Arbeitsteiliges Cybercrime und strafrechtliche Verantwortung

von OStA Dieter Kochheim, Hannover

Die Grundformen des Cybercrime sind seit etwa 2005 bekannt und seit etwa 2015 sind eigentlich nur noch Varianten und Verfeinerungen in Erscheinung getreten. Auffällig sind seit 2010 die arbeitsteiligen Strukturen krimineller Organisationen: Infrastrukturdienste haben an Bedeutung gewonnen, sei es in Form abgeschotteter Kommunikations- und Handelsforen, „kugelsicherer“ (bullet proof) technischer Einrichtungen zum getarnten Hosting oder Botnetze, deren Zombies zur Verbreitung von Malware gemietet werden können (Affiliate). Cybercrime nach der Art des eher spielerischen Hackings wie etwa der KGB-Hack (1985) oder die Verbreitung der Sasser-Würmer (2004) spielen keine entscheidende Rolle mehr. In jüngerer Zeit haben mehrere Ermittlungserfolge und Gerichtsverfahren Aufmerksamkeit erregt, von denen ich „Deutschland im Deep Web“, den „Cyberbunker“ und „Emotet“ hervorhebe, um die Frage nach der strafrechtlichen Verantwortung der Betreiber zu skizzieren. Der gängige Begriff dafür ist „Cybercrime-as-a-Service“- CaaS, an dem ich als Oberbegriff festhalte, auch wenn in eher technischen Diskussionen häufig Verfeinerungen wie „Crimeware…aaS“, „Botware…aaS“ oder andere Begriffe verwendet werden, die bei der strafrechtlichen Bewertung nicht weiterhelfen.

Die Rechtsprechung hat die Grundformen des Cybercrime inzwischen vollständig oder vom Grundsatz her bewertet: Das gilt besonders für das Skimming, also das Ausspähen von Kontozugangsdaten, um gefälschte Zahlungskarten (mit Garantiefunktion) herzustellen und – wichtiger noch – an Geldausgabeautomaten einzusetzen (§§ 152b, 263a StGB).[2] Der Einsatz von Ransomware ist zwar auch eine Computersabotage (§ 303b StGB),[3] aber vor allem eine Erpressung (§ 263 StGB). Im Zusammenhang mit dem Phishing – hier im engeren Sinne, also zum Abgriff von Kontoverfügungen im Onlinebanking verstanden – stellt die Veränderung oder die Erstellung einer elektronischen Kontoverfügung eine Fälschung beweiserheblicher Daten (§ 269 StGB)[4] und die Ausführung der Verfügung schließlich einen Computerbetrug dar (§ 263a StGB). Dieselbe Rechtsprechung zu § 269 StGB führt auch zur Strafbarkeit des Kontohackings im Zusammenhang mit Onlinebetrügereien und Fake-Webshops.

Gefährdungsdelikte im Hinblick auf Infrastrukturdienste gibt es nicht. Im Einzelfall kann die Bildung einer kriminellen Vereinigung vorliegen (wie beim Cyberbunker). Die strafrechtliche Praxis ist aber im Wesentlichen auf das Handlungsmodell angewiesen, das dem uneigentlichen Organisationsdelikt zugrunde liegt, das „Tatbeiträge eines Mittäters, mittelbaren Täters oder Gehilfen zum Aufbau, zur Aufrechterhaltung und zum Ablauf eines auf Straftaten ausgerichteten Geschäftsbetriebes“ zusammenführt.[5] Erfasst davon werden alle Tatstufen von der Vorbereitung über die eigentliche Tatausführung bis hin zur Beutesicherung, wenn es um monetäre Delikte geht. Auf das Internet übertragen hat das der BGH im Zusammenhang mit einem betrügerischen Möbelhandel, wobei sich der Hoster („Gastgeber“ für Speicherplatz und Zugänglichkeit) an der Ausführungstat beteiligen kann, wenn er sie durch das Einrichten und Betreiben der Internetplattform maßgeblich fördert.[6] Im Übrigen muss sich die Strafverfolgung mit der Beihilfe behelfen, die immer auch den Nachweis der Haupttat und sozusagen des Beteiligungswillens des Gehilfen erfordert.

1. Deutschland im DeepWeb

Nach dem Vorbild der geschlossenen Benutzerkreise ist „Deutschland im DeepWeb“ – DiDW – eine Kommunikationsplattform zum Meinungs- und Informationsaustausch im Tor-Netz gewesen, die ihren Teilnehmern – mehr nebenbei – auch den Tausch und den Handel mit Waren und Diensten zugelassen hat. Die juristische Auseinandersetzung mit DiDW hat zwei Aspekte: Der Attentäter in München hat am 22.7.2016 neun Menschen und anschließend sich selber mit einer halbautomatischen Kurzwaffe „Glock 17“getötet. Den Kontakt zu seinem Waffenhändler hatte er über DiDW aufgenommen.[7] Der Verkäufer wurde am 16.8.2016 anlässlich eines Scheingeschäfts in Marburg festgenommen, nachdem ein verdeckt ermittelnder Zollbeamter per Messenger Kontakt zu ihm aufgenommen und einen Waffenkauf vorbereitet hatte (Rn. 119 ff.). Er wurde am 19.1.2018 unter anderem wegen vorsätzlichen unerlaubten Handeltreibens mit Waffen und Munition in Tateinheit mit fahrlässiger Tötung in neun Fällen und fahrlässiger Körperverletzung in fünf Fällen zu einer Einzelfreiheitsstrafe von 4 Jahren 8 Monate und schließlich zu einer Gesamtfreiheitsstrafe von 7 Jahren verurteilt (Rn. 620, 796, 843 ff.). Mangels eines durchgreifenden Gehilfenvorsatzes hat das Landgericht München I ihn nicht wegen Beihilfe zu einem Vorsatzdelikt verurteilt, sondern wegen eines sorgfaltswidrigen, mithin fahrlässigen Tötungsdelikts (Rn. 643, 661 ff.). Der BGH hat am 8.1.2019 – 1 StR 356/18 – die Revision des Angeklagten kommentarlos (§ 349 Abs. 2 StPO[8]) verworfen.[9]

Der zweite Aspekt betrifft die strafrechtliche Haftung des Betreibers von DiDW im Zusammenhang mit dem Attentat, der unter Einsatz mehrerer verdeckter Ermittler am 12.6.2017 festgenommen wurde.[10] Das Landgericht Karlsruhe hat sich ausgiebig mit ihm auseinandergesetzt und ihn schließlich wegen fahrlässiger Tötung zu einer Einzelfreiheitsstrafe von vier Jahren verurteilt.[11] Auch die gegen dieses Urteil erhobene Revision hat der BGH ohne Begründung am 6.8.2019 – 1 StR 188/19 – verworfen.[12] Während die Beteiligung des Waffenhändlers am verbotenen Waffenhandel offensichtlich ist, trifft das auf den Betreiber eines vorrangig zur Kommunikation bestimmten Forums nicht ohne weiteres zu.

1.1. Clearnet, Deepnet, Darknet und The Onion Router

Unter technischen Gesichtspunkten besteht – allgemein gesprochen – das Internet aus dem öffentlich zugänglichen Clearnet – auch „Googlenetz“, weil es per Suchmaschinen zugänglich ist – und dem Deepnet. Zum Deepnet gehören alle in sich geschlossenen Netzwerke wie Behörden-, Unternehmens-, wissenschaftliche und andere Netze, die prinzipiell nur ihren eigenen Mitgliedern zur Verfügung stehen und nicht von außen eingesehen werden können. Daneben gehören zum Deepnet auch die durch Verschlüsselungen abgesicherten Verbindungen, die ebenfalls wegen der transportierten Inhalte prinzipiell nicht entschlüsselt und zwischengespeichert werden können. Der Begriff Darknet kennt hingegen keine eigenen technischen Besonderheiten und ist kriminalistischer Natur: Er bezeichnet die Teilnehmer an geschlossenen Benutzergruppen oder im Deepweb, die sich dem kriminellen Informationsaustausch oder dem kriminellen Handel widmen.

Zum Deepnet gehört das Tor-Netz, das seinerseits technische Besonderheiten aufweist. Auf der untersten Übermittlungsebene nutzt es die technische Infrastruktur des Internets mit dem gängigen Interprotokoll – TCP/IP – nach Maßgabe der Adressierung nach dem IP, also den bisher nummerischen Adressen für alle Verbindungsstellen (IPv4). Vom Transportprotokoll – TCP – weicht das Tor-Netz insoweit ab, als es über ein eigenes Domänenverzeichnis – Domain Name System, DNS – mit dem Adresszusatz „.onion“ verfügt. Das übliche DNS mit den gängigen Adresszusätzen .com, .de u.v.a.m. ist sozusagen ein Aufsatz auf dem IP und verwendet beschreibende Namen, die von Nameservern an verschiedenen Stellen im Netz in nummerische Adressen aufgelöst werden.

Zur Navigation im Onion-Netz bedarf es clientseitig eines besonderen Browsers, der allerdings einfach erhältlich ist. Vermittels eines Verzeichnisservers kann mit dem Tor-Browser die verschlüsselte Verbindung zu einem Einstiegsserver aufgebaut werden, der seinerseits die Adressanfrage über mehrere Transferserver an einen Ausstiegsserver weitergibt, der sodann die Zieladresse anspricht. Die rücklaufende Antwort durchläuft dieselbe technische Kaskade. Dabei besteht die technische Besonderheit, dass jeder an der Übermittlung beteiligte Server nur den Absender und die nächste Zieladresse „kennt“, so dass beim Ausstiegsserver nur der Absender der letzten Zwischenstation bekannt ist, nicht aber die Ausgangsadresse des Clients. Alles in Allem gibt es rund 6.700 Tor-Knoten weltweit, die von NGOen, Universitäten und anderen betrieben werden.[13]

DiDW ist ein „hidden service“ gewesen. Diese zeichnen sich dadurch aus, dass sie ihrerseits eine dauerhafte Verbindung zu einem Einstiegsserver unterhalten und auf einem der Zwischenserver (Rendezvous Point) die Kommunikation mit dem anfragenden Client ausführen.[14] Das führt dazu, dass weder der Client noch der hidden service den Standort und die Identität des jeweils anderen kennen, weil sie jeder durch die Verbindungskaskade vor ihrer Enttarnung geschützt sind.

Das Tor-Netz ist eine technische Infrastruktur, die seit 2001 von der DARPA finanziert wurde, also der Forschungsbehörde des US-Verteidigungsministeriums,[15] um ihren Agenten und Kontaktleuten eine gesicherte Verbindung zu ermöglichen. Die Beteiligten könnten aber zu leicht enttarnt werden, wenn das Tor-Netz nur zu nachrichtendienstlichen Zwecken genutzt würde. Allein deshalb steht es grundsätzlich jedem Nutzer offen, der über einen Tor-Browser verfügt und die .onion-Infrastruktur nutzt.

1.2. Handelsplattform, Monopole und Treuhand

Von den üblichen geschlossenen Benutzerkreisen hat sich DiDW dadurch abgehoben, dass es keine Regularien für den Handel aufgestellt hat. Von den Benutzerkreisen ist bekannt, dass sie besonders auch kriminelle Themen fördern und einerseits Monopollizenzen für die Händler vergeben und andererseits Treuhandsysteme betreiben.[16] Bei den Händlerlizenzen handelt es sich um meist monatliche Gebühren, die es den Händlern erlauben, exklusiv bestimmte Waren wie Waffen, Equipment oder Gifte und Substanzen, Dienste wie spezialisierte Crimeware oder Daten anzubieten und zu verkaufen. Das Treuhandsystem, das im DiDW ohne Umsatzbeteiligung zumindest für die BtM-Geschäfte eingerichtet gewesen ist,[17] ist in geschlossenen Benutzerkreisen meistens verbindlich und an die Person des Betreibers gebunden (Administrator; Helfer: Moderator). Der Käufer bezahlt den verhandelten Kaufpreis – meistens in Form von Kryptogeld – an den Treuhänder und dieser meldet an den Händler, dass das „Geld“ eingegangen ist. Darauf leistet der Händler die versprochene Ware und der Käufer meldet an den Treuhänder, dass die Lieferung erfolgt ist. Darauf kehrt der Treuhänder den Kaufpreis an den Händler aus, nicht ohne dabei seine Gebühr einzubehalten.

In diesem Treuhänder-Modell ist die Frage nach der strafrechtlichen Haftung des Betreibers in der Form des Treuhänders einfach beantwortet: Seine Teilnahme an dem kriminellen Geschäft ist nicht wegzudenken, so dass er mindestens als Gehilfe bei Beschaffungsdelikten wie Datenhandel (§ 202c StGB), Daten- oder sonstige Hehlerei (§§ 202d, 259 StGB) ist. Handelt es sich um einen Betrug zum Nachteil des Käufers gerät der Treuhänder womöglich auch in die Stellung eines Mittäters, weil der abschließende Tatbestand in der Vermögensverfügung besteht, die erst bei der Auszahlung an den Händler beendet ist. Zum Mittäter wird der Treuhänder auch beim BtM-Handel, weil „Handel“ bereits das „ernsthafte Verhandeln“ umfasst,[18] und bei der kollusiven Zusammenarbeit zwischen Händler und Treuhänder, weil der Treuhänder einverständlich das System schafft, in dem der Händler seine Geschäfte erst abwickeln kann.

1.3 Urteil des Landgerichts Karlsruhe

Bei DiDW ist kein verbindliches Treuhand- oder Lizenzsystem eingerichtet gewesen, so dass das LG Karlsruhe[19] zunächst völlig zu Recht feststellt, dass die Einrichtung und der Betrieb einer Diskussionsplattform als solches nicht strafbar ist (Rn. 428 – 430). Maßgebend ist die Sozialadäquanz des tatsächlichen Handelns, wonach berufstypische, „neutrale“ Handlungen keiner Strafbarkeit unterliegen sondern erst dann, wenn es in eine Solidarisierung mit dem Täter umschlägt.[20] Das ist dann der Fall, wenn eine Plattform gezielt damit wirbt, zu rechtswidrigen oder kriminellen Aktivitäten genutzt zu werden, seine Gebühren danach ausrichtet, wie häufig oder nachhaltig Auskünfte über die Identität des Nutzers abgewehrt werden müssen („Beschwerderesistenz“; siehe Russian Business Network), oder ob die Handlungen der Nutzer vom Betreiber durch Monopollizenzen und technische Einrichtungen besonders unterstützt werden.

Diesen Grundsätzen folgend führt das LG Karlsruhe zunächst aus, dass die Veröffentlichung von Angeboten im DiDW der Erlaubnis des Betreibers im Einzelfall unterlag (Rn. 50, 428 – 430)[21] und anfangs keine Förderung von Straftaten beabsichtigt war (Rn. 431). Er richtete zunächst nur die Unterkategorien „Biete“ und „Biete verifiziert“ ein (Rn. 136), später aber auch die Unterkategorie „Waffen“, die zwischenzeitlich ausgeblendet war, seit dem 2.1.2016 aber allen registrierten Nutzern zur Verfügung stand (Rn. 136, 473). Seine Beteiligung als Gehilfe zu BtM-Geschäften leitet das Gericht aus der Rechtsprechung des BGH ab (Rn. 443,[22] 445) und konzentriert sich dann auf das Tatbestandsmerkmal „Werben“ gemäß § 29 Abs. 1 Satz 1 Nr. 8 BtMG (Rn. 450). Im Ergebnis geht das Gericht davon aus, dass der Betreiber von DiDW einen wesentlichen Tatbeitrag zum „Werben“ geleistet hat (Rn. 454). Mit einer vergleichbaren Argumentation sieht das LG Karlsruhe den Betreiber auch als einen Gehilfen zum Waffenhandel an. Sein wesentlicher Tatbeitrag besteht in der Einrichtung der Unterkategorie „Waffen“ (Rn. 473). Das Gericht setzt sich mit dem doppelten Gehilfenvorsatz auseinander, wobei der Beteiligte mindestens die wesentlichen Merkmale des Ausführungsdelikts kennen (Rn. 489) und billigend in Kauf nehmen muss (Rn. 492).

Während beim Waffenhandel ein strafbares Delikt bereits offen zutage tritt, weil der Umgang, Besitz und Handel vom WaffG nachhaltig reguliert wird, bedarf die Beteiligung am Ausführungsdelikt, also an der Tötung und Körperverletzung mehrerer Personen in München, einer tieferen Begründung. Zwar sei der Einsatz illegal erworbener Schusswaffen naheliegend, aber nach Meinung des LG Karlsruhe dem Gehilfen zum Waffengeschäft nicht zwingend vorhersehbar, so dass es eine Beteiligung an der Ausführungstat ablehnt (Rn. 501). Es geht einen anderen Weg: Allein die Mitwirkung am Waffenhandel stelle eine objektive Sorgfaltspflichtverletzung mit geringeren Anforderungen dar (Rn. 513, 531 – 532), der Taterfolg war objektiv und subjektiv vorherseh- (Rn. 517 – 520, 534 – 535) und vermeidbar (Rn. 522 – 523, 537), so dass der Betreiber auch Beteiligter an einer Waffen-Erwerbstat in Tateinheit mit fahrlässiger Tötung in neun Fällen und fahrlässiger Körperverletzung in fünf weiteren Fällen schuldig ist.[23]

Bei Heise online ist eine spannende Serie von Beiträgen von Cristoph Lemmer über das Strafverfahren gegen „Alexander U.“ erschienen, wobei auch Ermittlungspannen („Stecker ziehen“ an einem Server[24]) und der Einsatz verdeckter Ermittler angesprochen werden. Auch das Urteil des LG Karlsruhe berichtet über den Einsatz von zwei verdeckten Ermittlern (Rn. 274 – 275, 277 – 279). Damit werden jedenfalls die besonderen Probleme gestreift, die sich im Zusammenhang mit Techniken zur Anonymisierung ergeben: Die Ermittler müssen tatverdächtige Personen zunächst identifizieren, wozu neben klassischen Methoden auch die Recherche in Kommunikationsmedien, der Einsatz von Informanten, bezahlten Vertrauenspersonen und verdeckten Ermittlern nötig ist, und schließlich ihr Aufenthalt ermittelt werden.

Das Beispiel DiDW zeigt jedenfalls, dass die Betreiber von Kommunikations- und Handelsplattformen durchaus identifiziert und bestraft werden können, wenn sie die Grenze zur Solidarisierung mit den ausführenden Tätern überschreiten. Das ist dann der Fall, wenn sie besondere Strukturen zur Förderung dieser Täter schaffen, bewerben oder sogar konkrete Tatbeiträge wie bei den Monopollizenzen und Treuhandsystemen leisten. Warum das LG Karlsruhe jedoch auf die Treuhand nicht tiefer eingegangen ist, bleibt unklar. Wahrscheinlich hat das daran gelegen, dass sich die angeklagten BtM-Geschäfte nicht genau genug der Nutzung der Treuhand zugeordnet werden konnten.

2. Cyberbunker

Der Cyberbunker ist die von der Bundeswehr aufgegebene Kaserne Mont Royal bei Traben-Trarbach im Tal der Mittelmosel, bestehend aus einem fünfgeschossigen, unterirdischen Bunker, zwei Bürogebäuden und 13 Hektar Geländefläche. Der Anfang April 2020 von der Landeszentralstelle Cybercrime – LZC – der GenStA Koblenz angeklagte Haupttäter, der in vielen Meldungen namentlich genannte Johann Xennt aus den Niederlanden, erwarb über die von ihm beherrschte Firma Calibour GmbH im Jahr 2013 das Gelände für 450.000 € von der Bundesanstalt für Immobilienaufgaben.[25] Seit 2014 und 2018 schufen die acht vor der Jugendkammer des LG Trier unter anderem wegen der Bildung einer kriminellen Vereinigung Angeklagten technisch gesehen ein Rechenzentrum für Hostingdienste – also vor allem Hostspeicher und allein rund 10.000 (dedizierte, vom Kunden administrierte) Webserver auf etwa 290 Servern (Geräte).[26] Vom Grundsatz her handelte es sich dabei um die „Speicherung von Informationen“ im Sinne von § 10 TMG, für die der Hoster grundsätzlich nicht verantwortlich ist. Tatsächlich betrieben sie einen Bullet Proof Provider[27] („kugelsicher“), dessen Kunden hidden services im Tor-Netz, anonymisierte Webdienste im Clearnet und nicht zuletzt Command & Control-Server zur Steuerung von Botnetzen und zur Malwareverbreitung bereitgestellt wurden.[28] Damit sind die Grundsätze zur Solidarisierung anwendbar, die sozial adäquates Verhalten zum strafbaren machen.

2.1 Bullet Proof Dienste

Schon 2008 hat Balduan bullet proof Dienste beschrieben und als Rogue Provider, eingedeutscht Schurkenprovider bezeichnet.[29] Das früheste bekannte Beispiel ist das Russian Business Network mit seiner Niederlassung in Sankt Petersburg, das bereits Tarnungen per DNS-Protection (Verschleierung der Registrierungsdaten), Who Is-Protection (Verschleierung der Inhaberschaft) und des Standortes eines Servers anbot.[30]

Neben den Erwerbskosten für die bauliche Anlage bedarf ein Hostingdienst erheblicher Aufwendungen für die Anschaffung und den Betrieb der technischen Anlagen, Personal- und Betriebskosten. Von den acht Angeklagten aus dem Cyberbunker sollen zwei für das kaufmännische und administrative Management, eine allein für die Buchhaltung und den Zahlungsverkehr und die übrigen fünf für die technische Administration zuständig gewesen sein.[31] Weitere Programmierer sollen in Polen tätig gewesen sein.[32] Er braucht mindestens eine AS-Nummer,[33] nummerische Adressen für das Internetprotokoll,[34] einen stabilen und leistungsstarken Zugangsprovider für den Datenverkehr und eine gute Stromversorgung. Außerdem muss der Datenverkehr über Proxys geleitet und dabei stark verschlüsselt werden.[35] Zudem wollen die Betreiber auskömmlich leben und zum Beispiel eine Putzfrau und einen Gärtner beschäftigen, die jedoch zuletzt verdeckte Ermittler der Polizei waren.[36] Außerdem kam eine Serverüberwachung gemäß § 100a StPO an einem Netzknoten in Trier zum Einsatz. [37] Die Schätzung, die Cyberbunker-Crew habe mindestens 1,2 Mio. € eingenommen,[38] ist eher deutlich untertrieben. Der rechtsextremen „Identitären Bewegung“ sollen Kommunikations- und Clouddienste für nur 30 € im Monat angeboten worden sein, die übrigen Kunden mussten aber wohl mehrere Hundert Euro zahlen.[39] Im Fall des „Wall Street Market“ ist die Rede davon, dass die Betreiber des Marktes 2 bis 6 % vom Umsatz der Haupttäter erhielten.[40] Davon wird der Hoster einen deutlichen Anteil abbekommen haben.

2.2 Anklage und Hauptverhandlung vor dem Landgericht Trier

Im April 2020 erhob die Landeszentralstelle Cybercrime – LZC – der GenStA Koblenz gegen acht Angeschuldigte Anklage zur Jugendstrafkammer des LG Trier mit dem Vorwurf der Bildung und Beteiligung an einer kriminellen Vereinigung (§ 129 StGB).[41] Diese Strafvorschrift hatte der BGH schon früher als einschlägig im Zusammenhang mit der Verbreitung volksverhetzender und sonstiger rechtsradikaler Inhalt per Internetradio angesehen.[42] Darüber hinaus werden den Angeschuldigten die Beteiligung in Form der Beihilfe an 7 Straftaten aus der Zeit zwischen 2014 und 2019 vorgeworfen, darunter der technische Betrieb von vier Darknet-Marktplätzen – bevorzugt zum BtM-Handel (Cannabis Road, Wall Street Market, Fraudsters und Flugsvamp), drei Handelsplätzen im Clearnet (orangechemicals.com, acechemstore.com und lifestylepharma.com), das Verbreiten einer Linkliste mit 6.581 Darknet-Angeboten für Bitcoin-Lotterien, Betäubungsmittel, Waffen, Falschgeld, Mordaufträge und Kinderpornografie und der Betrieb von 6 Command & Control-Servern für den fehlgeschlagenen Angriff auf 1.247.000 Router bei den Kunden der Deutschen Telekom im November 2016,[43] mit dem Ziel, sie in das „Mirai-Botnetz“ einzubinden. Auf einzelnen Marktplätzen sollen bis zu 2,6 Tonnen Marihuana umgesetzt, rund 300.000 Handelsgeschäfte durchgeführt und Umsätze von etwa 30 Mio. Euro erzielt worden sein.

Command & Control Server wurden seit etwa 2009 zunächst in Botnetzen zur automatischen Überwachung und zur Steuerung von Angriffen eingesetzt. Später wurden ihre Funktionen verfeinert, so dass sie auch zur Steuerung von Malware bei ihrer Installation bis hin zum automatischen Phishing verwendet werden konnten. „Mirai“ ist ein besonderes Botnetz, weil es aus rund einer Million einfacher IoT-Geräten (Internet of Things) wie Webcams, Router und Haushaltsgeräten bestehen soll. Die schlichte Menge der kompromittierten Geräte hat seit 2014 zu mächtigen DDoS-Angriffen (verteilte Angriffe) geführt, die so vorher unbekannt waren.[44]

Die Unterstützung der kriminellen Haupttaten besteht in der willentlichen Bereitstellung der technischen Infrastruktur und ihres stetigen Betriebes. Dazu muss nicht jedes Handelsgeschäft in allen Einzel- und Besonderheiten nachgewiesen werden, weil bei gleichartigen, sozusagen standardisierten Straftaten eine exemplarische Beweiserhebung ausreicht, wenn der Mindestumfang der kriminellen Veranstaltung durch andere Beweise umgrenzt werden kann[45] (Logfiles, Zahlungsverkehr, Datensammlungen u.a.). Dadurch, dass der technische Rahmen zur Verfügung gestellt wird, werden alle Haupttaten gefördert, so dass es durchaus richtig ist, dass die LZC jedes einzelne Handelsforum zu einer Tat im materiellen Sinne „zusammenzieht“.

Die kriminelle Ausrichtung der Cyberbunker-Betreiber kann exemplarisch an einer Eigenwerbung deutlich gemacht werden:[46] „Cyberbunker schützt Ihre Server auch vor anderen, die Sie gerne abschalten würden, wie die PCMA,[47] Ihre Konkurrenten, Behörden, Diebe, Regierungen und Terroristen.“ Der ermittelnde Staatsanwalt äußerte gegenüber der c’t, dass bei der Datenauswertung keine Spuren von legitimen Kunden gefunden worden seien.[48] Das war falsch: Eine präsentierte Homepage für einen Badminton-Club war legal.[49]

Der Prozess vor dem LG Trier begann am 19.10.2020 und wird voraussichtlich noch das ganze Jahr 2021 fortgeführt.

3. Emotet

Emotet ist ein kriminelles Angriffswerkzeug, das aus einer auf den Angriff gegen geschlossene Netze spezifizierte Malware und einer Infrastruktur besteht, die den Einsatz der Malware steuert und anschließend die infizierten „Zombies“ verwaltet. Diesen Bestandteil nenne ich unter funktionalen, nicht technischen Gesichtspunkten Basis-Malware.[50] In der Anfangszeit 2014 transportierte diese Malware einen Onlinebanking-Trojaner.[51] Seit etwa 2018 wechselte die Gruppierung hinter Emotet zum Affiliate: Die Malware beschränkt sich auf den Angriff und die Verwaltung der infizierten Systeme und lädt dann auf einer Art Mietbasis die produktive Malware nach, bevorzugt Ransomware zur Erpressung, aber auch zum Datenabgriff oder für verteilte Angriffe (DDoS).[52] Das BKA spricht insoweit von „der schädlichsten Malware weltweit“.[53]

Das Prinzip des Angriffs ist seit dem „Night Dragon“ bekannt:[54] Zunächst muss ein beliebiges Endgerät im geschlossenen Netz übernommen werden. Von dort verbreitet sich die Malware als autonomer Wurm im lokalen Netz (LAN) bis er ein Endgerät mit administrativen Rechten infizieren kann. Mit diesen Rechten wird dann der Server mit der Benutzerverwaltung übernommen (Windows, Active Directory) und damit ist das gesamte Netz unter der Kontrolle der Angreifer. Während 2009 die Infiltration noch über gehackte Mailserver lief, die angeblich harmlose E-Mails in das LAN sandten, nutzt Emotet das „Dynamit Phishing“, das ursprünglich als Spear-Phishing bekannt war und erstmals 2009 bei der „Operation Shady Rat“[55] und in verfeinerter Form 2012 gegen ausgewählte Opfer (High Roller[56]) zum Einsatz kam: Dabei handelt es sich um individualisierte E-Mails mit üblichen Sprachmerkmalen, die auf bekannte Kommunikationspartner hinweisen. Im Anhang wird dann die Basis-Malware transportiert und vom Empfänger aktiviert, wenn er den Anhang öffnet.[57]

In diesem Stadium werden bereits zwei tateinheitliche Straftaten ausgeführt, das Ausspähen von Daten (§ 202a StGB) und – im Anschluss an die BGH-Rechtsprechung zum Botnetz[58] – eine Datenveränderung (§ 303a StGB).[59]

3.1 Affiliate

Die mietweise Überlassung infizierter Rechner ist schon seit etwa 2005 bekannt. Emotet folgt dem System „RIG“, das 2015 von Olivia von Westernhagen beschrieben wurde:[60] Der Vermieter kümmert sich um die Erstellung des Botnetzes, erweitert es um neue Zombies und verwaltet es. Der Mieter hingegen erwirbt die Möglichkeit, für eine bestimmte Zeit eigene – auch zugekaufte – Malware auf einer garantierten Anzahl von Zombies einzusetzen. Dabei hat der Mieter nur Zugriff auf einen Admin-Server, der ihm den Zustand seines Botnetzes anzeigt und über den er seine (produktive) Malware verteilt. Auf alles andere, also die Pflege des Botnetzes selber, hat er keinen Zugriff und keinen Einblick.[61]

Der Betreiber der Botnetz-Infrastruktur ist zunächst nach den Grundsätzen strafbar, die für das Hacking im Allgemeinen gelten, also das Ausspähen von Daten und die Datenveränderung oder die Computersabotage (§§ 202a, 303a, 303b StGB). Aufgrund der engen Zusammenarbeit zwischen Vermieter und Mieter sind die Grenzen zur Solidarisierung weit überschritten, so dass der Vermieter auch Beteiligter an den Straftaten der Mieter ist. Dass er dabei nicht nur als Gehilfe, sondern als Mittäter anzusehen ist, legt eine ältere Entscheidung des BGH nahe:[62] In einer arbeitsteiligen Tätergruppe beschränkte sich die Teilnahme eines Beteiligten auf die Beschaffung eines Firmenmantels, den seine Mittäter sodann für mehrere Betrugstaten im Zusammenhang mit Leasingverträgen nutzten (unechtes Organisationsdelikt). Gemeinsam können sie deshalb eine Bande bilden und sich – zum Beispiel beim Phishing – an einer Verbrechensabrede beteiligen.[63]

3.2 Emotet im Einsatz

Seit 2019 wurden mit Emotet verschiedene Krankenhäuser, der Fahrdienst des deutschen Bundestages, das Kammergericht, verschiedene Gemeinden und Wirtschaftsunternehmen angegriffen, wovon eindrucksvoll der Angriff gegen den Heise-Verlag dokumentiert ist.[64]

Maßgeblich an den Ermittlungen gegen die Emotet-Täter waren in Deutschland seit 2018 die Zentralstelle zur Bekämpfung der Internetkriminalität – ZIT – bei der GenStA Frankfurt a.M. und das BKA beteiligt.[65] Ende Januar 2021 haben Polizeikräfte aus acht Ländern „die Infrastruktur der Schadsoftware Emotet mit Unterstützung von Europol und Eurojust übernommen und zerschlagen“.[66] Dabei wurden in der Ukraine zwei Verdächtige festgenommen. Weitere Einzelheiten, besonders über die Hinterleute, sind bislang nicht öffentlich bekannt. Die Steuerung des Botnetzes als solches scheint damit lahmgelegt zu sein. Ob die per Affiliate verbreitete Malware weiterhin ihr Unwesen treiben kann, ist noch ungeklärt.[67]

4. Fazit

Mit erheblichem zeitlichem und personellem Aufwand hat sich die Strafverfolgung gegen mächtige Ausprägungen des Cybercrime positioniert und dabei bemerkenswerte Erfolge erzielt, wie die drei Beispiele in diesem Beitrag belegen. Dabei spielt auch die Rechtsprechung zum uneigentlichen Organisationsdelikt, zur Abgrenzung zwischen sozialadäquatem Verhalten und der Solidarisierung, zur Fälschung beweiserheblicher Daten im Zusammenhang mit gehackten Webkonten und schließlich zu den Botnetzen eine erhebliche Rolle. Sie erleichtert den Einstieg in die Ermittlungen, was den Anfangsverdacht und schließlich den hinreichenden Verdacht bei der Anklageerhebung anbelangt. Der Ermittlungsaufwand bei Massendelikten mit fast unüberschaubaren Datenmengen wird dadurch jedoch nicht geschmälert. Ich bin der letzte, der immer wieder nach schärferen Gesetzen oder Strafdrohungen ruft. Angelehnt an die kriminelle Vereinigung wäre die Schaffung eines Gefährdungstatbestandes im Hinblick auf das arbeitsteilige Cybercrime durchaus angebracht, weil es präventiv wirken könnte. Gespannt bin ich, was beim LG Trier herauskommen wird (Cyberbunker) und ob die weiteren Ermittlungen gegen die Hinterleute bei Emotet Erfolge haben werden.


[2] Zusammenfassung: BGH, Beschl. v. 20.12.2012 – 4 StR 458/12, Rn. 4.

[3] Bislang hat sich der BGH nur zur Datenveränderung im Zusammenhang mit einem Botnetz geäußert: BGH, Beschl. v. 27.7.2017 – 1 StR 412/16, Rn. 27, 35.

[4] BGH, Beschl. v. 21.7.2020 – 5 StR 146/19, Rn. 31.

[5] BGH, Urt. v. 17.6.2004 – 3 StR 344/03, Rn. 20.

[6] BGH, Beschl. v. 20.9.2016 – 3 StR 302/16, Rn. 9

[7] Siehe die „Vorgeschichte“ in: LG München I, Urt. v. 19.1.2018 – 12 KLs 111 Js 239798/16, Rn. 52 ff. (bei gesetze-bayern.de).

[8] Keine Begründung erforderlich bei unanfechtbaren Entscheidungen: BVerfG, Beschl. v. 28.2.1979 – 2 BvR 84/79.

[9] BGH, Presseerklärung v. 21.1.2019 – 006/2019; Urteil gegen den Verkäufer der für den Münchner Amoklauf genutzten Waffe ist rechtskräftig.

[10] Andreas Wilkens, Betreiber eines Darknet-Forums in Karlsruhe festgenommen, Heise online 12.6.2017; Mirko Dölle, Spur des Geldes. Wie das größte deutsche Darknet-Forum aufflog, c’t 25/2018, S. 16.

[11] LG Karlsruhe, Urt. v. 19.12.2018 – 4 KLs 608 Js 19580/17, Rn. 293 ff. (bei Landesrechtsprechung Baden-Württemberg).

[12] BGH, Presseerklärung v. 19.8.2019 – 109/2019: Urteil gegen den Betreiber der Internetplattform, über die die Waffe für den Münchner Amoklauf verkauft wurde, rechtskräftig.

[13] Stefan Mey, Missing Link: 25 Jahre Anonymisierung mit Tor, eine Geschichte mit Widersprüchen, Heise online 29.11.2020.

[14] Daniel Cooper, Unhidden Services. Deanonymisierung von Tor Hidden Services verhindern, c’t 22/2017.

[15] Stefan Mey, Missing Link: 25 Jahre Anonymisierung mit Tor …, a.a.O.

[16] Marc-Aurel Ester, Ralf Benzmüller, G Data Whitepaper 2009. Underground Economy, 19.8.2009; dieselben, Whitepaper 04/2010. Underground Economy – Update 04/2010, G Data 22.4.2010.

[17] Christoph Lemmer, Prozess um Darknet-Forum: Verantwortung des Betreibers für die Waffengeschäfte, Heise online 23.11.2018. LG Karlsruhe, ebenda, Rn. 45, 46, 236.

[18] BGH, Beschl. v. 26.10.2005 – GSSt 1/05, Entscheidungstenor; siehe auch schon BGH, Urt. v. 20.1.1982 – 2 StR 593/81.

[19] LG Karlsruhe, Urt. v. 19.12.2018 – 4 KLs 608 Js 19580/17.

[20] BGH, Urt. v. 22.1.2014 – 5 StR 468/12, Rn. 26.

[21] Christoph Lemmer, Prozess um Darknet-Forum: Verantwortung des Betreibers für die Waffengeschäfte, Heise online 23.11.2018.

[22] Mangels Ernsthaftigkeit einzelner Verkaufsangebote lehnt das LG Karlsruhe eine täterschaftliche Beteiligung am BtM-Handel ab.

[23] Vertiefende Darstellung und wohlwollende Kritik: Susanne Beck, Maximilian Nussbaum, Die Beihilfe- und Fahrlässigkeitsstrafbarkeit eines DarkNet-Plattformbetreibers, HRRS 3/2020, S. 122.

[24] Christoph Lemmer, Forum im Darkweb: Prozess beleuchtet das Vorgehen eines Attentäters und die Ermittlungen, Heise online 13.11.2018. Der Betreiber betreute die Technik in seiner heimischen Wohnung.

[25] Lesenswerte Recherche: Friedhelm Greis, Die Darknet-Schaltzentrale über den Weinbergen, golem.de 14.10.2020.

[26] Kai Biermann, Karsten Polke-Majewski, Dunkle Geschäfte im Cyberbunker, Zeit online 1.10.2019.

[27] Das BKA spricht insoweit von Bulletproofhostingprovider: BKA, Cybercrime. Bundeslagebild 2019, 30.9.2020, S. 37.

[28] : BGH, Beschl. v. 27.7.2017 – 1 StR 412/16, Rn. 34.

[29] Gordon Bolduan, Digitaler Untergrund, Technology Review 4/2008, 32; kostenpflichtiger Download.

[30] Statt vieler: Frank Faber, Unter Verdacht. Eine russische Bande professionalisiert das Cybercrime-Business, c’t 11/2008, S. 92.

[31] GenStA Koblenz, Landeszentralstelle Cybercrime der Generalstaatsanwaltschaft Koblenz erhebt Anklage gegen acht Tatverdächtige im Verfahren gegen die Betreiber des „Cyberbunkers“, Presseerklärung vom 7.4.2020.

[32] Friedhelm Greis, Die Darknet-Schaltzentrale …, a.a.O.

[33] Autonomes System, technisches Netz mit mindestens zwei Verbindungsstellen zu anderen (Verbindungs-) Netzen. Die AS-Nummern werden von der Regionalverwaltung für den europäischen Internetbetrieb, der RIPE – Réseaux IP Européens Network Coordination Centre – mit Sitz in Amsterdam, vergeben, sind unverwechselbar und sichern einen ungestörten Datenverkehr zwischen den beteiligten Netzen.

[34] Hier: 185.103.72.0/22, 185.35.136.0/22 und 91.209.12.0/22; Friedhelm Greis, Immer noch Traffic zu den Cyberbunker-IPs, golem.de 29.6.2020.

[35] Kai Biermann, Karsten Polke-Majewski, Dunkle Geschäfte im Cyberbunker, Zeit online 1.10.2019.

[36] Moritz Tremmel, Als Putzfrau eingeschleuste Polizistin darf nicht aussagen, golem.de 12.2.2021. Der Gärtner konnte dann per Videoübertragung vernommen werden.

[37] Fabian Scherschel, Christian Wölbert, Aus dem Bunker in den Knast? Der Fall Cyberbunker: Anklage gegen „Rechenzentrum für illegale Zwecke“, c’t 10/2020, S. 44.

[38] Ebenda.

[39] Moritz Tremmel, Cyberbunker vermietete Server an Rechtsextreme, golem.de 15.5.2020.

[40] Oliver Bünte, Wall Street Market: BKA und FBI heben illegalen Darknet-Marktplatz aus, Heise online 3.5.2019.

[41] GenStA Koblenz, Landeszentralstelle Cybercrime der Generalstaatsanwaltschaft Koblenz erhebt Anklage …, a.a.O.

[42] BGH, Beschl. v. 19.4.2011 – 3 StR 230/10, Rn. 4 ff.; BGH, Beschl. v. 14.4.2015 – 3 StR 602/14.

[43] Fabian A. Scherschel, Großstörung bei der Telekom: Angreifer nutzen Lücke und Botnetz-Code, Heise online 29.11.2016.

[44] Statt vieler: Olivia von Westernhagen, Gefahren durch Bot-Netze, c’t 7/2017, S. 88.

[45] BGH, Beschl. v. 6.2.2013 – 1 StR 263/12; Botnetz: BGH, Beschl. v. 27.7.2017 – 1 StR 412/16, Rn. 35.

[46] Friedhelm Greis, Die Darknet-Schaltzentrale …, a.a.O.

[47] US-amerikanische Handelsvereinigung für Pharmaziemanagement.

[48] Fabian A. Scherschel, Mammutprozess an der Mosel. „Cyberbunker“: Was wusste der Hoster über die Straftaten seiner Kunden? c’t 24/2020, S. 38; Moritz Tremmel, „Bisher keine einzige legale Webseite gefunden“, golem.de 7.4.2020.

[49] Friedhem Greis, Mitarbeiter speicherten Server-Passwörter in einer Excel-Tabelle, golem.de 12.2.2021.

[50] Dieter Kochheim, Cybercrime und Strafrecht in der Informations- und Kommunikationstechnik, 2. Auf., München 2018, Rn. 784 ff.; das BKA spricht insoweit von „Loadern“ oder „Dropper“: BKA, Cybercrime. Bundeslagebild 2019, 30.9.2020, S. 16.

[51] Jürgen Schmidt, Die Methoden der Cyberkriminellen, in: c’t Security, Vom Darknet lernen, S. 24, 25.

[52] Thomas Hungenberg, Emotet, Trickbot, Ruyk – ein explosiver Malware-Cocktail, Heise online, 6.11.2019; Jürgen Schmidt, Cybercrime: Erpressung auf neuem Niveau, Heise online 17.8.2020.

[53] BKA, Cybercrime. Bundeslagebild 2019, 30.9.2020, S. 16.

[54] Global Energy Cyberattacks: „Night Dragon“, McAfee Labs 10.2.2011.

[55] Dimitri Alperovitsch, Revealed: Operation Shady Rat, McAfee 5.8.2011.

[56] Dave Marcus, Ryan Sherstobitoff, Dissecting Operation High Roller, Mc Afee 26.6.2012.

[57] Dennis Schirrmacher, Jürgen Schmidt, Dynamit-Phishing abwehren, in: c’t Security, Vom Darknet lernen, S. 28; Peter Siering, Leichte Beute. Wie sich Emotet durch Windows frisst, c’t 6/2020, S. 18.

[58] BGH, Beschl. v. 27.7.2017 – 1 StR 412/16, Rn. 27.

[59] Es dürfte sich auch um eine Computersabotage handeln: Dieter Kochheim, Cybercrime und Strafrecht …, a.a.O., Rn. 675 ff.

[60] Olivia von Westernhagen, Einbruch mit Komfort. Exploit-Kits als Basis moderner Cybercrime, c’t 18/2015, S. 87.

[61] Weitere Einzelheiten: Dieter Kochheim, Cybercrime und Strafrecht …, a.a.O., Rn. 463 ff.

[62] BGH, Beschl. v. 29.4.2008 – 4 StR 125/08.

[63] Dieter Kochheim, Cybercrime und Strafrecht …, a.a.O., Rn. 1687 ff.

[64] Jürgen Schmidt, Trojaner-Befall: Emotet bei Heise, c’t 13/2019, S. 36.

[65] Wilhelm Drehling, Trojaner gefangen. Ermittlern gelingt Schlag gegen Emotet-Infrastruktur, c’t 5/2021, S. 44.

[66] GenStA Frankfurt am Main, Infrastruktur der Emotet-Schadsoftware zerschlagen, Presserklärung vom 27.1.2021.

[67] Jürgen Schmidt, Emotet nach Gegenschlag: Was passiert mit den Opfern?, Heise online 28.1.2021.