.0.1:80 (IP-Adresse:Port) für gewöhnlich ein Webserver laufen und beim Besuch dieser Adresse in einem Browser eine Webseite anzeigen. Bei einem Portscan geschieht also etwas, wofür Ports überhaupt erst existieren: Sie ermöglichen die Kommunikation über Protokolle zwischen zwei Computern (ähnlich Koch, S. 50). Bei einem Portscan wird in der einfachsten Variante nur versucht, eine Verbindung herzustellen. Gelingt die Verbindung, ist bekannt, dass ein Dienst auf diesem Port lauscht; gelingt er nicht, läuft auf dem Port kein Dienst. Ein ausgeklügelterer Scan stellt in Abhängigkeit der Portnummer eine konkrete Anfrage an den Dienst unter dieser Nummer und erhält unter Umständen eine entsprechende Antwort (zB kann die Versionsnummer des Dienstes geliefert werden, oder eine Liste von angebotenen Funktionen oder Konfigurationsparameter etc.).
Es ist in Anbetracht der Funktionsweise und des Wesens von Ports nicht zulässig, jemandem, der einen Portscan durchführt, unter blossem Rückgriff auf den gewöhnlichen Betrachter, einen Vorsatz auf eine Straftat zu unterstellen.
Portscans sind dem Gesagten nach straflose Vorbereitungshandlungen (ebenso Weissenberger, N 20; vgl. auch Koch, S. 51).
ac.2) Signalanalyse
Ebenfalls nicht strafbar nach StGB 143bis.I ist die Analyse von Signalen (wohl aber nach StGB 143). Die Signalanalyse unterscheidet sich in technischer Hinsicht von Portscans. Signale, die Computer abstrahlen, können mit dem entsprechenden Instrumentarium aufgezeichnet und analysiert werden. Es braucht dabei, im Unterschied zum Portscanning, keine Kommunikation. Ein Fall von strafloser Signalanalyse ist das sog. Wardriving, bei welchem WLAN-Packete über die Luftschnittstelle aufgezeichnet und analysiert werden und dabei dann häufig die Ergebnisse samt GPS-Positionsdaten der Netzte und deren Namen auf einer Karte eingetragen werden. Wardriving kann Vorbereitungshandlung zu Hacking sein, nämlich dann, wenn sich der Hacker auf die Suche nach einem nur schwach geschützten WLAN macht. Im Übrigen ist Wardrivinving nichts anderes als blosses Kartografieren von WLAN-Accesspoints; von strafbarem Verhalten kann deshalb nicht die Rede sein.
Findet der Hacker zB ein schwach geschütztes Netzwerk, knackt er den zugehörigen Schlüssel dieses Netzes und dringt danach mit diesem Schlüssel ein, hat er sich nach StGB 143bis.I strafbar gemacht. Namentlich bei Netzwerken, die sich auch heute noch der WEP-Verschlüsselung bedienen, trifft dies zu. Solange der Hacker nur aufzeichnet, dass dieses Netzwerk eine schwache Verschlüsselung benutzt, ist er nicht strafbar. Beginnt er die Designschwächen des WEP-Standards auszunutzen und startet mit dem sammeln vieler tausenden Datenpakete und knackt in der Folge durch Analyse der gesammelten Pakete den Schlüssel, so bleibt er solange nicht strafbar, als er das Passwort nicht zum Eindringen in das System benutzt. Hier könnte hingegen mit Fug und Recht diskutiert werden, ob in einem solchen Fall nicht die Schwelle zum Versuch bereits überschritten ist.
Gerade im Bereich der WLAN-Technik sind jüngst neue Schwachstelle bekannt geworden. Sie sind zum einen wie beim WEP-Standard auf Designschwächen zurückzuführen, so namentlich beim WPS-Standard (WPS steht sinnigerweise für Wireless-Protected-Setup). Beim WPS-Standard erfolgt der Angriff nicht über eine bloss passive Analyse von Paketen, sondern durch geschicktes Ausprobieren von Pinnummern, solange, bis das angegriffene System den Schlüssel zum Netzwerk preis gibt. Wer die einschlägige Angriffssoftware gegen ein fremdes System einsetzt und es zu Kommunikation zwischen dem Angreifer- und dem Zielsystem kommt, ist die Schwelle zum strafbaren Hacking überschritten. Wer also konkret in einer Kommandozeile den Befehl ausführt und sich das Zielsystem meldet, hat sich strafbar gemacht. Weiterhin im Versuchsstadium befindet sich der Hacker, wenn ihm das angegriffene System am Schluss den Schlüssel bekannt gibt und er noch nicht in das Zielsystem eindringt. Sobald er schlussendlich den Schlüssel benutzt und sich im fremden WLAN befindet, hat er StGB 143bis.I erfüllt und der Erfolg ist eingetreten.
Zum anderen haben auch Serviceprovider neue Angriffsvektoren zu verantworten, in dem sie zB Schwächen in der Firmware (eine Art Systemsoftware) der Geräte zugelassen haben, die sie ihren Kunden (zwangsweise) für den Zugang zum Internet zur Verfügung stellten. Bei einem grösseren Anteil dieser Geräte lässt sich der Schlüssel zum Wirelessnetzwerk anhand des ausgestrahlten Netzwerknamens berechnen. Bei einem Angriff gegen ein derartiges System geht der Angreifer (im Unterschied zum vorgenannten Angriff gegen WPS) komplett passiv vor, analysiert also lediglich, was er an Informationen vom Zielsystem “freiwillig” erhält. Ein Hacker befindet sich mithin im straflosen Vorbereitungsstadium, wenn er die einschlägige Software auf seinem System einsetzt, um die Zugangsschlüssel zum Zielsystem zu generieren und er diese Schlüssel noch nicht zum Eindringen benutzt. Dringt er unter Einsatz des erhaltenen Schlüssels schliesslich in das Zielsystem ein, ist er nach StGB 143bis zu bestrafen.
Sofern bei einer Signalanalyse mit einer Fernmeldeanlage (Fernmeldegesetz, FMG 3.d) nichtöffentliche Informationen empfangen werden, die nicht für den Empfänger bestimmt sind und sie unbefugt verwendet oder Dritten bekannt gibt, kann Strafbarkeit nach FMG 50 vorliegen.
Werden bei einer Signalanalyse Daten beschafft, die nicht für den Empfänger bestimmt sind und die gegen seinen Zugriff besonders gesichert sind, so ist eine Strafbarkeit nach StGB 143 zu prüfen. Das wäre bspw. dort der Fall, wo ein verschlüsseltes Funksignal geknackt wird, mit welchem besagte Daten transportiert werden.
ad) unbefugtes Eindringen auf dem Wege von Datenübertragungseinrichtungen
In einer generischen Weise lässt sich das Eindringen (das Hacken, franz. le piratage) folgendermassen umschreiben: “Der Täter dringt in das fremde Datenverarbeitungssystem ein, indem er sich Zugang dazu verschafft, d.h. sich in die Lage bringt, von darin befindlichen Daten Kenntnis zu nehmen, ohne dass ihm eine entsprechende Befugnis zusteht” (Donatsch, Navigator, StGB 143bis, N 3).
Dass das Eindringen unbefugt geschehen muss, ist selbstverständlich. Befugtes Eindringen kann strafrechtlich nicht erfasst werden. Die Unbefugtheit stellt an und für sich kein separates Tatbestandselement dar. Die Unbefugtheit wird durch den Begriff “eindringen” bereits impliziert.
Die Straflosigkeit des befugten Eindrigens ergibt sich aus der Einwilligung des Betroffenen (eine betroffene Person, aber gerade keine geschädigte, da sie die Einwilligung erteilt hat). Bei der Einwilligung handelt es sich um eine ungeschriebenen ausserstrafgesetzlichen resp. übergesetzlichen Regel. Der Betroffene Verfügt mit seiner Einwilligung über sein Rechtsgut, was ihm grundsätzlich durch die Rechtsordnung nicht verboten werden kann. Der Betroffene hat dem Eindringling seine Einwilligung vor der Tat zu erklären. Der Einwilligende hat dabei einsichts- und urteilsfähig zu sein und darf keinen Willensmängeln unterliegen. Der Eindringling hat zudem in Kenntnis dieser Erklärung zu handeln. Dringt er in ein fremdes System ein, ohne über die Einwilligung des Geschädigten (hier nicht mehr bloss ein Betroffener, sondern eben ein Geschädigter) zu wissen, ist er strafbar. Die Einwilligung hat tatbestandsausschliessenden und nicht bloss rechtfertigenden Charakter.
Dringt ein Penetration-Tester während eines vulnerability assessments in Systeme seines Auftraggebers ein, tut er dies befugtermassen und ist nie strafbar. Er hat sich aber auf jedenfall an den ihm gesteckten Rahmen seines Auftrags zu halten. Findet er während seiner Tests unbekannte Systeme oder Netzwerke, hat er bei seinem Auftraggeber die Einwilligung einzuholen, bevor er solche Systeme anzugreifen versucht.
Im Rahmen eines Strafprozesses gehört es zur üblichen Vorgehensweise der Strafverfolgungsbehörden, bei einem Beschuldigten die vorhandenen Computer zu beschlagnahmen und digital-forensisch zu untersuchen. Sofern der Forensiker dabei in geschützte Systeme eindringen muss, ist er durch die hoheitliche Kompetenz der Strafverfolgung dazu berechtigt. Das eindringen erfolgt im Rahmen von Zwangsmassnahmen.
Auf vielen Windows-Systemen findet sich zwar ein Passwortschutz, bei welchem der Benutzer sich mit einem Passwort am System anmelden muss. Dieser Passwortschutz schützt dagegen nur vor dem direkten Zugriff über den Benutzeraccount bei laufendem System. Die Daten können auch ohne dieses Benutzer-Passwort ausgelesen werden, in dem der entsprechende Datenträger an einem anderen System angehängt wird. Dabei ist vorausgesetzt, dass kein Schutz auf Dateisystemebene implementiert ist (zB LUKS, BitLocker oder TrueCrypt), was bei den meisten Windowssystemen standardmässig der Fall ist. Wer eine Festplatte eines passwortgeschützten Computers ausbaut und auf einem anderen System auf die Daten dieser Festplatte zugreift, dringt nicht in ein Datenverarbeitungssystem ein. Diese Variante wird nicht von StGB 143bis.I erfasst. Ebensowenig, wer eine verschlüsselte Festplatte zu entschlüsseln versucht. Es fehlt dabei am Kriterium des Datenverarbeitungssystems.
Das Eindringen hat auf dem Wege von Datenübertragungseinrichtungen zu erfolgen. Der Bundesrat wollte mit dieser Wortwahl betonen, dass von StGB 143bis.I nur das Eindringen durch Missbrauch der üblichen Datenübermittlungskanälen erfasst wird. Solang die Tathandlung auf dem Wege von Datenübermittlungskanälen erfolgt, ist jede erdenkliche Handlung erfasst. Richtiger Weise kann so aber das bloss physische Eindringen in Computerräume nicht genügen.
Das Eindringen kann entgegen der herrschenden Lehre auch über eine Tastatur erfolgen (ebenso Weissenberger, N 16 mwH und Stratenwerth/Jenny/Bommer, S. 365, N 40). Bei der Verbindung der Tastatur, sei es über Funk oder über ein Kabel, handelt es sich um nichts anderes, als um eine Datenübertragungseinrichtung. Um dies Verständlich zu machen, drängt sich der Beizug eines Standard-Modells auf, das die komplexen Beziehungsverhältnisse bei Datenübermittlungen innerhalb eines Computers sowie zwischen mehreren Computern schematisiert. Dafür eignet sich das OSI-Modell (Open Systems Interconnection Model), ein Referenzmodell für Netzwerkprotokolle.
Ein Hackerangriff durchläuft immer mehere OSI-Layer. Loggt sich bspw. ein Hacker mit erlangten Zugangsdaten einer fremden Person über die Webseite des Betreibers ein, so führt er den eigentlichen Hackerangriff auf der obersten OSI-Layer 7 durch. Webseiten werden heute über die Protokolle HTTP resp. HTTPS beim Benutzer angezeigt. Sie sind der application layer zuzuordnen. Dringt ein Hacker dagegen bspw. in ein fremdes WLAN ein, für das er vorgängig Schlüssel erhalten hat, so umgeht er die Sicherung, in dem er sie auf OSI-Layer 2, also der data link layer, bricht. Die Authentifizierung des Benutzers ist bei WLAN auf dieser Ebene anzusiedeln.
Das OSI-Modell ermöglicht es, die Hackertätigkeiten in einer systematischen Betrachtung der technischen Abläufe einordnen zu können. Es ermöglicht ausserdem, Hackervorfälle anhand bereits bekannter Urteile als strafrechtlich relevant einzuordnen. Dank dem OSI-Modell lässt sich die Diskussion, ob der Hackingtatbestand beim Benutzen einer Tastatur an einem passwortgeschützten Computer nun erfüllt ist oder nicht, lösen: Das Tastaturkabel resp. die Luft bei Funktastaturen ist der OSI-Layer 1, also der physical Layer, zuzuordnen. Die elektrischen Signale der Tastatur werden über die OSI-Layer 1 an den Computer gesandt, welcher sie in Form von Bits (1 oder 0) interpretiert. Damit ist bereits der Weg der Datenübertragungseinrichtungen, wie er von StGB 143bis.I vorausgesetzt wird, eindeutig beschritten. Der Hacker gibt sein Passwort schliesslich in einer Passwortmaske ein, die auf der Eben der application layer ausgegeben werden. In diesem Beispiel durchläuft der Hacker sämtliche Ebenen des OSI-Modells.
Anders, als es das Bundesgericht in BGE 130 III 28, E. 4.2 (Übersetzung in Pra 93 [2003] Nr. 115) angenommen hat, ist das Umleiten von fremden Emails in den eigenen Account unzweifelhaft kein Eindringen.
Erfasst ist die Tatvariante, in welcher der Hacker durch Social Engineering an die Zugangsdaten gelangt. Social Engineering ist eine der ältesten Hackertechniken. Sie bedient sich der Tatsache, dass der Mensch grundsätzlich kommunikativ ist. Ein Hacker gibt sich dabei zB am Telefon als Systemadministrator aus und erfragt die Zugangsdaten. Dabei wird er im Vorfeld seines Telefonats möglichst viele Informationen über seinen Gesprächspartner zusammentragen, damit sein Anruf und die erzählte Geschichte möglichst glaubwürdig erscheint.
Ebenso zum Social Engineering wird der Angriff über Phising-Mails gezählt. In der Computersicherheitsbranche besteht der Konsens, dass jede Organisation mittels social engineering angreifbar ist. Penetration-Tester untersuchen deshalb den Angriffsvektor Mensch nur dann, wenn vorgängig eingehende Awareness-Schulungen erfolgt sind. Ich bin der Ansicht, dass der Versand eines Phishingmails Teil eines Hackerangriffs sein kann. Der Hacker täuscht seine Zielperson über die Legitimität des Mails und erreicht, dass das Opfer ihm Zugangsdaten zukommen lässt. Daraufhin dringt der Hacker mit den ergatterten Zugangsdaten in das fremde System ein. Das stellt Hacking dar (ebenso Ammann, S. 198 und Weissenberger, StGB 143bis, N. 17). Anderer Auffassung ist Bachmann, der wohl das Hacking an und für sich einschränkender erfasst und nur die direkte Umgehung der Sicherung als Hacking betrachtet (ebenso Hurtado Pozo, PS, N 1068; Bachmann, S. 57 sowie 141, wo das sog. technische Phishing ebenfalls als Hacking erfasst wird). Ich gehe dahin mit ihm einig, dass der Versand eines Phishing-Mails für sich alleine nur als versuchtes Hacking erfasst werden kann. Mit dem Versand eines Emails (nach Bachmann sog. klassisches Phishing) wird noch nicht in ein System eingedrungen (Bachmann, aaO).
Sobald sich der Hacker im Zielsystem befindet, hat er StGB 143bis.I vollendet. Das anschliessende Verweilen und auch das ausführen von Befehlen auf dem geenterten System stellt eine einmalige Handlung dar (Weissenberger, N 23). Dringt der Hacker wiederholt in dasselbe System (egal ob unter Verwendung desselben Schlüssels oder derselben Technik) ein, liegt eine Tatmehrheit vor (StGB 49.I).
b. Subjektiver Tatbestand
Der Tatbestand nach StGB 143bis.I setzt Vorsatz voraus, wobei Eventualvorsatz genügt. Der Vorsatz hat sich auf sämtliche objektiven Tatbestandsmerkmale zu richten; namentlich auf die Fremdheit und die besondere Sicherung des Datenverarbeitungssystems.
Es spielt dabei keine Rolle, mit welcher Absicht der Täter handelt. Auch der gutwillige Hacker, wird bestraft.
Mangels der notwendigen Umschreibung ist fahrlässiges Hacken straflos. Der fahrlässige Täter (er wird kaum unter den Begriff des Hackers fallen) bleibt selbst dann straflos, wenn er im System verweilt (dolus subsequens) (Pfister, S. 124; Schmid, Computer, § 5 N23; Weissenberger, N 25).
c. Konkurrenzen
[…]
III. Ad StGB 143bis.II – Verbreiten von Hackersoftware
a. Strafantrag und Strafandrohung
Der zweite Absatz des Hackertatbestands ist im Unterschied zum ersten Absatz als Offizialdelikt ausgestaltet. Die Strafverfolgung geschieht von Amtes wegen; ein Strafantrag ist damit nicht notwendige Prozessvoraussetzung.
Es handelt sich bei StGB 143bis.II um ein abstraktes Gefährdungsdelikt.
b. Objektiver Tatbestand
Mit StGB 143bis.II wird die Mindestvorgabe der Cybercrimekonvention im Schweizer Recht umgesetzt (CCC 6.III); Die Schweiz hat einen Vorbehalt angebracht, nach welchem nur der der Verkauf, das Verbreiten und das Verfügbarmachen von Passwörtern, Codes oder ähnlichen Daten, die den Zugang zu einem Computersystem ermöglichen, unter Strafe gestellt werden (CCC 42 iVm 6). Dieser Vorbehalt ist in Anbetracht der ultima ratio Funktion des Strafrechts richtig, namentlich deshalb, weil der Tatbestand bereits in dieser Ausgestaltung sehr weit greift (a.A Weissenberger, N. 35). Der Vorbehalt, wie ihn die Schweiz angebracht hat, wird in der Cybercrimekonvention ausdrücklich ermöglicht (CCC 6.III).
aa) Passwörter, Programme oder andere Daten (Tatobjekt)
[…]
1. Passwörter
[…]
2. Programme
[…]
3. Andere Daten
ab) Inverkehrbringen oder Zugänglichmachen (Tathandlung)
[…]
ad) public vulnerability disclosure
b. Subjektiver Tatbestand
aa) Allgemeines
[…]
ab) Wissen oder wissen müssen
[…]