Hacking, ein Teil­be­reich der Com­pu­ter­kri­mi­na­li­tät resp. von Cybercrime, steht in der Schweiz mit Art. 143bis Abs. 1 StGB unter Strafe. Im Straf­ver­fah­ren stellt sich die kom­plexe Frage, wann sich ein Hacker straf­bar gemacht hat resp. wel­che Hacker-Akti­vi­tä­ten sich noch im lega­len Rah­men bewe­gen. Nicht alles, was man vor­der­grün­dig einem Hacker zuschreibt, ist auch ver­bo­ten.

143bis.ch stellt hier eine Kom­men­tar zum sog. Hacker­pa­ra­gra­phen (in der Schweiz wäre genauer vom Hacker­ar­ti­kel zu spre­chen) online zur Ver­fü­gung.


Art. 143bis Unbe­fug­tes Ein­drin­gen in ein Daten­ver­arbeitungs­system

1 Wer auf dem Wege von Daten­über­tra­gungs­ein­rich­tun­gen unbe­fug­ter­weise in ein frem­des, gegen sei­nen Zugriff beson­ders gesi­cher­tes Daten­ver­ar­bei­tungs­sys­tem ein­dringt, wird, auf Antrag, mit Frei­heits­strafe bis zu drei Jah­ren oder Geld­strafe bestraft.
2 Wer Pass­wör­ter, Pro­gramme oder andere Daten, von denen er weiss oder anneh­men muss, dass sie zur Bege­hung einer straf­ba­ren Hand­lung gemäss Absatz 1 ver­wen­det wer­den sol­len, in Ver­kehr bringt oder zugäng­lich macht, wird mit Frei­heits­strafe bis zu drei Jah­ren oder Geld­strafe bestraft.

SR HTML: StGB 143bis SR PDF: StGB  [MATERIALIEN: BOTSCHAFT BR] [WEITERE PLATZHALTER]

Im Moment fin­den Sie hier nur einen stark redu­zier­ten Aus­zug aus dem Kom­men­tar. Der Kom­men­tar wird im Augen­blick über­ar­bei­tet und ist noch nicht redi­giert. Er wurde zu Test­zwe­cken auf­ge­schal­tet.

Falls Sie an einem fach­li­chen Aus­tausch inter­es­siert sind (z.B. Lehre / Medi­en­schaf­fende), dür­fen Sie sich gerne bei mir mel­den: Impres­sum.

Bitte besu­chen Sie die Seite zu einem spä­te­ren Zeit­punkt wie­der.


Von: Rechts­an­walt Roman Kost, MLaw, CAS Infor­ma­ti­ons­si­cher­heit, selbst­stän­di­ger Rechts­an­walt, ra-kost.ch

Kom­men­tar­re­vi­sion: 2018–11-22–215242

A. Lite­ra­tur­ver­zeich­nis

anzei­gen »

Bach­mann Adrian, “phis­hing” nach Zugangs­da­ten der Kun­den von Online­por­ta­len, Diss., 2015, Zürich (zit. Bach­mann, S. ); Bal­tis­ser Annina, Daten­be­schä­di­gung und Mal­ware im Schwei­zer Straf­recht – Der Tat­be­stand des Art. 144bis StGB im Ver­gleich mit den Vor­ga­ben der Cybercrime Con­ven­tion und der deut­schen Rege­lung, Diss., 2013, Zürich (zit. Bal­tis­ser, S. ); Donatsch Andreas/Rehberg Jörg/Schmid Niklaus, Straf­recht III – Delikte gegen den Ein­zel­nen, 10. Aufl., 2013, S. 164 ff. (zit. Donatsch, III, S. ); Donatsch Andreas in: Navi­ga­tor-Kom­men­tar StGB, 19. Aufl., 2013, zu Art. 143bis StGB, S. 270 ff. (zit. Donatsch, Navi­ga­tor, StGB 143bis, S. ); Hurtado Pozo José, Droit pénal: par­tie spé­ciale, Genève, 2009, S. 318 ff. (zit. Hurtado Pozo, PS, N ); Klei­ner Jan/Stocker Lukas, Data Bre­ach Noti­fi­ca­ti­ons, Mel­de­pflich­ten bei Daten­pan­nen de lege lata und de lege ferenda, digma, 3/2015, S. 90; Koch Alex­an­der, Straf­recht­li­che Pro­bleme des Angriffs und der Ver­tei­di­gung in Com­pu­ter­net­zen, Diss., Baden-Baden, 2008; Koch­heim Die­ter, Cybercrime und Straf­recht in der Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­nik, 2015, Mün­chen; Mon­nier Gil­les, Le hacking: enjeux actu­els à la lumière du cas “Hacker-Croll”, Medi­alex 2010, S. 130 ff. (zit. Mon­nier, 2010, S. ); Riedo Chris­tof, Der Straf­an­trag, Diss., 2004; Ryser Domi­nic, “Com­pu­ter Foren­sics”, eine neue Her­aus­for­de­rung für das Straf­pro­zess­recht – Straf­pro­zess­recht­li­che Beweis­si­che­rung, Beweis­füh­rung mit Sach­ver­ständigen­gutachten und Beweis­wür­di­gung in IT-Fäl­len, in: Inter­net-Recht und Straf­recht, 4. Tagungs­band, Bern, 2005, S. 553–594; Schmid Niklaus, Com­pu­ter- sowie Check- und Kre­dit­kar­ten-Kri­mi­na­li­tät, Zürich 1994, § 5/Art. 143bis N 1 (zit. Schmid, 1994 N ); Schmid Niklaus, das neue Com­pu­ter­straf­recht, in ZStR 1995 Trech­sel Ste­fan, Schwei­ze­ri­sches Straf­ge­setz­buch, Pra­xis­kom­men­tar, 2. Aufl. Zürich, 2012, Art. 143bis N 1 ff. (zit. Trech­sel, PK, N ); Pfis­ter Christa, Hacking in der Schweiz – Im Spie­gel des euro­päi­schen, deut­schen und des öster­rei­chi­schen Com­pu­ter­straf­rechts, Diss., Zürich, 2008 (zit. Pfis­ter, S. ); Björn Send­zik, Der “Daten­dieb­stahl”, Diss., 2014, Ham­burg; Schwar­zen­eg­ger Chris­tian, Der räum­li­che Gel­tungs­be­reich des Straf­rechts im Inter­net, ZStrR 118 (2000), S. 109 ff. (zit. Schwar­zen­eg­ger, Gel­tungs­be­reich, S. ); Schwar­zen­eg­ger Chris­tian, Die Inter­na­tio­na­li­sie­rung des Wirt­schafts­straf­rechts und die schwei­ze­ri­sche Kri­mi­nal­po­li­tik: Cyber­kri­mi­na­li­tät und das neue Urhe­ber­straf­recht, ZSR 2008 II, S. 399 ff. (zit. Schwar­zen­eg­ger, Inter­na­tio­na­li­sie­rung, S. ); Schwar­zen­eg­ger Chris­tian, Die inter­na­tio­nale Har­mo­ni­sie­rung des Com­pu­ter- und Inter­net­straf­rechts durch die Con­ven­tion on Cybercrime vom 23. Novem­ber 2001: Am Bei­spiel des Hackings, der unrecht­mäss­gen Daten­be­schaf­fung und der Ver­let­zung des Fern­mel­de­ge­heim­nis­ses, in: Fest­schrift für Ste­fan Trech­sel zum 65. Geburts­tag Zürich, 2002, (zit. Schwar­zen­eg­ger, FS-Trech­sel, S. ), Stra­ten­werth Günther/Bommer Michael, Schwei­ze­ri­sches Straf­recht – Beson­de­rer Teil Bd. II, 7. Aufl., Zürich, 2013 (zit. Stratenwerth/Bommer, S. , N); Weis­sen­ber­ger Phil­ippe, in: Bas­ler Kom­men­tar, Straf­recht, 3. Aufl., 2013, Art. 143bis StGB, S. 546 ff. (zit. Weis­sen­ber­ger, 143bis, N );

[…]

B. Mate­ria­li­en­ver­zeich­nis

anzei­gen »

Bot­schaft vom 24. April 1991 über die Aen­de­rung des Schwei­ze­ri­schen Straf­ge­setz­bu­ches und des Mili­tär­straf­ge­set­zes (Straf­bare Hand­lun­gen gegen das Ver­mö­gen und Urkun­den­fäl­schung), BBl 1991 II, S. 969 ff. (zit. Bot­schaft 1991, S. )

Bot­schaft vom 18. Juni 2010 über die Geneh­mi­gung und Umset­zung des Über­ein­kom­mens des Euro­pa­ra­tes über die Cyber­kri­mi­na­li­tät, BBL 2010 4697 (zit. Bot­schaft 2010, S. )

Con­ven­tion on Cybercrime – Expla­natory Report – [2001] COETSER 8 (23 Novem­ber 2001), ETS No. 185PDF

Zeit­schrift Kri­mi­na­lis­tik

[…]

C. Abkür­zungs­ver­zeich­nis

anzei­gen »

StGB

dStGB

öStGB

liStGB

WLAN

[…]

I. Vor­be­mer­kun­gen

Bei StGB 143bis han­delt es sich um den sog. Hacker­ar­ti­kel des Schwei­zer Straf­rechts. Die Schweiz hat mit StGB 143bis das Hacken (das Ein­drin­gen in ein gesi­cher­tes Sys­tem) eo ipso unter Strafe gestellt. Auch das deut­sche Straf­recht kennt die Straf­bar­keit des blos­sen Hackens (§202a dStGB, sog. Hacker­pa­ra­graph). Das Öster­rei­chi­sche und Liech­ten­stei­ni­sche Straf­recht dage­gen erfasst das blosse Hacken nicht: §118a öStGB resp. der wort­glei­che §118a liStGB setzt nebst dem Hacking immer auch die Absicht vor­aus, sich Kennt­nis über Daten zu ver­schaf­fen sowie zusätz­lich eine beson­dere Absicht, nament­lich die Zuwen­dung eines Ver­mö­gens­vor­teils oder das Zufü­gen eines Nach­teils. Inso­fern wer­den in Öster­reich und Liech­ten­stein nur sog. Cra­cker bestraft.

a. Zum Begriff des Hackers

Land­läu­fig wird der Begriff Hacker fälsch­li­cher­wei­sen­e­ga­tiv kon­no­tiert. Ein Hacker ist im noch heute gül­ti­gen Ver­ständ­nis der Hacker­szene eine neu­gie­rige Per­son, die sich eines tech­ni­schen Pro­blems annimmt und die­ses Pro­blem mit einer krea­ti­ven Her­an­ge­hens­weise löst. Dabei kann durch­aus die Her­aus­for­de­rung im Zen­trum ste­hen, in ein gesi­cher­tes Sys­tem ein­zu­drin­gen. Ein Hacker befasst sich aber nicht per se ein­zig damit, Siche­run­gen zu umge­hen.

Ein Hacker nach die­ser Umschrei­bung hat im Zusam­men­hang mit StGB 143bis kei­ner­lei wei­te­ren Antrieb, aus­ser eben jenem, ein gesi­cher­tes Sys­tem zu meis­tern und damit die Tech­nik zu schla­gen. Es han­delt sich dabei zwei­fels­ohne um eine roman­ti­sierte Vor­stel­lung des Hackers.

Das Selbst­ver­ständ­nis der Hacker wurde erst­mals im sog. Hacker­ma­ni­fest ver­schrift­licht, das am 8. Januar 1986 im ältes­ten Hacker­ma­ga­zin Phr­ack unter dem Titel «The Con­sci­ence of a Hacker”» ver­öf­fent­licht wurde. In den heu­ti­gen Com­pu­ter­si­cher­heits­krei­sen wird häu­fig zwi­schen Hackern und Cra­ckern unter­schie­den. Letz­tere haben bös­ar­tige Gesin­nung. Sie han­deln z.B. in Berei­che­rungs­ab­sicht oder mit dem Ziel, Scha­den anzu­rich­ten (ein­ge­hen­der und mit vie­len Hin­wei­sen Pfis­ter, S. 89 – 97).

b. Gefah­ren des Hackings

Die ursprüng­li­che und posi­tiv kon­no­tierte Begriffs­de­fi­ni­tion trifft zwar auch heute noch auf die grosse Mehr­heit der Hacker zu. Sie kann aber nicht davon ablen­ken, dass der Schwei­zer Gesetz­ge­ber grade diese Ur-Tätig­keit des Hackers unter Strafe gestellt hat und damit gesell­schaft­lich äch­ten will. In der brei­ten Bevöl­ke­rung wird ein Hacker denn auch ten­den­zi­ell als Kri­mi­nel­ler wahr­ge­nom­men.

Es ist frag­lich, ob das pau­schale unter Strafe stel­len von Hacking, wie es heute mit StGB 143bis der Fall ist, über­haupt sinn­voll ist: Sicher­heits­for­scher, die bei ihren Ana­ly­se­tä­tig­kei­ten in ein Daten­verarbeitungs­system gelan­gen und im Anschluss den Ver­fü­gungs­be­rech­tig­ten die­ses Sys­tems über die ent­deckte Sicher­heits­lü­cke infor­mie­ren, soll­ten nicht  bestraft wer­den. Sie leis­ten einen wert­vol­len Bei­trag zur Sicher­heit der zuneh­mend digi­tal wer­den­den Welt.

Dass Hacking aber ein gros­ses Gefah­ren­po­ten­tial in sich birgt, kann man dage­gen kaum bestrei­ten. Je nach ange­wand­ter Tech­nik bringt ein Hacker gezielt ein Sys­tem oder ein­zel­nen lau­fen­den Pro­zesse die­ses Sys­tem­sin einen Zustand, der nicht vor­ge­se­hen ist und des­sen küniitge Ope­ra­tio­nen dann nicht mehr abschätz­bar sind. Das kann im äus­sers­ten Fall zum Absturz ein­zel­ner Pro­zesse oder gar des gesam­ten Sys­tems füh­ren. Das Gefähr­li­che darin liegt im Umstand, dass der Hacker in der Regel nicht über alle inter­nen Ein­zel­hei­ten des Sys­tems weiss. Der Absturz eines Pro­zes­ses, auf den andere Pro­zesse ange­wie­sen sind, kann zur Funk­ti­ons­un­fä­hig­keit des Sys­tems und letzt­lich auch zu Daten­ver­lus­ten füh­ren. Sind Sys­teme nicht mehr ver­füg­bar, kann je nach Daten­ver­ar­bei­tungs­an­la­gen nicht nur das Ver­mö­gen son­dern gar Leib und Leben in Gefahr sein. Man denke an Daten­verarbeitungs­systeme in Spi­tä­lern, Ein­satz­zen­tra­len von Poli­zei oder Feu­er­wehr, oder an sol­che in Was­ser- oder Kern­kraft­an­la­gen. Hacking ist aber nicht per se gefähr­lich.

Davon abzu­gren­zen sind Angriffe, die das Ziel­sys­tem nicht insta­bil las­sen wer­den. Das Aus­pro­bie­ren von unzäh­li­gen Pass­wort­kom­bi­na­tio­nen bei einem Brute-Force-Angriff führt in aller Regel zu kei­nen Neben­wir­kun­gen und gilt als unge­fähr­lich.

Zusätz­li­che Gefah­ren ent­ste­hen erst durch den anschlies­sen­den Miss­brauch eines gehack­ten Sys­tems, wer­den aber fälsch­li­cher­weise dem Hacken sel­ber zuge­schrie­ben. So adres­siert z.B. der Euro­pa­rat in sei­nem Expla­natory Report vom 23. Novem­ber 2001 einer­seits Gefah­ren wie Sys­tem- und Daten­feh­ler für legi­ti­mierte Benut­zer, sowie unspe­zi­fi­sche Ver­än­de­run­gen und Zer­stö­run­gen mit hohen Wie­der­her­stel­lungs­kos­ten. Zum andern wer­den der Zugriff auf ver­trau­li­che Daten (nament­lich Pass­wör­ter und Sys­tem­in­for­ma­tio­nen) erwähnt, sowie geheime Infor­ma­tio­nen, mit wel­chen die Sys­teme ohne Bezah­lung genutzt wer­den oder gar zu Com­pu­ter­be­trug oder ‑fäl­schun­gen füh­ren könn­ten.

Hacking ist viel­fach auch mas­siv per­sön­lich­keits­ver­let­zend. So wird eine betrof­fene Per­son, die bemerkt, dass ihr Sys­tem infil­triert wurde, durch die­sen Umstand mas­siv ver­un­si­chert. Um sicher zu sein, dass auf einem Com­pu­ter kein Ein­dring­ling mehr zuge­gen ist, wer­den die Sys­teme meis­tens kom­plett for­ma­tiert und neu auf­ge­setzt.

Für gewöhn­lich wird ein Hack erst nach lan­ger Zeit und eher zufäl­lig bemerkt. Hacking ist für den Men­schen nicht real wahr­nehm­bar. Noch viel weni­ger, als beim Haus­frie­dens­bruch in rea­len Räu­men. Ein erfolg­rei­cher Hack ermög­licht es dem Täter, auf einen Schlag über pri­va­teste Details sei­ner Ziel­per­son Kennt­nis zu erlan­gen. Von pri­va­ten Film- und Foto­samm­lun­gen, über die gesamte elek­tro­ni­sche Kor­re­spon­denz, elek­tro­ni­sche Tage­bü­cher, Rech­nun­gen etc. pp fin­det sich heute alles auf einem Com­pu­ter. Ebenso kann er durch den Hack in den Besitz wei­te­rer Zugangs­da­ten kom­men. Iden­ti­täts­dieb­stahl kann die Folge sein, was gra­vie­rende Aus­masse anneh­men kann. Iden­ti­täts­dieb­stahl oder ‑miss­brauch ist als sol­cher ist in der Schweiz nicht straf­bar (wohl aber andere Rechts­guts­ver­let­zun­gen unter ande­ren Titeln; siehe aber die ange­nom­mene stän­de­rät­li­che Motion Comte vom 21.03.2014, wonach ein Straf­tat­be­stand für den Iden­ti­täts­miss­brauch als sol­ches ver­langt wird).  Nicht zu ver­ges­sen ist die Mög­lich­keit, sich auch unmit­tel­bar am Ver­mö­gen zu berei­chern, in dem Bestel­lun­gen aus­ge­führt wer­den oder Zah­lungs­an­wei­sun­gen vor­ge­nom­men wer­den. Gehack­ter Com­pu­ter bedeu­tet also per­sön­lich mas­sive Unsi­cher­heit für die Betrof­fe­nen.

Aus die­sen zwei unter­schied­li­chen Argu­men­ta­ti­ons­rich­tun­gen ist bereits jetzt erkenn­bar, dass der Hacking­tat­be­stand zwei Gesich­ter in sich ver­eint. Die­ses Gemenge führt zu einem Lehr­streit über den Delikts­cha­rak­ter von StGB 143bis.I, wel­cher im Abschnitt Rechts­gut und Delikts­na­tur wei­ter unten auf­ge­zeigt wird.

c. Kri­mi­nal­sta­tis­tik

Im Jahr 2014 waren 92 Per­so­nen poli­zei­lich regis­triert, denen vor­ge­wor­fen wurde, unbe­fugt in ein Daten­verarbeitungs­system ein­ge­drun­gen zu sein. Dabei wur­den drei­mal mehr Män­ner als Frauen gezählt. Die poli­zei­lich regis­trier­ten beschul­dig­ten Per­so­nen wer­den wie folgt auf­ge­schlüs­selt (Stand 01.02.2016):

143bis Beschuldigte

(PDF | SVG | CSV-Daten­satz | Daten­quelle)

Die grösste Anzahl beschul­dig­ter Per­so­nen fin­det sich seit Beginn der sta­tis­ti­schen Erfas­sung im Jahr 2009 durch das Bun­des­amt für Sta­tis­tik in der Gruppe der 20- bis 40-jäh­ri­gen. Die Per­so­nen die­ser Gruppe gel­ten heute als digi­tal nati­ves, also jene Per­so­nen, die in einer digi­ta­li­sier­ten Umge­bung auf­ge­wach­sen sind. Danach folgt quan­ti­ta­tiv (aus­ser im Jahr 2013) die Gruppe der 40- bis 60-jäh­ri­gen und erst danach jene der bis 20-jäh­ri­gen. Die Gruppe der ab 60-jäh­ri­gen ist ver­schwin­dend klein.

Die Straf­ur­teils­sta­tis­tik der Erwach­se­nen basiert auf den im Straf­re­gis­ter ein­ge­tra­ge­nen Urtei­len. Das heisst, dass nur rechts­kräf­tige Urteile erfasst wer­den. Ein Vor­fall aus dem Jahr 2010 kann unter Umstän­den erst im Jahr 2014 in Rechts­kraft erwach­sen, wobei das Urteil in der Sta­tis­tik des Jah­res auf­ge­nom­men wird, in dem das erst­in­stanz­li­che Urteil gefällt wurde. Es bestehen keine Daten, die einen Rück­schluss auf die effek­tive Tätig­keit von Hackern in den jewei­li­gen Jah­ren ermög­li­chen.

In Bezug auf StGB 143bis weisst die Urteils­sta­tis­tik fol­gen­des Bild auf (Stand 01.02.2016):

143bis Urteile

(PDF | SVG | CSV-Daten­satz | Daten­quelle)

Im Jahr 2014 wur­den 19 rechts­kräf­tige Urteile von Hacking erfasst. Den bis­he­ri­gen Höhe­punkt stellt das Jahr 2013 mit 21 Ver­ur­tei­lun­gen dar. Von 1994 bis 2001 fand StGB 143bis kaum Anwen­dung. Von 2001 bis 2009 wur­den nie mehr als 10 Urteile regis­triert. Ab 2009 hat sich die Anzahl der Ver­ur­tei­lun­gen zwi­schen 12 und 21 ein­ge­pen­delt. Obschon im Unter­schied zu den ers­ten Jah­ren nach der Inkraft­set­zung von StGB 143bis sich die Urteils­zah­len kon­stant gestei­gert haben, muss man StGB 143bis wei­ter­hin ein abso­lu­tes Nischen­da­sein kon­sta­tie­ren.

Es muss davon aus­ge­gan­gen wer­den, dass die grosse Mehr­heit an Hacking gar nicht erst bemerkt wird. Wird Hacking doch bemerkt, so wird es viel­fach nicht ange­zeigt. Gerade betrof­fene Unter­neh­mun­gen scheuen nega­tive Presse. Aus­ser­dem kennt die Schweiz keine Mel­de­pflicht für IT- oder daten­schutz­re­le­vante Vor­fälle, was bedau­er­lich ist, da die betrof­fe­nen Per­so­nen nicht reagie­ren könne. Soweit die Straf­ver­fol­gungs­be­hör­den keine spe­zia­li­sierte Cybercrime-Stel­len füh­ren, fehlt aus­ser­dem meis­tens das Wis­sen, um einen Hacking­vor­fall nach StGB 143bis.I oder II über­haupt zu erfas­sen.

Die ernüch­ternde Ana­lyse von Schwar­zen­eg­ger im Jahr 2001, dass auf Grund der Fall- und Urteils­zah­len deut­lich wird, “dass die Straf­ver­fol­gungs­be­mü­hun­gen im Bereich der Com­pu­ter- und Inter­net­kri­mi­na­li­tät gemes­sen an den Schä­den und Gefah­ren, die mit dem Hacking oder der Ver­brei­tung von Com­pu­ter­vi­ren ver­bun­den sind, noch völ­lig hin­ter­her­hin­ken”, hat nach wie vor Gül­tig­keit (Schwar­zen­eg­ger, FS-Trech­sel, S. 312).

[…]

Das Bun­des­amt für Sta­tis­tik weisst dar­auf hin, dass vor allem bei schwe­ren Straf­ta­ten oder ein­ge­leg­ten Rechts­mit­teln meh­rere Jahre ver­ge­hen kön­nen, bis alle in einem Jahr gefäll­ten Urteile im Straf­re­gis­ter ein­ge­tra­gen sind und in der Sta­tis­tik erschei­nen. Dem­zu­folge sei die Ent­wick­lung der Zeit­rei­hen in den jüngs­ten Erhe­bungs­jah­ren bei Urtei­len mit schwe­ren Straf­ta­ten nicht aus­sa­ge­kräf­tig und es könne nicht davon aus­ge­gan­gen wer­den, dass die Zah­len bereits voll­stän­dig sind.

 

d. Kasu­is­tik

  • BGer  vom Urteil 6B_615/2014 vom 02.12.2014:  Beschwerde gegen Nicht­an­hand­nahme; Sach­ver­halt: Einer GmbH wurde vor­ge­wor­fen, in den Email-Account des Beschwer­de­füh­rers ein­ge­drun­gen zu sein, obschon der Beschwer­de­füh­rer der GmbH die Pass­wör­ter nur für Ana­ly­sen mit Google-Ana­ly­tics bekannt gege­ben habe; Ver­let­zung von StGB 143bis wurde vor BGer nicht mehr gel­tend gemacht;
  • Bun­des­ge­richt, Straf­recht­li­che Abtei­lung, Urteil 6B_456/2007 vom 18.3.2008: Erra­ten der Ant­wort zur Geheim­frage und danach ein­log­gen mit erhal­te­nem Pass­wort in Email­ac­count ist nach StGB 143bis straf­bar;
  • Bun­des­ge­richt, Zivil­recht­li­che Abtei­lung, Urteil 4C.223/2003 vom 21.10.2003 (BGE 130 III 28, E. 4.2): Durch “Ein­griff in die Infor­ma­tik” umge­lei­tete Emails in eige­nen Account und dor­ti­ges Lesen sei durch StGB 143bis erfasst; Frist­lose Ent­las­sung aus wich­ti­gem Grund in Ord­nung; in Bezug auf die Sub­sum­tion unter 143bis ein Fehl­ent­scheid, da das Kon­fi­gu­rie­ren von rei­nem Mail-For­war­ding kein Ein­drin­gen in ein beson­ders gesi­cher­tes Sys­tem dar­stellt. Der Arbeit­neh­mer hat klar seine Kom­pe­ten­zen über­schrit­ten, aber dabei nicht gehackt im Sinne von StGB 143bis;
  • Bun­des­ge­richt, Kas­sa­ti­ons­hof, Urteil 6S.117/2003 vom 7. Novem­ber 2003 (BGE 129 IV 315, E 2.2.3): Mobil­te­le­fone wer­den vom Begriff der Daten­ver­ar­bei­tungs­an­lage erfasst;
  • […]

e. Ent­ste­hungs­ge­schichte und Ein­bet­tung des Tat­be­stands

Neben der Schweiz kennt auch das umlie­gende Aus­land eine der­ar­tige Straf­be­stim­mung (DE: § 202a StGB, FR: art. 323–1 CP, IT: art. 615-ter CP, AT: § 118a StGB, LI: § 118a StGB). Die Schweiz hat diese Straf­be­stim­mung erst im Jahr 1995 ein­ge­führt. Vor­fälle wie jene um den Deut­schen Hacker (eigent­lich Cra­cker) Karl Koch haben in Europa das Bewusst­sein um die Sicher­heit von Daten­verarbeitungs­systemen geschärft. Die Gruppe um Koch ver­kaufte dem rus­si­schen Geheim­dienst KGB durch Hacking erlangte Daten­be­stände unter ande­rem des US-ame­ri­ka­ni­schen Mili­tärs.

Der Bun­des­rat stellte in sei­ner Bot­schaft vom 24. April 1991 fest, dass emp­find­li­che Straf­bar­keits­lü­cken im Bereich der Com­pu­ter­kri­mi­na­li­tät herrsch­ten. So waren bis vor dem Inkraft­tre­ten im Jahr 1995 unter ande­rem der Daten­dieb­stahl (als Com­pu­ter­spio­nage bezeich­net), das Ein­drin­gen in fremde Daten­ver­ar­bei­tungs­an­la­gen (Hacken), der Com­pu­ter­be­trug oder die Daten­be­schä­di­gung (als Com­pu­ter­sa­bo­tage bezeich­net) sowie das Erschlei­chen einer Leis­tung, die ein Daten­verarbeitungs­system erbrachte (sog. Zeit­dieb­stahl) nicht straf­bar.

Schon 1978 wurde eine Exper­ten­kom­mis­sion damit beauf­tragt, die Revi­sion des StGB betref­fend die Vor­schrif­ten über die Ver­mö­gens­de­likte und die Urkun­den­fäl­schung zu über­prü­fen. Ihre Arbei­ten schloss Sie 1982 ab und reichte ein Jahr spä­ter dem Eid­ge­nös­si­schen Jus­tiz und Poli­zei­de­par­te­ment (EJPD) den Bericht ein. Die tech­ni­schen Ent­wick­lun­gen for­der­ten die Exper­ten­kom­mis­sion in beson­de­rem Masse her­aus. Nach halb­jäh­ri­ger Ver­nehm­las­sung zwi­schen 1985 und 1986 und der Kennt­nis­nahme der Ergeb­nisse des Ver­nehm­las­sungs­ver­fah­rens durch den Bun­des­rat im Jahr 1988 wurde bis 1990 der Ent­wurf der Exper­ten­kom­mis­sion unter Berück­sich­ti­gung der Ver­nehm­las­sungs­er­geb­nisse über­ar­bei­tet. Für den Bereich der Com­pu­ter­kri­mi­na­li­tät sowie des Cheks- und Kre­dit­kar­ten­miss­brauchs wurde Niklaus Schmid sowie diverse Ver­tre­ter von Bun­des­stel­len bei­gezo­gen, um von deren Spe­zi­al­kennt­nis­sen pro­fi­tie­ren zu kön­nen. Die Über­ar­bei­tungs­tä­tig­kei­ten fan­den schliess­lich in der Bot­schaft des Bun­des­rats vom 24. April 1991 ihren Nie­der­schlag und stan­den im Ein­klag mit den Emp­feh­lun­gen des Minis­ter­ko­mi­tees des Euro­pa­ra­tes, der am 13. Sep­tem­ber 1989 zuhan­den der Mit­glied­staa­ten Emp­feh­lun­gen zur Schaf­fung von Straf­tat­be­stän­den im Berei­che der Com­pu­ter­kri­mi­na­li­tät ver­ab­schie­det hatte. Die Arbeit des Minis­ter­ko­mi­tees wur­den lau­fend mit­ver­folgt. Wäh­rend die­ser Revi­si­ons­vor­ha­ben befand sich auch die Schwei­zer Daten­schutz­ge­setz­ge­bung in Vor­be­rei­tung.

Dem Par­la­ment wurde fol­gen­der Wort­laut von StGB 143 vor­ge­schla­gen, wel­cher die Straf­tat­be­stände des unbe­fug­ten Daten­be­schaf­fens und des unbe­fug­ten Ein­drin­gens kom­bi­nierte und in bei­den Fäl­len die feh­lende Berei­che­rungs­ab­sicht mit der Vor­aus­set­zung eines Straf­an­trags pri­vi­le­gierte. Er lau­tete wie folgt:

Bun­des­rät­li­cher Vor­schlag zum Hacking-Arti­kel gem. Bot­schaft vom 24. April 1991:
1. Wer in der Absicht, sich oder einen andern unrecht­mäs­sig zu berei­chen, sich oder einem andern elek­tro­nisch oder in ver­gleich­ba­rer Weise gespei­cherte oder über­mit­telte Daten ver­schafft, die nicht für ihn bestimmt und gegen unbe­fug­ten Zugriff beson­ders gesi­chert sind, oder auf dem Wege von Daten­über­tra­gungs­ein­rich­tun­gen unbe­fug­ter­weise in fremde, beson­ders gesi­cherte Daten­ver­ar­bei­tungs­an­la­gen ein­dringt, wird mit Zucht­haus bis zu fünf Jah­ren oder mit Gefäng­nis bestraft.
2. Die unbe­fugte Daten­be­schaf­fung zum Nach­teil eines Ange­hö­ri­gen oder Fami­li­en­ge­nos­sen wird nur auf Antrag ver­folgt.
3. Han­delt der Täter ohne Berei­che­rungs­ab­sicht, so wird er, auf Antrag, mit Gefäng­nis oder mit Busse bestraft.

In sei­ner Bot­schaft führt der Bun­des­rat die eigent­li­che Stoss­rich­tung aus, wie sie heute im gel­ten­den Recht tat­säch­lich umge­setzt ist: “Die Tätig­keit die­ser “Hacker” hat sich für den ord­nungs­ge­mäs­sen Betrieb ins­be­son­dere von Gross­an­la­gen als sehr stö­rend und gefähr­lich erwie­sen. Es erscheint des­halb als not­wen­dig, den Betrei­bern von Daten­ver­ar­bei­tungs­an­la­gen bereits im Vor­felde der unbe­fug­ten Daten­be­schaf­fung, die die Ver­let­zung des Daten­ver­fü­gungs­rech­tes erfas­sen soll, in Form die­ses Gefähr­dungs­de­lik­tes Schutz zu gewäh­ren.” (Bot­schaft 1991, S. 1011). Straf­recht­lich sollte also die Vor­stufe der unbe­fug­ten Daten­be­schaff­tung, das Hacken, bestraft wer­den. Den­noch bringt der Bun­des­rat in sei­nem Geset­zes­vor­schlag ohne ein­ge­hen­dere Erläu­te­rung das Kri­te­rium der unrecht­mäs­si­gen Berei­che­rung auch für das unbe­rech­tigte Ein­drin­gen zur Anwen­dung, um “auch hier dem Dieb­stahl (Art. 139 StGB‑E)” zu fol­gen. Er hat sich dabei wohl in ers­ter Linie auf die Daten­be­schaf­fung fokus­siert, die wie dar­ge­legt zusam­men mit dem Hacken gere­gelt wer­den sollte. Die Gefähr­lich­keit der hacke­ri­schen Tätig­keit hängt aber, das sei an die­ser Stelle ein­ge­fügt, nicht davon ab, ob der Hacker mit oder ohne Berei­che­rungs­ab­sicht han­delt.

Zudem ent­hielt StGB 143.3 des Revi­si­ons­ent­wurfs wie auch der heute in Kraft ste­hende StGB 143bis für die Ver­übung ohne Berei­che­rungs­ab­sicht eine Pri­vi­le­gie­rung durch Aus­ge­stal­tung zu einem Antrags­de­likt. Geht man vom gut­wil­li­gen und eher dem sport­li­chen Wett­kampf nach­ei­fern­den Hacker aus, wäre diese Pri­vi­le­gie­rung noch nach­voll­zieh­bar. Wes­halb die Bestra­fung bei feh­len­der Berei­che­rungs­ab­sicht vom Straf­an­trags­stel­ler abhän­gig sein soll, wenn es sich doch laut Bun­des­rat um ein “Gefähr­dungs­de­likt” han­deln soll, ist dage­gen nicht ein­leuch­tend erklärt (zum Rechts­gut siehe das ein­schlä­gige Kapi­tel unten). Dass die Berei­che­rungs­ab­sicht im ursprüng­lich vor­ge­schla­ge­nen Wort­laut die Straf­bar­keit des unbe­fug­ten Ein­drin­gens beschränkt, ist letzt­lich auf ein gesetz­ge­be­ri­sches Ver­se­hen zurück­zu­füh­ren.

Mit Bun­des­be­schluss vom 17. Juni 1994 änderte das Par­la­ment den Vor­schlag des Bun­des­rats und glie­derte das unbe­fugte Ein­drin­gen in den sepa­ra­ten StGB 143bis aus. Wo zuvor nur das Ein­drin­gen in Berei­che­rungs­ab­sicht straf­bar gewe­sen wäre, war nun nur noch straf­bar, wer ohne Berei­che­rungs­ab­sicht han­delte. Es liegt damit der zweite gesetz­ge­be­ri­sche faux­pas in der Geschichte des Hacker­ar­ti­kels vor.

Im Zuge der gros­sen Revi­sion des all­ge­mei­nen Teils des StGB wur­den schliess­lich durch Beschluss der ver­ei­nig­ten Bun­des­ver­samm­lung die Begriffe Zucht­haus und Gefäng­nis für die Straf­an­dro­hun­gen durch Frei­heits­strafe ersetzt und nach unbe­nutz­tem Ablauf des fakul­ta­ti­ven Refe­ren­dums vom Bun­des­rat auf den 01. Januar 2007 in Kraft gesetzt.

Bis am 01.01.2012 lau­tete StGB 143bis fol­gen­der Mas­sen:

Fas­sung von StGB 143bis bis am 01.01.2012:
Wer ohne Berei­che­rungs­ab­sicht auf dem Wege von Daten­über­tra­gungs­ein­rich­tun­gen unbe­fug­ter­weise in ein frem­des, gegen sei­nen Zugriff beson­ders gesi­cher­tes Daten­verarbeitungs­system ein­dringt, wird, auf Antrag, mit Frei­heits­strafe bis zu drei Jah­ren oder Geld­strafe bestraft.

Nach der Rati­fi­ka­tion der Euro­päi­schen Cybercrime-Kon­ven­tion (CCC, auch Buda­pest-Kon­ven­tion genannt) wurde vom Par­la­ment der heute gel­tende Wort­laut beschlos­sen und auf den 01. Januar 2012 in Kraft gesetzt. Im neuen StGB 143bis.I wurde das von der Lehre viel kri­ti­sierte straf­bar­keits­be­schrän­kende Tat­be­stands­ele­ment der Berei­che­rungs­ab­sicht gestri­chen und in StGB 143bis.II die Vor­be­rei­tungs- und Teil­nah­me­hand­lun­gen des Inver­kehr­brin­gens und des Ver­brei­tens ein­ge­baut. Gemäss Bot­schaft vom 18. Juni 2010 wird mit dem heute gel­ten­den StGB 143bis die Kon­ven­ti­ons­vor­gabe in CCC 2 weit­ge­hend abge­deckt. Die Schweiz hat (in Anwen­dung von CCC 40 i.V.m. 2) eine Erklä­rung abge­ge­ben, wonach das Über­win­den einer Zugangs­si­che­rung vor­lie­gen muss, damit von straf­ba­rem Hacking gespro­chen wird. CCC 2 erfasste in sei­nem Wort­laut jedes Ein­drin­gen in ein Com­pu­ter­sys­tem oder einen Teil davon, unab­hän­gig von Sicher­heits­mass­nah­men oder Absich­ten.

CCC-Vergleichstabelle-143bis


Diese Erklä­run­gen haben neben der Schweiz auch Finn­land und die Tsche­chi­sche Repu­blik abge­ge­ben, sowie mit wei­ter­ge­hen­den Ein­schrän­kun­gen Bel­gien, Japan, Litauen, die Slo­va­kei und die Tür­kei.

Nach Weis­sen­ber­ger (aaO, N 3) und wohl auch Mon­nier (aaO, S. 132) ist der Grund für die­sen Vor­be­halt nicht ein­sich­tig. Ein abge­lehn­ter Min­der­heits­an­trag im Par­la­ment for­derte sei­ner­zeit, dass das Kri­te­rium der beson­de­ren Siche­rung weg­ge­las­sen wer­den soll.  Geht man von einem Gefähr­dungs­de­likt aus, so macht das Kri­te­rium der beson­de­ren Siche­rung durch­aus Sinn. Gerade die Tech­ni­ken zum Umge­hen der Siche­rung kön­nen gefähr­lich sein. Der blosse Auf­ent­halt eines Hackers in einem frem­den Sys­tem ist dage­gen nie gefähr­lich.

Das Kri­te­rium der beson­de­ren Siche­rung steht in direk­tem Zusam­men­hang mit der Frage, ob es sich bei StGB 143bis um ein Gefähr­dungs- oder ein Ver­let­zungs­de­likt han­delt. Diese Frage ist noch nicht geklärt (vgl. unten Kapi­tel Rechts­gut). Dage­gen ist klar: Die Berei­che­rungs­ab­sicht in der Tat­be­stands­fas­sung bis zum 1.1.2012 war kein sinn­vol­les Straf­be­gren­zungs­kri­te­rium: Warum sollte der bös­ge­sinnte Hacker, der sich zwar nicht berei­chern, aber das geen­terte Sys­tem ander­wei­tig miss­brau­chen will, nicht straf­bar sein? Ob die ersatz­lose Strei­chung, zu der es kam, dann aber sinn­vol­ler war, als die bis­he­rige For­mu­lie­rung, ist genauso frag­lich.
 
Wer heute eine Sicher­heits­lü­cke mel­den will, nach dem er in das betrof­fene Sys­tem ein­ge­drun­gen ist, tut gut daran, anonyme Kanäle zu wäh­len und seine Iden­ti­tät nicht preis­zu­ge­ben. Es ist drin­gend ange­zeigt, gut­wil­lige Hacker vor Strafe zu bewah­ren und das Gesetzt in diese Rich­tung anzu­pas­sen.
 

Mit einer Straf­an­dro­hung von bis 3 Jah­ren Frei­heits­strafe oder Geld­strafe han­delt es sich beim unbe­fug­ten Ein­drin­gen in ein Daten­ver­ar­bei­tungs­sys­tem gem. ers­tem sowie beim Inver­kehr­brin­gen und Ver­brei­ten gem. zwei­tem Absatz um ein Ver­ge­hen (StGB 10.III).

f. Rechts­gut und Delikts­na­tur

Der Bun­des­rat führte in sei­ner Bot­schaft 1991 zur Hacker-Straf­norm aus: “Hier soll nicht erst das Beschaf­fen von Daten, son­dern – gleich­sam ana­log zum Haus­frie­dens­bruch (Art. 186 StGB) – als Vor­be­rei­tungs­hand­lung dazu bereits das Ein­drin­gen erfasst wer­den”. Im glei­chen Zug führt er aus: “Die Tätig­keit die­ser “Hacker” hat sich für den ord­nungs­ge­mäs­sen Betrieb ins­be­son­dere von Gross­an­la­gen als sehr stö­rend und gefähr­lich erwie­sen. Es erscheint des­halb als not­wen­dig, den Betrei­bern von Daten­ver­ar­bei­tungs­an­la­gen bereits im Vor­felde der unbe­fug­ten Daten­be­schaf­fung, die die Ver­let­zung des Daten­ver­fü­gungs­rech­tes erfas­sen soll, in Form die­ses Gefähr­dungs­de­lik­tes Schutz zu gewäh­ren”. Die bun­des­rät­li­chen Aus­füh­run­gen zei­gen die zwei Sei­ten auf, wel­che die Hacker­straf­norm StGB 143bis bis heute in sich trägt.

Gem. Bun­des­rat will StGB 143bis (sei­ner­zeit noch StGB 143) das Indi­vi­duum vor einer Ver­let­zung der digi­ta­len Räum­lich­kei­ten schüt­zen, ande­rer­seits die grund­sätz­lich gefähr­li­che Tätig­keit der Hacker sank­tio­nie­ren.

[…]

g) Pos­tu­lat für eine Neu­ord­nung des Hacking-Straf­rechts

[…]

h) Wei­tere Bemer­kun­gen

Bei Hacking nach StGB 143bis han­delt es sich nicht um einen Kata­log­tat­be­stand nach StPO 286 und 269. Ein Hacker darf also nicht mit einer ver­deck­ten Ermitt­lung resp. einer Über­wa­chung des Post- und Fern­mel­de­ver­kehrs ver­folgt wer­den, was bei der Über­wa­chung des Fern­mel­de­ver­kehrs nicht einer gewis­sen Iro­nie ent­behrt.

Im Zusam­men­hang mit Hacker­vor­fäl­len stel­len die Behör­den des Bun­des den zustän­di­gen Straf­ver­fol­gungs­be­hör­den der Schen­gen­staa­ten umfas­send alle Arten von Daten, die bei Straf­ver­fol­gungs­be­hör­den vor­han­den sind unauf­ge­for­dert auf Abruf zur Ver­fü­gung (SIaG 7 iVm 2). Nicht auf Abruf nach­ge­kom­men wird Infor­ma­ti­ons­er­su­chen, wel­che die Anwen­dung pro­zes­sua­len Zwangs erfor­dern oder Infor­ma­tio­nen betref­fen, die vom inner­staat­li­chen Recht geschützt sind. Was unter inner­staat­li­chen Behör­den aus­ge­tauscht wer­den kann, muss auch mit den Behör­den der Schen­gen­staa­ten aus­ge­tauscht wer­den kön­nen. Unter pro­zes­sua­lem Zwang sind dabei ins­be­son­dere die gemäss schwei­ze­ri­schem Poli­zei- und Straf­ver­fah­rens­recht mög­li­chen Zwangs­mass­nah­men zu ver­ste­hen (SIaG 2.II).

Sol­che Ersu­chen sind innert sehr kur­zer Ant­wort­fris­ten zu erfül­len: zwi­schen 8 Stun­den bis sie­ben Tage (SIaG 11).

II. Ad StGB 143bis.I – unbe­fug­tes Ein­drin­gen (Hacking)

a. Straf­an­trag, Ver­jäh­rung, Straf­an­dro­hung

Im Unter­schied zum zwei­ten Absatz, wel­cher als Offi­zi­al­de­likt aus­ge­stal­tet ist, han­delt es sich beim ers­ten Absatz um ein Antrags­de­likt. Ohne Straf­an­trag wird ein Hacker nicht straf­recht­lich ver­folgt. Ohne Straf­an­trag fehlt es an ei­ner Pro­zess­vor­aus­set­zung, was zu ei­ner Nicht­an­hand­nahme (StPO 310.I.a) oder ei­ner Ein­stel­lung (StPO 319.I.d) führt. Eine Nicht­an­hand­nahme erfolgt, wenn keine Unter­su­chungs­hand­lun­gen vor­ge­nom­men wur­den, andern­falls wird ein­ge­stellt. Gelan­gen die Unter­su­chungs­be­hör­den zB im Rah­men an­de­rer Unter­su­chungs­hand­lun­gen zu Kennt­nis, dass kein Straf­an­trag gestellt wurde, so ist das Ver­fah­ren (teil-)einzustellen (StPO 319.I.d).

Der Straf­an­trag muss innert drei Mona­ten  gestellt wer­den, nach dem die Tat und der Täter bekannt sind (StGB 30). Es emp­fiehlt sich mög­lichst rasch nach der Ent­de­ckung eines Hacker­an­griffs einen Antrag zu stel­len, auch wenn die Täter­schaft noch nicht bekannt ist (Straf­an­trag gegen unbe­kannt).

Zum Straf­an­trag ist der Ver­fü­gungs­be­rech­tigte der Daten­ver­ar­bei­tungs­an­lage berech­tigt. Dar­un­ter fällt namt­lich der Anbie­ter von Dienst­leis­tun­gen (Pro­vi­der) aber auch der Benut­zer die­ser Dienst­leis­tun­gen, wie bei­spiels­weise der Inha­ber eines Email­ac­counts (Urteil des BGer 6B.456/2007 vom 18. März 2008). Ebenso antrags­be­rech­tigt ist jeder Eigen­tü­mer eines geschütz­ten Daten­ver­ar­bei­tungs­sys­tems, wie bei­spiels­weise jener eines pass­wort­ge­schütz­ten Heim­com­pu­ters.

Es stellt sich die Frage, ob, ana­log zum Haus­frie­dens­bruch, dem Pro­vi­der das Antrags­recht abgeht und nur der Dienst­leis­tungs­be­nut­zer antrags­be­rech­tigt ist. StGB 186 stellt den Haus­frie­dens­bruch unter strafe und schützt das Haus­recht, “wor­un­ter die Befug­nis zu ver­ste­hen ist, über die bestimm­ten Räume unge­stört zu herr­schen und darin den eige­nen Wil­len frei zu betä­ti­gen.”(BGE 112 IV 31). Der Wort­laut von 143bis legt die­selbe Über­le­gung für den digi­ta­len Raum nahe. Kon­se­quen­ter Weise steht damit auch das Antrags­recht ein­zig dem Dienst­leis­tungs­be­nut­zer zu.

Dort, wo der Eigen­tü­mer eines Ser­vers “Teile” davon an Dritte “ver­mie­tet”, ver­miete er nicht einen Teil des phy­si­schen Ser­vers, son­dern stellt dem Dienst­leis­tungs­be­zü­ger Kap­zi­tä­ten des Ser­vers zur Ver­fü­gung (Rechen­zeit, Arbeits­spei­cher, Fest­plat­ten­spei­cher etc.). Das geschieht heute viel­fach durch den Betrieb einer Viel­zahl an vir­tu­el­len Maschi­nen auf einem Host-Sys­tem. Diese vir­tu­el­len Maschi­nen lau­fen in eige­nen abge­schot­te­ten Pro­zes­sen, so, dass ein Sub­sys­tem vor­liegt. Wird in ein sol­ches Sub­sys­tem ein­ge­drun­gen, steht nur dem Dienst­leis­tungs­be­nut­zer das Antrags­recht zu. Für den Eigen­tü­mer des Host-Sys­tems ist das Sub­sys­tem fremd, da er es dem Kun­den zur Ver­fü­gung gestellt hat und dar­über in aller Regel nicht mehr herr­schen kann. Ihm geht des­halb auch das Antrags­recht ab. Bricht der Ein­dring­ling aber aus der vir­tu­el­len Umge­bung aus und dringt in das Host-Sys­tem vor, so ist auch der Anbie­ter der Sub­sys­teme zum Straf­an­trag berech­tigt.

Für eine je nach Sach­ver­halt dif­fe­ren­zierte Hand­ha­bung des Antrags­rechts spricht zudem, dass der Hacker “nur” den vir­tu­el­len Raum des betrof­fe­nen Dienst­leis­tungs­be­nut­zers ver­letzt und nur des­sen Siche­rung umgan­gen hat. Anders gela­gert ist wohl die Situa­tion, bei der vom Hacker­an­griff eine Gefahr auch für das Host-Sys­tem aus­ge­gan­gen ist. Da kann es kei­nen Sinn machen, nur dem Dienst­leis­tungs­be­nüt­zer und nicht auch dem Pro­vi­der einen Straf­an­trag stel­len zu las­sen. Ein­mal mehr zeigt sich die pro­ble­ma­ti­sche Kon­zep­tion von StGB 143bis.I, wenn man ihm den Cha­rak­ter eines Ver­let­zungs- und gleich­zei­tig eines Gefähr­dungs­de­likts zugrunde legt.

Nicht voll­ends klar ist die Sach­lage dann, wenn der Nut­zer eines Mail­diens­tes, auf des­sen geschütz­tes Konto ein unbe­rech­tig­ter Frem­der Zugriff nahm, kei­nen Antrag stellt. Kann dann der Pro­vi­der an des­sen Stelle einen Straf­an­trag stel­len? Bei Mail­ac­counts lie­gen in aller Regel keine Sub­sys­teme vor, son­dern es läuft ein Ser­vice­pro­zess auf einem Ser­ver, der je nach ange­ge­be­nen Zugangs­da­ten andere Inhalte zur Ver­fü­gung stellt. So befin­den sich diverse Mail­be­nu­zer vir­tu­ell im sel­ben Pro­zess. Meh­rer Mail­ac­counts stel­len mit­hin keine eigene Daten­ver­ar­bei­tungs­sys­teme dar. Das liesse den Schluss zu, dass neben dem Account­in­ha­ber auch der Pro­vi­der antrags­be­rech­tigt ist.

Hacking ver­jährt zehn Jahre nach erfolg­ter Tat. Erfolgt nach abge­lau­fe­ner Ver­jäh­rungs­frist eine Anzeige, so wird das Ver­fah­ren nicht an die Hand genom­men (StPO 310.I.a).

Der Gesetz­ge­ber hat Hacking mit einer Frei­heits­strafe von bis zu drei Jah­ren oder Geld­strafe unter Strafe gestellt. Das bedeu­tet neben einer maxi­mal drei­jäh­ri­gen Haft­strafe eine Geld­strafe von höchs­tens 360 Tages­sätze (StGB 34.I), die je zwi­schen (pra­xis­ge­mäss) mini­ma­len CHF 10.00 und maxi­mal CHF 3000.00 (StGB 34.II) lie­gen. Damit liegt die Spann­weite der Geld­strafe für einen erfolg­rei­chen Hack bei min­des­tens CHF 10.00 und maxi­mal CHF 1’080’000.00.

b. Objek­ti­ver Tat­be­stand

aa) frem­des Daten­verarbeitungs­system

[…]

 

ab) Beson­dere Siche­rung gegen frem­den Zugriff

Die beson­dere Siche­rung bedeu­tet ein­zig, dass eine Siche­rung vor­han­den sein muss. Es muss sich dabei um eine Com­pu­ter­si­che­rung han­deln, d.h. gewis­ser­mas­sen um eine digi­tale Siche­rung, da das Ein­drin­gen auf dem Wege von Daten­über­tra­gungs­ein­rich­tun­gen  gesche­hen muss. Eine ana­loge Siche­rung, also das phy­si­sche Ein­schlies­sen oder Befes­ti­gen eines Schlos­ses (zB eines Ken­sing­ton-Locks) ist keine Siche­rung nach StGB 143bis.I. Es genügt eine ein­zige Siche­rung und es ist nicht not­wen­dig, dass alle Siche­run­gen eines Sys­tems, wel­ches mehr­fach gesi­chert ist, umgan­gen wer­den (so auch Bach­mann, S. 55).

Die Siche­rung hat nicht beson­ders in dem Sinne zu sein, dass sie eine min­des­tens not­wen­dige Rafi­nesse auf­wei­sen müsste. Es genügt das tech­nisch zu bewerk­stel­li­gende Mini­mum und damit schlicht und ergrei­fend das Vor­han­den­sein einer Siche­rung. Ein PIN mit vier Stel­len, wel­cher zwar auf­grund der gerin­gen Anzahl Stel­len aus­ge­spro­chen schwach ist, muss genü­gen. Inso­fern geht die For­de­rung, die Siche­rung müsse den Umstän­den des jewei­li­gen Falls genü­gen, bereits zu weit (Schmid, Com­pu­ter, §4 N 30, Weis­sen­ber­ger, aaO, N 14). Wie Pfis­ter (S. 107) rich­tig fest­hält, muss eine Siche­rung, um 143bis zu genü­gen, die Funk­tion “als objek­tiv erkenn­bare Mani­fes­ta­tion eines Aus­schluss­wil­lens” erfül­len. Von einer Siche­rung ist die­ses Mini­mum zu erwar­ten, mehr aber nicht.

Fra­gen wirft der sog. Swipe-Mecha­nis­mus bei Smart­pho­nes auf: Das Locking mit einem Swi­pe­me­cha­nis­mus, bei dem der Benut­zer nur den Fin­ger mit einer Wisch­be­we­gung über das Dis­play zie­hen muss, zeigt einem Fin­der deut­lich und in sozi­al­üb­li­cher Weise an, dass der Zugriff nicht ein­fach so gedul­det oder gar erwünscht ist. Das wird kei­nes Falls mehr als Hacking ange­se­hen wer­den kön­nen. Hier drückt erneut die Pro­ble­ma­tik des Tat­be­stan­des durch, dass man ihm die Bedeu­tung eines Ver­let­zungs- und gleich­zei­tig eines Gefähr­dungs­de­likts zumisst.
 
Keine beson­dere Siche­rung liegt vor, wenn ein Sys­tem nur mit einer Fire­wall geschützt ist. Eine Fire­wall kon­trol­liert nur, wel­che Ports auf einem Sys­tem ansprech­bar sind. Das alleine ist keine Siche­rung (ten­den­zi­ell ebenso Bach­mann, S. 55).

Im Unter­schied zur wohl herr­schen­den Lehre (mwH Weis­sen­ber­ger, N 14) wird mit einer Siche­rung im vor­ge­nann­ten Sinne der Anwen­dungs­be­reich von StGB 143bis.I nicht stark, son­dern auf ein gesun­des Mass ein­ge­schränkt. Es kommt nicht dar­auf an, ob ein Berech­tig­ter seine Com­pu­ter­an­lage im Ver­hält­nis zum Angriffs­ri­siko genü­gend gesi­chert hat oder nicht. Jede Art von Pass­wort­schutz oder sons­ti­ger Siche­rung, auch jene, die sich aus der Grund­ein­stel­lung ergibt (egal, ob indi­vi­dua­li­siert oder nicht), muss genü­gen (a.A. Weis­sen­ber­ger, N 15). Will man das Rechts­gut des Com­pu­ter­frie­dens schüt­zen, so darf es dar­auf nicht ankom­men. Ebenso wenig hat die Fähig­keit des Täters, die Siche­rung zu umge­hen, eine Rele­vanz. Das Pen­del schlägt hier klar zum Ver­let­zungs­de­likt, das in StGB 143bis.I steckt.

Das Kri­te­rium der beson­de­ren Siche­rung wird zu unrecht kri­ti­siert (vgl. oben e)).

ac) Exkurs: Straf­lose Vor­be­rei­tungs­hand­lun­gen
ac.1) Port­scans

Port­scans, die im Vor­feld eines Hacks zum Gewin­nen von Infor­ma­tio­nen über das Ziel­sys­tem gestar­tet wer­den, sind straf­lose Vor­be­rei­tungs­hand­lun­gen. Port­scans sind in die­sem Fall bereits vom delik­ti­schen Wil­len getra­gen, aber immer noch im Rah­men des Sozi­al­kon­for­men anzu­sie­deln. Im Hin­blick auf die beun­des­ge­richt­li­che Schwel­len­theo­rie (BGE 83 IV 142, E. 1a) ist mit einem Port­scan der point of no return noch nicht erlangt. Der Hacker kann auch nach dem Port­scan sein Vor­ha­ben, das Ziel­sys­tem zu hacken, auf­hö­ren und bleibt dabei straf­frei. Ande­rer Auf­fas­sung ist Pfis­ter (S. 130), die unter Anwen­dung des sog. Film-Tests zum Schluss gelangt, Port­scans seien bereits straf­ba­res Hacking: Der gewöhn­li­che Betrach­ter eines Films, der einen Hacker beim Port­scan zeigt, werde anneh­men, dass der gezeigte Hacker als nächs­tes in das Ziel­sys­tem ein­dringt. Pfis­ter führt an, Port­scan­ning könne nicht mehr als voll­stän­dig sozi­al­ad­äquat betrach­tet wer­den, da es weni­ger nahe liege, dass eine Per­son, die ein frem­des Sys­tem auf offene Ports abscannt, nicht schon wenigs­tens ent­fernt an ein ein­drin­gen denkt. Diese Über­le­gung hat etwas Wah­res an sich, ist aber letz­ten Endes falsch.

Ein Com­pu­ter­sys­tem, das offene Ports auf­weist, biete sich expli­zit an, um mit ihm über die­sen Port in Kon­takt zu tre­ten. Dass ein Port offen ist, bedeu­tet dabei noch nicht, dass er nicht geschützt ist. Ein offe­ner Port bedeu­tet nur, dass auf einer Netz­werk­adresse unter einer gewis­sen Num­mer ein Dienst läuft und auf anfra­gen war­tet. So würde zB auf dem loka­len Sys­tem auf der Adresse 127.0.0.1:80 (IP-Adresse:Port) für gewöhn­lich ein Web­ser­ver lau­fen und beim Besuch die­ser Adresse in einem Brow­ser eine Web­seite anzei­gen. Bei einem Port­scan geschieht also etwas, wofür Ports über­haupt erst exis­tie­ren: Sie ermög­li­chen die Kom­mu­ni­ka­tion über Pro­to­kolle zwi­schen zwei Com­pu­tern (ähn­lich Koch, S. 50). Bei einem Port­scan wird in der ein­fachs­ten Vari­ante nur ver­sucht, eine Ver­bin­dung her­zu­stel­len. Gelingt die Ver­bin­dung, ist bekannt, dass ein Dienst auf die­sem Port lauscht; gelingt er nicht, läuft auf dem Port kein Dienst. Ein aus­ge­klü­gel­te­rer Scan stellt in Abhän­gig­keit der Port­num­mer eine kon­krete Anfrage an den Dienst unter die­ser Num­mer und erhält unter Umstän­den eine ent­spre­chende Ant­wort (zB kann die Ver­si­ons­num­mer des Diens­tes gelie­fert wer­den, oder eine Liste von ange­bo­te­nen Funk­tio­nen oder Kon­fi­gu­ra­ti­ons­pa­ra­me­ter etc.).

Es ist in Anbe­tracht der Funk­ti­ons­weise und des Wesens von Ports nicht zuläs­sig, jeman­dem, der einen Port­scan durch­führt, unter blos­sem Rück­griff auf den gewöhn­li­chen Betrach­ter, einen Vor­satz auf eine Straf­tat zu unter­stel­len.

Port­scans sind dem Gesag­ten nach straf­lose Vor­be­rei­tungs­hand­lun­gen (ebenso Weis­sen­ber­ger, N 20; vgl. auch Koch, S. 51).

ac.2) Signal­ana­lyse

Eben­falls nicht straf­bar nach StGB 143bis.I ist die Ana­lyse von Signa­len (wohl aber nach StGB 143). Die Signal­ana­lyse unter­schei­det sich in tech­ni­scher Hin­sicht von Port­scans. Signale, die Com­pu­ter abstrah­len, kön­nen mit dem ent­spre­chen­den Instru­men­ta­rium auf­ge­zeich­net und ana­ly­siert wer­den. Es braucht dabei, im Unter­schied zum Port­scan­ning, keine Kom­mu­ni­ka­tion. Ein Fall von straf­lo­ser Signal­ana­lyse ist das sog. Ward­ri­ving, bei wel­chem WLAN-Packete über die Luft­schnitt­stelle auf­ge­zeich­net und ana­ly­siert wer­den und dabei dann häu­fig die Ergeb­nisse samt GPS-Posi­ti­ons­da­ten der Netzte und deren Namen auf einer Karte ein­ge­tra­gen wer­den. Ward­ri­ving kann Vor­be­rei­tungs­hand­lung zu Hacking sein, näm­lich dann, wenn sich der Hacker auf die Suche nach einem nur schwach geschütz­ten WLAN macht. Im Übri­gen ist Ward­ri­vin­ving nichts ande­res als blos­ses Kar­to­gra­fie­ren von WLAN-Acces­s­points; von straf­ba­rem Ver­hal­ten kann des­halb nicht die Rede sein.

Fin­det der Hacker zB ein schwach geschütz­tes Netz­werk, knackt er den zuge­hö­ri­gen Schlüs­sel die­ses Net­zes und dringt danach mit die­sem Schlüs­sel ein, hat er sich nach StGB 143bis.I straf­bar gemacht. Nament­lich bei Netz­wer­ken, die sich auch heute noch der WEP-Ver­schlüs­se­lung bedie­nen, trifft dies zu. Solange der Hacker nur auf­zeich­net, dass die­ses Netz­werk eine schwa­che Ver­schlüs­se­lung benutzt, ist er nicht straf­bar. Beginnt er die Design­schwä­chen des WEP-Stan­dards aus­zu­nut­zen und star­tet mit dem sam­meln vie­ler tau­sen­den Daten­pa­kete und knackt in der Folge durch Ana­lyse der gesam­mel­ten Pakete den Schlüs­sel, so bleibt er solange nicht straf­bar, als er das Pass­wort nicht zum Ein­drin­gen in das Sys­tem benutzt. Hier könnte hin­ge­gen mit Fug und Recht dis­ku­tiert wer­den, ob in einem sol­chen Fall nicht die Schwelle zum Ver­such bereits über­schrit­ten ist.

Gerade im Bereich der WLAN-Tech­nik sind jüngst neue Schwach­stelle bekannt gewor­den. Sie sind zum einen wie beim WEP-Stan­dard auf Design­schwä­chen zurück­zu­füh­ren, so nament­lich beim WPS-Stan­dard (WPS steht sin­ni­ger­weise für Wire­less-Pro­tec­ted-Setup). Beim WPS-Stan­dard erfolgt der Angriff nicht über eine bloss pas­sive Ana­lyse von Pake­ten, son­dern durch geschick­tes Aus­pro­bie­ren von Pin­num­mern, solange, bis das ange­grif­fene Sys­tem den Schlüs­sel zum Netz­werk preis gibt. Wer die ein­schlä­gige Angriffs­soft­ware gegen ein frem­des Sys­tem ein­setzt und es zu Kom­mu­ni­ka­tion zwi­schen dem Angrei­fer- und dem Ziel­sys­tem kommt, ist die Schwelle zum straf­ba­ren Hacking über­schrit­ten. Wer also kon­kret in einer Kom­man­do­zeile den Befehl aus­führt und sich das Ziel­sys­tem mel­det, hat sich straf­bar gemacht. Wei­ter­hin im Ver­suchs­sta­dium befin­det sich der Hacker, wenn ihm das ange­grif­fene Sys­tem am Schluss den Schlüs­sel bekannt gibt und er noch nicht in das Ziel­sys­tem ein­dringt. Sobald er schluss­end­lich den Schlüs­sel benutzt und sich im frem­den WLAN befin­det, hat er StGB 143bis.I erfüllt und der Erfolg ist ein­ge­tre­ten.

Zum ande­ren haben auch Ser­vice­pro­vi­der neue Angriffs­vek­to­ren zu ver­ant­wor­ten, in dem sie zB Schwä­chen in der Firm­ware (eine Art Sys­tem­soft­ware) der Geräte zuge­las­sen haben, die sie ihren Kun­den (zwangs­weise) für den Zugang zum Inter­net zur Ver­fü­gung stell­ten. Bei einem grös­se­ren Anteil die­ser Geräte lässt sich der Schlüs­sel zum Wire­less­netz­werk anhand des aus­ge­strahl­ten Netz­werk­na­mens berech­nen. Bei einem Angriff gegen ein der­ar­ti­ges Sys­tem geht der Angrei­fer (im Unter­schied zum vor­ge­nann­ten Angriff gegen WPS) kom­plett pas­siv vor, ana­ly­siert also ledig­lich, was er an Infor­ma­tio­nen vom Ziel­sys­tem “frei­wil­lig” erhält. Ein Hacker befin­det sich mit­hin im straf­lo­sen Vor­be­rei­tungs­sta­dium, wenn er die ein­schlä­gige Soft­ware auf sei­nem Sys­tem ein­setzt, um die Zugangs­schlüs­sel zum Ziel­sys­tem zu gene­rie­ren und er diese Schlüs­sel noch nicht zum Ein­drin­gen benutzt. Dringt er unter Ein­satz des erhal­te­nen Schlüs­sels schliess­lich in das Ziel­sys­tem ein, ist er nach StGB 143bis zu bestra­fen.

Sofern bei einer Signal­ana­lyse mit einer Fern­mel­de­an­lage (Fern­mel­de­ge­setz, FMG 3.d) nicht­öf­fent­li­che Infor­ma­tio­nen emp­fan­gen wer­den, die nicht für den Emp­fän­ger bestimmt sind und sie unbe­fugt ver­wen­det oder Drit­ten bekannt gibt, kann Straf­bar­keit nach FMG 50 vor­lie­gen.

Wer­den bei einer Signal­ana­lyse Daten beschafft, die nicht für den Emp­fän­ger bestimmt sind und die gegen sei­nen Zugriff beson­ders gesi­chert sind, so ist eine Straf­bar­keit nach StGB 143 zu prü­fen. Das wäre bspw. dort der Fall, wo ein ver­schlüs­sel­tes Funk­si­gnal geknackt wird, mit wel­chem besagte Daten trans­por­tiert wer­den.

ad) unbe­fug­tes Ein­drin­gen auf dem Wege von Daten­über­tra­gungs­ein­rich­tun­gen

In einer gene­ri­schen Weise lässt sich das Ein­drin­gen (das Hacken, franz. le pira­tage) fol­gen­der­mas­sen umschrei­ben: “Der Täter dringt in das fremde Daten­ver­ar­bei­tungs­sys­tem ein, indem er sich Zugang dazu ver­schafft, d.h. sich in die Lage bringt, von darin befind­li­chen Daten Kennt­nis zu neh­men, ohne dass ihm eine ent­spre­chende Befug­nis zusteht” (Donatsch, Navi­ga­tor, StGB 143bis, N 3).

Dass das Ein­drin­gen unbe­fugt gesche­hen muss, ist selbst­ver­ständ­lich. Befug­tes Ein­drin­gen kann straf­recht­lich nicht erfasst wer­den. Die Unbe­fugt­heit stellt an und für sich kein sepa­ra­tes Tat­be­stands­ele­ment dar. Die Unbe­fugt­heit wird durch den Begriff “ein­drin­gen” bereits impli­ziert.

Die Straf­lo­sig­keit des befug­ten Ein­d­ri­gens ergibt sich aus der Ein­wil­li­gung des Betrof­fe­nen (eine betrof­fene Per­son, aber gerade keine geschä­digte, da sie die Ein­wil­li­gung erteilt hat). Bei der Ein­wil­li­gung han­delt es sich um eine unge­schrie­be­nen aus­ser­straf­ge­setz­li­chen resp. über­ge­setz­li­chen Regel. Der Betrof­fene Ver­fügt mit sei­ner Ein­wil­li­gung über sein Rechts­gut, was ihm grund­sätz­lich durch die Rechts­ord­nung nicht ver­bo­ten wer­den kann. Der Betrof­fene hat dem Ein­dring­ling seine Ein­wil­li­gung vor der Tat zu erklä­ren. Der Ein­wil­li­gende hat dabei ein­sichts- und urteils­fä­hig zu sein und darf kei­nen Wil­lens­män­geln unter­lie­gen. Der Ein­dring­ling hat zudem in Kennt­nis die­ser Erklä­rung zu han­deln. Dringt er in ein frem­des Sys­tem ein, ohne über die Ein­wil­li­gung des Geschä­dig­ten (hier nicht mehr bloss ein Betrof­fe­ner, son­dern eben ein Geschä­dig­ter) zu wis­sen, ist er straf­bar. Die Ein­wil­li­gung hat tat­be­stands­aus­schlies­sen­den und nicht bloss recht­fer­ti­gen­den Cha­rak­ter.

Dringt ein Pene­tra­tion-Tes­ter wäh­rend eines vul­nera­bi­lity assess­ments in Sys­teme sei­nes Auf­trag­ge­bers ein, tut er dies befug­ter­mas­sen und ist nie straf­bar. Er hat sich aber auf jeden­fall an den ihm gesteck­ten Rah­men sei­nes Auf­trags zu hal­ten. Fin­det er wäh­rend sei­ner Tests unbe­kannte Sys­teme oder Netz­werke, hat er bei sei­nem Auf­trag­ge­ber die Ein­wil­li­gung ein­zu­ho­len, bevor er sol­che Sys­teme anzu­grei­fen ver­sucht.

Im Rah­men eines Straf­pro­zes­ses gehört es zur übli­chen Vor­ge­hens­weise der Straf­ver­fol­gungs­be­hör­den, bei einem Beschul­dig­ten die vor­han­de­nen Com­pu­ter zu beschlag­nah­men und digi­tal-foren­sisch zu unter­su­chen. Sofern der Foren­si­ker dabei in geschützte Sys­teme ein­drin­gen muss, ist er durch die hoheit­li­che Kom­pe­tenz der Straf­ver­fol­gung dazu berech­tigt. Das ein­drin­gen erfolgt im Rah­men von Zwangs­mass­nah­men.

Auf vie­len Win­dows-Sys­te­men fin­det sich zwar ein Pass­wort­schutz, bei wel­chem der Benut­zer sich mit einem Pass­wort am Sys­tem anmel­den muss. Die­ser Pass­wort­schutz schützt dage­gen nur vor dem direk­ten Zugriff über den Benut­zer­ac­count bei lau­fen­dem Sys­tem. Die Daten kön­nen auch ohne die­ses Benut­zer-Pass­wort aus­ge­le­sen wer­den, in dem der ent­spre­chende Daten­trä­ger an einem ande­ren Sys­tem ange­hängt wird. Dabei ist vor­aus­ge­setzt, dass kein Schutz auf Datei­sys­tem­ebene imple­men­tiert ist (zB LUKS, Bit­Lo­cker oder True­Crypt), was bei den meis­ten Win­dows­sys­te­men stan­dard­mäs­sig der Fall ist. Wer eine Fest­platte eines pass­wort­ge­schütz­ten Com­pu­ters aus­baut und auf einem ande­ren Sys­tem auf die Daten die­ser Fest­platte zugreift, dringt nicht in ein Daten­ver­ar­bei­tungs­sys­tem ein. Diese Vari­ante wird nicht von StGB 143bis.I erfasst. Eben­so­we­nig, wer eine ver­schlüs­selte Fest­platte zu ent­schlüs­seln ver­sucht. Es fehlt dabei am Kri­te­rium des Daten­ver­ar­bei­tungs­sys­tems.

Das Ein­drin­gen hat auf dem Wege von Daten­über­tra­gungs­ein­rich­tun­gen zu erfol­gen. Der Bun­des­rat wollte mit die­ser Wort­wahl beto­nen, dass von StGB 143bis.I nur das Ein­drin­gen durch Miss­brauch der übli­chen Daten­über­mitt­lungs­ka­nä­len erfasst wird. Solang die Tat­hand­lung auf dem Wege von Daten­über­mitt­lungs­ka­nä­len erfolgt, ist jede erdenk­li­che Hand­lung erfasst. Rich­ti­ger Weise kann so aber das bloss phy­si­sche Ein­drin­gen in Com­pu­ter­räume nicht genü­gen.

Das Ein­drin­gen kann ent­ge­gen der herr­schen­den Lehre auch über eine Tas­ta­tur erfol­gen (ebenso Weis­sen­ber­ger, N 16 mwH und Stratenwerth/Jenny/Bommer, S. 365, N 40). Bei der Ver­bin­dung der Tas­ta­tur, sei es über Funk oder über ein Kabel, han­delt es sich um nichts ande­res, als um eine Daten­über­tra­gungs­ein­rich­tung. Um dies Ver­ständ­lich zu machen, drängt sich der Bei­zug eines Stan­dard-Modells auf, das die kom­ple­xen Bezie­hungs­ver­hält­nisse bei Daten­über­mitt­lun­gen inner­halb eines Com­pu­ters sowie zwi­schen meh­re­ren Com­pu­tern sche­ma­ti­siert. Dafür eig­net sich das OSI-Modell (Open Sys­tems Inter­con­nec­tion Model), ein Refe­renz­mo­dell für Netz­werk­pro­to­kolle.

Ein Hacker­an­griff durch­läuft immer mehere OSI-Layer. Loggt sich bspw. ein Hacker mit erlang­ten Zugangs­da­ten einer frem­den Per­son über die Web­seite des Betrei­bers ein, so führt er den eigent­li­chen Hacker­an­griff auf der obers­ten OSI-Layer 7 durch. Web­sei­ten wer­den heute über die Pro­to­kolle HTTP resp. HTTPS beim Benut­zer ange­zeigt. Sie sind der app­li­ca­tion layer zuzu­ord­nen. Dringt ein Hacker dage­gen bspw. in ein frem­des WLAN ein, für das er vor­gän­gig Schlüs­sel erhal­ten hat, so umgeht er die Siche­rung, in dem er sie auf OSI-Layer  2, also der data link layer, bricht. Die Authen­ti­fi­zie­rung des Benut­zers ist bei WLAN auf die­ser Ebene anzu­sie­deln.

Das OSI-Modell ermög­licht es, die Hacker­tä­tig­kei­ten in einer sys­te­ma­ti­schen Betrach­tung der tech­ni­schen Abläufe ein­ord­nen zu kön­nen. Es ermög­licht aus­ser­dem, Hacker­vor­fälle anhand bereits bekann­ter Urteile als straf­recht­lich rele­vant ein­zu­ord­nen. Dank dem OSI-Modell lässt sich die Dis­kus­sion, ob der Hacking­tat­be­stand beim Benut­zen einer Tas­ta­tur an einem pass­wort­ge­schütz­ten Com­pu­ter nun erfüllt ist oder nicht, lösen: Das Tas­ta­tur­ka­bel resp. die Luft bei Funk­tas­ta­tu­ren ist der OSI-Layer 1, also der phy­si­cal Layer, zuzu­ord­nen. Die elek­tri­schen Signale der Tas­ta­tur wer­den über die OSI-Layer 1 an den Com­pu­ter gesandt, wel­cher sie in Form von Bits (1 oder 0) inter­pre­tiert. Damit ist bereits der Weg der Daten­über­tra­gungs­ein­rich­tun­gen, wie er von StGB 143bis.I vor­aus­ge­setzt wird, ein­deu­tig beschrit­ten. Der Hacker gibt sein Pass­wort schliess­lich in einer Pass­wort­maske ein, die auf der Eben der app­li­ca­tion layer aus­ge­ge­ben wer­den. In die­sem Bei­spiel durch­läuft der Hacker sämt­li­che Ebe­nen des OSI-Modells.

Anders, als es das Bun­des­ge­richt in BGE 130 III 28, E. 4.2 (Über­set­zung in Pra 93 [2003] Nr. 115) ange­nom­men hat, ist das Umlei­ten von frem­den Emails in den eige­nen Account unzwei­fel­haft kein Ein­drin­gen.

Erfasst ist die Tat­va­ri­ante, in wel­cher der Hacker durch Social Engi­nee­ring an die Zugangs­da­ten gelangt. Social Engi­nee­ring ist eine der ältes­ten Hacker­tech­ni­ken. Sie bedient sich der Tat­sa­che, dass der Mensch grund­sätz­lich kom­mu­ni­ka­tiv ist. Ein Hacker gibt sich dabei zB am Tele­fon als Sys­tem­ad­mi­nis­tra­tor aus und erfragt die Zugangs­da­ten. Dabei wird er im Vor­feld sei­nes Tele­fo­nats mög­lichst viele Infor­ma­tio­nen über sei­nen Gesprächs­part­ner zusam­men­tra­gen, damit sein Anruf und die erzählte Geschichte mög­lichst glaub­wür­dig erscheint.

Ebenso zum Social Engi­nee­ring wird der Angriff über Phi­sing-Mails gezählt. In der Com­pu­ter­si­cher­heits­bran­che besteht der Kon­sens, dass jede Orga­ni­sa­tion mit­tels social engi­nee­ring angreif­bar ist. Pene­tra­tion-Tes­ter unter­su­chen des­halb den Angriffs­vek­tor Mensch nur dann, wenn vor­gän­gig ein­ge­hende Awa­reness-Schu­lun­gen erfolgt sind. Ich bin der Ansicht, dass der Ver­sand eines Phis­hing­mails Teil eines Hacker­an­griffs sein kann. Der Hacker täuscht seine Ziel­per­son über die Legi­ti­mi­tät des Mails und erreicht, dass das Opfer ihm Zugangs­da­ten zukom­men lässt. Dar­auf­hin dringt der Hacker mit den ergat­ter­ten Zugangs­da­ten in das fremde Sys­tem ein. Das stellt Hacking dar (eben­sound Ammann, S. 198 und Weis­sen­ber­ger, StGB 143bis, N. 17). Ande­rer Auf­fas­sung ist Bach­mann, der wohl das Hacking an und für sich ein­schrän­ken­der erfasst und nur die direkte Umge­hung der Siche­rung als Hacking betrach­tet (ebenso Hurtado Pozo, PS, N 1068; Bach­mann, S. 57 sowie 141, wo das sog. tech­ni­sche Phis­hing eben­falls als Hacking erfasst wird). Ich gehe dahin mit ihm einig, dass der Ver­sand eines Phis­hing-Mails für sich alleine nur als ver­such­tes Hacking erfasst wer­den kann. Mit dem Ver­sand eines Emails (nach Bach­mann sog. klas­si­sches Phis­hing) wird noch nicht in ein Sys­tem ein­ge­drun­gen (Bach­mann, aaO).

Sobald sich der Hacker im Ziel­sys­tem befin­det, hat er StGB 143bis.I voll­endet. Das anschlies­sende Ver­wei­len und auch das aus­füh­ren von Befeh­len auf dem geen­ter­ten Sys­tem stellt eine ein­ma­lige Hand­lung dar (Weis­sen­ber­ger, N 23). Dringt der Hacker wie­der­holt in das­selbe Sys­tem (egal ob unter Ver­wen­dung des­sel­ben Schlüs­sels oder der­sel­ben Tech­nik) ein, liegt eine Tat­mehr­heit vor (StGB 49.I).

b. Sub­jek­ti­ver Tat­be­stand

Der Tat­be­stand nach StGB 143bis.I setzt Vor­satz vor­aus, wobei Even­tu­al­vor­satz genügt. Der Vor­satz hat sich auf sämt­li­che objek­ti­ven Tat­be­stands­merk­male zu rich­ten; nament­lich auf die Fremd­heit und die beson­dere Siche­rung des Daten­ver­ar­bei­tungs­sys­tems.

Es spielt dabei keine Rolle, mit wel­cher Absicht der Täter han­delt. Auch der gut­wil­lige Hacker, wird bestraft.

Man­gels der not­wen­di­gen Umschrei­bung ist fahr­läs­si­ges Hacken straf­los. Der fahr­läs­sige Täter (er wird kaum unter den Begriff des Hackers fal­len) bleibt selbst dann straf­los, wenn er im Sys­tem ver­weilt (dolus sub­se­quens) (Pfis­ter, S. 124; Schmid, Com­pu­ter, § 5 N23; Weis­sen­ber­ger, N 25).

c. Kon­kur­ren­zen

[…]

 

III. Ad StGB 143bis.II – Ver­brei­ten von Hacker­soft­ware

a. Straf­an­trag und Straf­an­dro­hung

Der zweite Absatz des Hacker­tat­be­stands ist im Unter­schied zum ers­ten Absatz als Offi­zi­al­de­likt aus­ge­stal­tet. Die Straf­ver­fol­gung geschieht von Amtes wegen; ein Straf­an­trag ist damit nicht not­wen­dige Pro­zess­vor­aus­set­zung.

Es han­delt sich bei StGB 143bis.II um ein abs­trak­tes Gefähr­dungs­de­likt.

b. Objek­ti­ver Tat­be­stand

Mit StGB 143bis.II wird die Min­dest­vor­gabe der Cybercrime­kon­ven­tion im Schwei­zer Recht umge­setzt (CCC 6.III); Die Schweiz hat einen Vor­be­halt ange­bracht, nach wel­chem nur der der Ver­kauf, das Ver­brei­ten und das Ver­füg­bar­ma­chen von Pass­wör­tern, Codes oder ähn­li­chen Daten, die den Zugang zu einem Com­pu­ter­sys­tem ermög­li­chen, unter Strafe gestellt wer­den (CCC 42 iVm 6). Die­ser Vor­be­halt ist in Anbe­tracht der ultima ratio Funk­tion des Straf­rechts rich­tig, nament­lich des­halb, weil der Tat­be­stand bereits in die­ser Aus­ge­stal­tung sehr weit greift (a.A Weis­sen­ber­ger, N. 35). Der Vor­be­halt, wie ihn die Schweiz ange­bracht hat, wird in der Cybercrime­kon­ven­tion aus­drück­lich ermög­licht (CCC 6.III).

aa) Pass­wör­ter, Pro­gramme oder andere Daten (Tat­ob­jekt)

[…]

1. Pass­wör­ter

[…]

2. Pro­gramme

[…]

 

3. Andere Daten
[…]
ab) Inver­kehr­brin­gen oder Zugäng­lich­ma­chen (Tat­hand­lung)

[…]

ad) public vul­nera­bi­lity dis­clo­sure
[…]

 

b. Sub­jek­ti­ver Tat­be­stand
aa) All­ge­mei­nes

[…]

ab) Wis­sen oder wis­sen müs­sen

[…]

c. Kon­kur­ren­zen

[…]