Seit dem letzen Jahr hat sich die rechtliche Lage in Deutschland im Bezug auf die Nutzung von Malware geändert. Daher habe ich mich entschlossen einige allgemeine Informationen in einem Thread zusammenzufassen. Dies stellt jedoch keine Rechtsberatung dar. Es soll nur der allgemeinen Information dienen. Ist man selbst von einem ähnlichen Problem betroffen, sollte man unverzüglich einen Rechtsanwalt oder besser einen Fachanwalt für IT Recht um Rat fragen.
Die Informationen sind ein grober Abriss über die aktuelle Situation, die ich im Laufe der kommenden Tage noch erweitern werde.

Für diejenigen, denen der Text zu lang ist:

Ist der Besitz von Trojaner (Malware im allgeneinen) verboten? Ja
Ist der Versuch einen Trojaner/Stealer zu programmieren strafbar? Ja
Ist das in Umlauf bringen, zum Download anbieten strafbar ?Ja
Kann eine Anzeige zurückgenommen werden? Nein
Ich bin noch keine 14 Jahre alt. Kann mir oder meinen Eltern aus strafrechtlicher Sicht etwas passieren ? Nein
Ich bin noch keine 14 Jahre alt. Kann mir oder meinen Eltern aus zivilrechtlicher Sicht etwas passieren ? Ja



Alle Paragraphen ohne Angabe sind jene des StGBs.

Am 11. August 2007 ist der §202c in Kraft getreten. Dieser Paragraph soll die Strafrechtsbestimmungen für Computerkriminalität erweitern. Beim Ausspähen von Daten (§202a) kommt es nun nicht mehr auf den Erfolg an. Es ist also egal, ob man tatsächlich Daten erlangt oder ob der Trojaner bereits vor der Installation entdeckt wurde.

Ebenfalls neu hinzugekommen ist der §202b Abfangen von Daten (Phishing) und der §303b ist erweitert worden.

Unter den §202c kann fallen:
- Das sich oder einem Anderen beschaffen…
- Das Erstellung…
- Die Anpassung…
- Die Verwendung …
…von Malware (Viren, Trojaner, Stealer, Würmer Exploits etc.) bzw. von jeder Software deren Zweck die Begehung einer Straftat nach §§202a, 202b, 303a, 303b ist.
Fraglich ist, ob der Crypter ebenfalls davon betroffen ist. Mir ist auch noch nicht bekannt, dass es ein Urteil gab, dass sich mit dieser Frage beschäftigt hat. In der Rechtsdogmatischen Einordnung gilt der §202c jedoch als selbstständiges Vorbereitungsdelikt. Der Tatbestand ist bereits dann erfüllt, wenn der Täter in der Absicht eine Computerstraftat zu begehen, die entsprechenden Mittel herstellt oder beschafft. Daher glaube ich, dass der Crypter ebenfalls unter den §202c fällt.

„Verschaffen“ meint jede Art der Beschaffung, ob als Download, als E-Mail, in Form eines Datenträgers oder auf anderer Weise. Es kommt auch nicht auf eine Bezahlung an. Auch kostenlose Software ist hierüber erfasst.

Beim zum Download stellen reicht es aus, wenn der Täter damit rechnet kann und billigend in Kauf nimmt, dass sich andere das Programm herunterladen, um eine Straftat zu begehen.

Gesetzeslücken? Unter welchen Bedingungen ist die Herstellung/ Besitz straffrei ?

Der §202c ist ein abstraktes Gefährdungsdelikt das keinen speziellen Rechtsgutträger schützt. Folglich kann auch eine Einwilligung nicht in Betracht kommen.
Möglich ist allerdings eine Einwilligung zum §202a (Ausspähen von Daten). Liegt also von einem Freund eine Einwilligung vor, den eigenen Computer zu Testzwecken anzugreifen, so entfällt folglich auch die Strafbarkeit der Vorbereitung. Der Besitz von Malware könnte somit straffrei sein.

Das Ausspähen von Daten gem. §202a ist ein Antragsdelikt. Ohne den Willen des Verletzten kann die Staatsanwaltschaft überhaupt nicht tätig werden. War es also vor dem 11.08.2007 so, dass der Geschädigte einen Antrag zur Strafverfolgung stellen musste, so kann jetzt jeder Dritte (Provider, eingeweihter Freund) Strafanzeige stellen, da der neue §202c als Offizialdelikt von Amtswegen zu verfolgen ist.

Dies bedeutet auch, dass es nicht mehr die Möglichkeit gibt, dass der Geschädigte (z.B. nach Entschuldigung) die Anzeige zurückziehen kann.

Auch die Straftaten der Datenveränderung (§303a StGB) und Computersabotage nach §303b können in Ausnahmefällen angenommen werden. Die Implementierung des Trojaners erfolgt zwar nicht durch den Hacker sondern durch den Nutzer und stellt somit auch keine Datenveränderung da. Werden aber durch den Trojaner Daten des Geschädigten gelöscht bzw. kommt es zu einem Systemschaden durch einen fehlerhaft programmierten Trojaner sind auch diese Tatvorwürfe möglich.

Weiterhin wird sofort bei Verdacht die Computeranlage zu Beweißsicherung eingezogen und danach wahrscheinlich als Tatmittel auch einbehalten.

Neben den Strafrechtlichen Konsequenzen haben die Geschädigten die Möglichkeit zivilrechtlich weitere Ansprüche (z.B. Schadensersatz) geltend zu machen.

Gesetze:

§202a Ausspähen von Daten http://www.gesetze-im-internet.de/stgb/__202a.html
§202b Abfangen von Daten http://www.gesetze-im-internet.de/stgb/__202b.html
§202c Vorbereiten des Ausspähen und Abfangens von Daten http://www.gesetze-im-internet.de/stgb/__202c.html
§303a Datenveränderung http://www.gesetze-im-internet.de/stgb/__303a.html
§303b Computersabotage http://www.gesetze-im-internet.de/stgb/__303b.html