Das Jahr 2010 begann so lausig kalt wie das neue Jahr 2011! Seinerzeit habe ich Ihnen ein spannendes Jahr 2010 versprochen. So ist es auch gekommen!

Stuxnet (1) und die wechselseitigen Angriffe im Zusammenhang mit WikiLeaks (2) kennzeichnen den Übergang von der Cybercrime zum Cyberwar (3).

Mit moderner Malware lassen sich reale Prozesse steuern und manipulieren, wenn sie in das Internet verlegt wurden und vom Betreiber her über eine Schnittstelle zur normalen Welt verfügen. Beispiele dafür sind das Homebanking und die Portale für Warengeschäfte (4). Dasselbe gilt für Hacker, die zum Beispiel die Klimaanlage eines Kühlhauses verstellen. Stuxnet geht jedoch mehrere Schritte weiter. Dieser Wurm verbreitet sich unabhängig vom Internet durch Datenträger, verfügt über mehrere Angriffswerkzeuge gegen bisher unbekannte Schwachstellen und manipuliert gezielt die Steuerungen von Industrieanlagen. Das ist eine neue Angriffsqualität, die sich deutlich von der virtuellen Crimeware abhebt, die bislang bekannt war.

WikiLeaks hat sich nicht nur einen Namen damit gemacht, dass diese Whistleblower-Plattform Schlag auf Schlag geheime Dokumente aus dem Afghanistan- und dem Irak-Krieg sowie zuletzt diplomatische Depeschen der USA veröffentlicht hat. Bedeutender sind die Reaktionen darauf, Kontensperren und wechselseitige Angriffe von Unterstützern. Darin zeigt sich das, was vor allem vorausgesagt hat: Die Grenze zwischen Internetkriminalität und Internetkrieg verschwimmt ... immer mehr (5), der Hacktivismus nimmt zu und eskaliert immer stärker zum Cyberwar, in dem die Grenzen zwischen den Akteuren und ihren Zielen immer weiter verschwimmen.

2010 war das Jahr, als der Cyberwar begann!
 

 
Der Cyberfahnder setzte sich zunächst mit den Erscheinungsformen der Cybercrime auseinander und seit 2008 auch mit ihren arbeitsteiligen Strukturen (6). Dabei schritt die Entwicklung der kriminellen Formen rasant voran. Als ich mich 2006/2007 erstmals mit dem Phishing befasste, ging es noch um breit gestreute und häufig schlecht gemachte Phishing-Mails mit durchsichtigen Absichten. Zunächst lernten die Täter Deutsch (7) und dann kamen die Homebanking-Trojaner, die sich unbemerkt in das Onlinebanking hacken (8).

Mit Blick auf den Cyberfahnder war 2010 das Jahr der Arbeitspapiere und Aufsätze im PDF-Format (9), in denen ich die wesentlichen Erkenntnisse aus der Arbeit am Cyberfahnder zusammen gefasst habe. Das gilt nicht nur für das Skimming.

Im Mai 2010 wurde das Arbeitspapier Cybercrime veröffentlicht (10). Es fasst die einzelnen Beiträge aus dem Cyberfahnder über die Schwachstellen und Angriffspunkte (11), Botnetze, Malware, das Social Engineering und schließlich über die Schurkenprovider, die Organisationsstrukturen der Cybercrime sowie der Underground Economy zusammen, die zuletzt von eindrucksvoll beschrieben worden waren (12).

Für das Arbeitspapier wurden alle Beiträge überarbeitet und einzelne neu verfasst, zum Beispiel über den Identitätsdiebstahl. Sie bilden einen Bogen, der bei den technischen Fragen beginnt, über die Erscheinungsformen der Cybercrime und das Social Engineering bis zur Underground Economy reicht. Es ist eine Bestandsaufnahme aus 3 Jahren Cyberfahnder.
 

 
Kurz nach der Erstveröffentlichung des Arbeitspapiers meldete sich erneut mit den jüngsten Erfahrungen aus der Schattenwirtschaft der Hackerboards (13).

Wie erwartet war die Cybercrime 2009 angestiegen (14) und wurden 2010 dramatische Schadenssummen durch Phishing und Skimming bekannt: Rund 50 Mio. € in 2009 (15). Allein die Zahlen beim Skimming waren von 2008 auf 2009 von 10.000 Points of Compromises - PoC - auf 17.000 gestiegen. Die Entwicklung hält an (16).

Über die Geldwäsche in der Underground Economy berichtete schließlich auch der Jahresbericht 2009 zur Finanzkriminalität in Deutschland von BKA und BaFin (17).

Die wichtigsten und meisten Impulse zur Analyse der Cybercrime und ihrer Strukturen habe ich von bekommen (18). Nach der Umstellung auf ein neues Content Management System wurden die Standorte (URL) aller Arbeitspapiere verändert und sind ganz überwiegend nicht mehr verfügbar. Ein Drama und der .

Die qualitativ wichtigste Auseinandersetzung mit der Cybercrime stammt von François Paget, dem Leiter der französischen McAfee Labs (19). Seine umfassende und materialreiche Auseinandersetzung mit dem Hacktivismus, der Cybercrime und ihrer mafiösen Durchdringung haben mich dazu veranlasst, das englische Original in deutscher Sprache und mit anderen Schwerpunkten nachzuerzählen (20).
 

 
 Im Cybercrime-Papier führe ich ihre Erscheinungsformen zusammen und kombiniere sie mit dem Modell von McAfee (21), woher auch der Begriff "Organisierte Internetverbrecher" stammt. Die Grundlagen dafür hatte ich im Basar für tatgeneigte Täter (11.04.2010) entwickelt und dieser Aufsatz wäre ohne die Impulse von nicht entstanden (22). Hinzu gekommen sind auch berufliche Erfahrungen (23).

Daraus entstand in mir eine Vorstellung davon, wie Schurkenprovider, Koordinatoren, Operation Groups, Malwareschreiber, Botnetzbetreiber und andere Akteure zusammenwirken, die sich durch die Auseinandersetzung mit Paget und anderen Veröffentlichungen bestätigt hat (24).

Was noch fehlte, um das Stufenmodell (25) zu entwickeln, war die perspektivische Auseinandersetzung mit den technischen Manipulationsmöglichkeiten im Internet, zum Beispiel anhand der Schwächen der Routing-Protokolle (26).

 Der hindernde Knoten im Kopf platzte im Juni im Urlaub auf Kreta, wo ich binnen weniger Tage - ohne Zugriff auf das Internet und ohne Zugang zu anderem Material, einfach aus dem Kopf heraus - mit Füller auf Papier die Rohfassung des Arbeitspapiers Netzkommunikation schrieb. Es ist schon beachtlich, welche Informationsfülle man manchmal mit sich im Kopf trägt. Den 29-seitigen Text habe ich anschließend abgetippt, wegen seiner Fakten überprüft und mit 244 Fußnoten versehen. Sicher: Es gab ein paar faktische Fehler und Ungenauigkeiten, die schnell beseitigt waren. Das Konzept und die leitende Aussage stimmten und blieben (27): Am Ende kommt der Cyberwar (28).

 Das Arbeitspapier widmet sich der Technik und den Protokollen der Telekommunikation und des Internets, der Verschlüsselung und schließlich den Methoden der Verschleierung und der Destruktion.
 

 
 Zwei Erkenntnisse sind wesentlich:

Das Personal, auf das die Organisierte Cybercrime zurück greift, ist weitgehend dasselbe, das auch für den Cyberwar heran gezogen wird. Das sind die erfahrenen Hacker, Malwareschreiber und Botnetzbetreiber.

Außerdem komme ich zu einer Zweiteilung des Cyberwars. Seine kalte Phase läuft bereits. Sie gilt dem Ausloten von Möglichkeiten und der Erkundung der Schwächen und Stärken von Gegnern. In seiner heißen Phase geht es den Cyber-Kriegern dann um die Vernichtung gegnerischer Infrastrukturen. In ihr werden die Methoden der Cybercrime, des Hacktivismus, des Militärs und des Terrorismus miteinander verwoben.

Das wird kein Spaß, sondern ein existenzieller Kampf ums Überleben.
 

 
Die Aufbereitung des Paget-Textes war mühselig und spannend zugleich (29). Er lieferte jedoch genau das Faktenmaterial, das mir bislang gefehlt hatte - in Hülle und Fülle. Seine Herangehens- und Darstellungsweise folgt einer eigenen Vorstellung und Systematik. Deshalb habe ich das Material in eine zeitliche Folge gebracht und neu zusammen gestellt. Dabei herausgekommen ist im November 2010 die kurze Geschichte der Cybercrime (30).

In ihr habe ich lexikalische Fakten zur Telekommunikation und zum Internet, zur Informationstechnik und zur Wirtschaft zeitlich sortiert und neben die Eckdaten der Cybercrime gestellt. Die Ergebnisse sind wenig überraschend, aber plastisch: Die technischen Wurzeln reichen durch die Industrialisierung hindurch, zunächst entstanden die akademische Hackerkultur und der Telefondienstemissbrauch (Phreaking), erst vor 25 Jahren nennenswerte Formen der Cybercrime (KGB-Hack) und seit 2000 entwickelte sie sich explosionsartig und zugleich in geschäftsmäßigen, organisierten und mafiösen Strukturen.

Die wesentlichen Ergebnisse ergeben sich aus der Folienpräsentation: Kochheim, Cybercrime und Cyberwar, 17.11.2010.
 

 
  Ich wusste nichts von Stuxnet, als ich Cybercrime und Cyberwar miteinander verwob. Paget wusste von dem DDoS-Angriff gegen Estland (31) und Defacement-Angriffen aus China, der Türkei und im Palästina-Krieg (32), nichts aber von den Kämpfen im Zusammenhang mit WikiLeaks. Wenn unsere Positionen Visionen waren, so werden sie von den jüngeren Erfahrungen und Fakten bestens bestätigt.

Feinsinnige Prognosen erübrigen sich deshalb. Der Cyberwar wird voranschreiten und die Anstrengungen, ihm zu begegnen, wirken halbherzig und harmlos. Dank Stuxnet entwickelt sich allmählich ein Problembewusstsein, das jedoch eher Achtung vor dem zerstörerischen Potenzial als Einsicht in notwendige Abwehrmaßnahmen erkennen lässt.

Wir werden es früh genug erfahren, wohin die Entwicklung läuft. Freundlich wird sie nicht.
 

 
Die wichtigste Gerichtsentscheidung in 2010 ist das Urteil des Bundesverfassungsgerichts vom 02.03.2010 über die Vorratsdatenspeicherung gewesen (33). Sie ist eines der ungeliebten Kinder aus der alten Regierungskoalition und wurde entsprechend behandelt (34). Die neue Bundesjustizministerin hat keine Gelegenheit ausgelassen, gegen sie zu reden (35) und ist sich jedenfalls treu geblieben (36).

Im Vorfeld hatte das BVerfG erstmals am 11.03.2008 durch eine Einstweilige Anordnung die Auskunftspflichten der Zugangsprovider suspendiert und auf besonders schwere Straftaten nach Maßgabe des Straftatenkatalogs in § 100a Abs. 2 StPO beschränkt (37). Es folgten mehrere Folgeanordnungen dieser Art und völlig unsystematische Sondererhebungen zur Vollzugspraxis.

Es lohnt sich immer wieder darauf zu schauen, was das BVerfG im März 2010 tatsächlich entschieden hat. Aufgehoben hat es den § 113a TKG, das ist die Vorschrift, die die Zugangsprovider zur sechs Monate langen Speicherung der im einzelnen definierten Verkehrsdaten verpflichtete. Gleichzeitig wurde § 113b TKG aufgehoben. Diese Vorschrift ermächtigte die Zugangsprovider zur Auskunft über Vorratsdaten an die Strafverfolgungsbehörden, die Polizei zur Gefahrenabwehr und an die Nachrichtendienste.

Nicht aufgehoben wurde § 96 TKG, der vorübergehend die Speicherung von Verkehrsdaten aus anderen Gründen zulässt. Über diese Daten müssen die Zugangsprovider nach wie vor Auskunft erteilen ( § 113 TKG).
 

 
Die strafverfahrensrechtliche Eingriffsnorm des § 100g StPO blieb vom BVerfG unangetastet. Sie läuft zwar jetzt leer, was ihren Verweis auf § 113a TKG anbelangt. Die gespeicherten Verkehrsdaten nach § 96 TKG können damit noch immer erhoben werden, wenn sie noch zur Verfügung stehen, und die "Erhebung von Standortdaten in Echtzeit" lässt § 100g Abs. 1 S. 3 StPO weiterhin zu. In anderen Worten: Das ist die vom Gesetzgeber längst eingeführte (liberale) Wunderwaffe des " Quick Freeze".

Auch im übrigen lohnt sich ein Blick in das Urteil des BVerfG. Es unterscheidet nämlich zu Recht zwischen den Erhebungs- und den Verwertungsregeln für Vorratsdaten.

Vorratsdaten sind Verkehrsdaten, die über die technischen und kaufmännischen Anforderungen hinaus, die § 96 TKG anführt, zeitweilig gespeichert werden müssen (38).

Das BVerfG sieht die Erhebung von Vorratsdaten dann für zulässig an <Leitsatz 1>, wenn sie von Regelungen hinsichtlich der Datensicherheit, der Datenverwendung, der Transparenz und des Rechtsschutzes begleitet werden <Leitsatz 2>. Das gilt ausdrücklich auch für die Speicherdauer von 6 Monaten. Das bedeutet: Von Verfassungs wegen bestehen keine ausschließenden Gründe gegen die Vorratsdatenspeicherung. Der Gesetzgeber ist danach zu Regelungen wie im alten § 113a TKG berechtigt.

Wegen der Verwertung der Verkehrsdaten unterscheidet das BVerfG - ebenfalls zu Recht - zwischen ihrem unmittelbaren und ihrem mittelbaren Gebrauch.
 

 
Die mittelbare Verwertung von Verkehrsdaten wird seit Jahren im Zusammenhang mit den dynamischen IP-Adressen diskutiert. Dabei geht es um die Abfrage von Bestandsdaten und folgendes Problem: Im Zusammenhang mit der Netzkommunikation (vor allem im Internet) ist der Partner nur mit der Kennung identifizierbar, die ihm sein Zugangsprovider vorübergehend zugewiesen hat. Der Provider muss auf die Verkehrsdaten zurück greifen, um darüber Auskunft zu geben, welchem seiner Kunden er zu einem bestimmten Zeitpunkt die betreffende Kennung zugewiesen hat.

Diese Form der mittelbaren Verwendung von Verkehrsdaten sieht das BVerfG uneingeschränkt für alle Straftaten als zulässig an, die der Strafverfolgung unterliegen <Leitsatz 6>. Dasselbe gilt für die polizeiliche Gefahrenabwehr und die Nachrichtendienste. Nur für die Verfolgung von Ordnungswidrigkeiten verlangt das BVerfG klare Regeln des Gesetzgebers, wegen welcher Handlungen er die mittelbare Verwertung zulassen will.

Wegen der unmittelbaren Verwertung von Verkehrsdaten verlangt das BVerfG eine Beschränkung auf den begründeten Verdacht einer schweren Straftaten und in Bezug auf Ordnungswidrigkeiten und die Nachrichtendienste begründete erhebliche Gefahren für Personen, Sachen oder den Bestand der verfassungsmäßigen Ordnung <Leitsatz 5>.

Die unmittelbare Verwertung von Vorratsdaten setzt immer eine überschießende Erhebung voraus. Damit sind vor allem drei Anwendungsfälle gemeint:
 

 
 Von mehreren Verdächtigen werden die Verkehrsdaten darauf untersucht, wann sie mit bekannten oder noch nicht bekannten Teilnehmern und Anschlüssen kommuniziert haben. Damit lässt sich ein Verdacht vertiefen oder auch ausschließen.

 Die Verkehrsdaten eines bekannten Tatzeitpunktes werden anhand der Funkzelle des Tatortes ausgewertet. Durch den Vergleich verschiedener Taten kann erkannt werden, ob sich dieselben Endgeräte in den betreffenden Funkzellen befunden haben. Das macht das BKA zum Beispiel mit den Funkzellendaten zu unaufgeklärten Skimming-Taten.

 Zu einem bekannten Anschluss ( Mobilfunk) werden die Geodaten daraufhin ausgewertet, ob sich das betreffende Endgerät am Tatort befunden hat. Das ist zum Beispiel wegen schwererer Serientaten sinnvoll.

Die Anwendungsfälle zeigen die besondere Tiefe von Grundrechtseingriffen, die mit den unmittelbaren Zugriffen auf Verkehrsdaten verbunden sind. Diese will das BVerfG auf schwere Straftaten beschränkt wissen und wer kann das ernsthaft verdenken?

Schwere Straftaten beschränken sich nicht auf den Straftatenkatalog in § 100a Abs. 2 StPO und können noch weitere Fallgruppen erfassen. Das muss diskutiert werden zum Beispiel im Hinblick auf den Wohnungseinbruchsdiebstahl ( § 244 Abs. 1 Nr. 3 StGB) und die im Gesetz nicht vorgesehenen Zuhälterbanden.
 

 
Im Zuge einer Neuregelung nicht zulässig ist die noch geltende Fassung von § 100g Abs. 1 S. 1 Nr. 2 StPO. Danach darf unmittelbar und schrankenlos auf die Vorratsdaten zugegriffen werden, wenn es sich um die Aufklärung einer Straftat mittels Telekommunikation handelt. Für sie verlangt das BVerfG ebenfalls eine Beschränkung auf mindestens schwere Straftaten.

§ 100g StPO regelt ausschließlich den unmittelbaren und überschießenden Zugriff auf alle Verkehrsdaten. Die Bestandsdatenabfrage und damit die nur mittelbare Nutzung von Vorratsdaten erfolgt hingegen im Manuellen Auskunftsverfahren nach § 113 TKG. Wenn sie gewährleistet ist, dann kann die Strafverfolgung mit den Grenzen der unmittelbaren Nutzung gut leben.

Den gegenwärtigen Zustand hat, ungewöhnlich unspektakulär, das BKA mit Zahlen untermauert (39). Danach konnten auch bei unverzüglichen Abfragen ganz überwiegend keine Auskünfte anhand von mittelbaren Zugriffen erlangt werden, so dass etwa 56 % der Straftaten unaufgeklärt blieben. Diese Zahl muss alarmieren, weil sie eine Kapitulation der Strafverfolgung in Bezug auf alle Straftaten birgt, die nur anhand von (mittelbaren) Bestandsdatenabfragen aufgeklärt werden könnten. Das betrifft ganz besonders die lästige Alltagskriminalität im Internet mit den bekannten Betrügereien, Beleidigungen und Nachstellungen. Im gegenwärtigen Gesetzeszustand ist die vom BVerfG geforderte, funktionstüchtige Strafrechtspflege nicht mehr gewährleistet (40).

Das BKA und vor allem sein Direktor nimmt jede unpassende Gelegenheit wahr, um die Vorratsdatenspeicherung zu fordern. Damit gibt er sich und die notwendige Sache als solche tendenziell der Lächerlichkeit preis. Die Gefahr besteht nicht für die exotischen und schweren Kriminalitätsformen, die mit den Instrumenten des § 100a StPO bekämpft werden können, sondern für die Alltagskriminalität, die ohne die eingriffsschwache Bestandsdatenabfrage bereits ausgeufert sein dürfte.
 

 
Quick Freeze ist dafür keine Alternative. Es wird vom Gesetz längst vorgesehen und eignet sich nur zur Aufklärung solcher Straftaten, die von der Polizei oder anderen (41) bereits beobachtet werden.

In der politischen Diskussion fehlt der klare Blick auf die drei grundrechtsrelevanten Aspekte der Vorratsdaten:

Ihre vorübergehende Speicherung als solche, die das BVerfG als zulässig ansieht.

Ihre unmittelbare und damit überschießende Verwendung, die nur in Bezug auf schwere Straftaten zulässig ist.

Diese Aspekte gilt es hervorzuheben und die bislang fehlenden Regeln zur Datensicherheit, der Datenverwendung, der Transparenz und des Rechtsschutzes zu schaffen!

Noch offen ist Frage nach der Verwertbarkeit der Vorratsdaten, die vor dem 02.03.2010 nach Maßgabe der vorläufigen Regelungen des BVerfG zulässig erhoben wurden. Ich habe mich dazu positioniert und halte die Verwertung für zulässig (42). Mindestens zwei Verfahren sind beim BGH anhängig, die diese Frage betreffen und die auf eine Entscheidung warten (43).
 

 
Das Thema hat 2010 keine Rolle gespielt, so dass noch immer auf meine Stellungnahme aus 2008 hinzuweisen ist: Bundesverfassungsgericht: Onlinedurchsuchung, 05.04.2008.

Die Neufassung des BKA-Gesetzes ist am 01.01.2009 in Kraft getreten. Dort ist in § 20k BKAG die Onlinedurchsuchung vorgesehen und wird "Verdeckter Eingriff in informationstechnische Systeme" genannt. Ich stehe dieser Regelung kritisch gegenüber, weil keine schwellengleiche Regelung in die StPO eingebracht wurde. Auch sie ist am Widerstand der FDP gescheitert. Von der unvermeidlichen Verfassungsbeschwerde gegen das BKAG hat man seither nichts mehr gehört.

Rein vorsorglich sei angemerkt, dass die Quellen-TKÜ ("Skype") weiterhin nach § 100a StPO zulässig ist und nur die Durchsicht gespeicherter Dateien und die Protokollierung anderer Aktivitäten am PC, die nicht der Kommunikation dienen, Anwendungsfälle der Onlinedurchsuchung sind. Das BVerfG schweigt noch zu dem Thema.
 

 
 Das Thema Beschlagnahme von E-Mails ist seit 2009 sozusagen "durch", nachdem sich BGH und BVerfG geäußert haben und ein gestuftes Verfahren verlangen.

Ende 2009 hat sich der BGH nochmals zu dem Thema geäußert (44) und darauf hingewiesen, dass der Postfachinhaber unverzüglich und zwingend auf die Sicherstellung hingewiesen werden muss. Das ist eine unausgegorene und unüberlegte Entscheidung.

§ 33 Abs. 4 StPO lässt grundsätzlich Ermittlungshandlungen ohne rechtliches Gehör und ohne nachgeholte Mitteilungen zu, wenn der Ermittlungserfolg dadurch gefährdet würde. Diese Vorschrift betrachtet der BGH jedoch nicht und verweist nur auf § 101 StPO, der zwar Regeln für die Zurückstellung von Mitteilungen enthält, die jedoch nicht einschlägig seien. Das ist der nächste Fehler. Weil die Beschlagnahme von E-Mails nur nach Maßgabe von § 99 StPO (Postbeschlagnahme) möglich ist, greifen auch insoweit die Mitteilungspflichten aus § 101 StPO. Das macht das ganze Verfahren zwar nicht einfacher, kostet aber nichts. So sehen das jedenfalls die Leute, die das lustige Treiben vom Hubschrauber aus betrachten (45).
 

 
Das Skimming hat seine Bedeutung als kriminelle Erscheinungsform weiter ausgebaut (46) und die Berichterstattung darüber dauert bis heute an (47).

Der BGH hat die Grundzüge der Strafbarkeit beim Skimming geklärt. Es fehlen noch einzelne Details, etwa die klare Antwort auf die Frage, ob Kartenlesegeräte (Skimmer) Computerprogramme oder ähnliche Vorrichtungen im Sinne von § 149 Abs. 1 Nr. 1 StGB sind. Das behauptet der Generalbundesanwalt immer wieder und der BGH winkt die Frage immer wieder kommentarlos durch (48). Daran hat sich nichts geändert.

Es gibt keine Vorschrift, die das Skimming als Ausspähen von Daten (im Sinne von § 202a StGB) unter Strafe stellt. Die Anwendung dieser Vorschrift verneint der BGH jetzt ausdrücklich (49).

Es gibt mehrere Tatphasen, die beim Skimming betrachtet und unterschieden werden müssen:

1.	Vorbereitungsstadium: Verabredung zu einem Verbrechen ( § 30 Abs. 2 StGB), Beschaffung und Umgang mit den Ausspähgeräten (nur Skimmer: § 149 Abs. 1 Nr. 1 StGB), Ausbaldowern der Tatorte.
2.	Skimming im engeren Sinne: Ausspähen der Magnetstreifendaten und PIN von Bankkunden (immer noch Vorbereitungsstadium: §§ 30 Abs. 2, 149 Abs. 1 Nr. 1 StGB).
3.	Fälschung von Zahlungskarten mit Garantiefunktion ( § 152b StGB)
4.	Cashing: Gebrauch gefälschter Zahlungskarten mit Garantiefunktion ( § 152b StGB) in Tateinheit mit Computerbetrug ( § 263a StGB) (50).

In das Zentrum der Strafbarkeit hat der Gesetzgeber die Nummer 3. gesetzt und die Fälschung von Zahlungskarten dem Fälschen von Geld und Wertpapieren gleichgestellt.
 

 
Das strafbare Umfeld wird im Vorbereitungsstadium (51) einerseits von § 149 StGB bestimmt, der den Umgang mit Vorrichtungen unter Strafe stellt, die zur Vorbereitung einer Fälschung dienen. Das gilt jedenfalls für die Kartenlesegeräte (Skimmer), mit denen die Daten vom Magnetstreifen ausgelesen werden, nicht jedoch für Kameras und Tastatur-Attrappen zum Abgreifen der PIN (52). Der Umgang mit dieser Hardware (Herstellen, Gewahrsam, Weitergabe) ist straflos, nicht aber der Umgang mit Computerprogrammen, die zum Computerbetrug bestimmt sind ( § 263a Abs. 3 StGB). Das trifft nur auf die individuell angepasste Steuerung für das Aufzeichnen und Speichern der Tastatureingaben zu, nicht aber für die Elektronik, die ohne Veränderungen in handelsüblichen Digitalkameras oder Handys verbaut ist (Dual Use) (53).

Andererseits greift im Vorbereitungsstadium die besondere Vorschrift über die Beteiligung an Verbrechen ( § 30 StGB) (54), die bereits die Verabredung, Anstiftung und Bereitschaft zu schweren Straftaten unter Strafe stellt. An der Verbrechensabrede können sich jedoch nur Täter beteiligen, nicht auch Gehilfen (55).

Das hat erhebliche Konsequenzen wegen arbeitsteiliger Tätergruppen: Arbeiten sie nach einem gemeinsamen Tatplan mit festen Zuständigkeit für das Skimming (Ausspähen) und das Cashing, dann sind den Ausspähern die Tathandlungen ihrer "Nachtäter" zuzurechnen und somit auch die Vollendung der Fälschungs- und Betrugstaten. In diesen Fällen können sie alle eine Verbrechensabrede treffen oder ihr beitreten.

Anders sieht es aus, wenn die Ausspäher eine selbständige Operation Group bilden, die sich auf das Ausspähen konzentriert und ihre Daten auf dem Schwarzmarkt verkauft. Ihre Beteiligten begehen Beihilfe zu den Fälschungstaten der Nachtäter und machten sich bisher nicht wegen einer Verbrechensabrede strafbar. Das könnte nach einer neueren Entscheidung des BGH anders gesehen werden.
 

 
Dadurch, dass das Fälschungsdelikt erst durch das Fälschen einer Zahlungskarte vollendet wird ( § 152b StGB), ist das Ausspähen im Zusammenhang mit dem Skimming zunächst noch im Vorbereitungsstadium angesiedelt und keiner namentlichen Strafnorm unterworfen. Nur § 149 StGB, der den Umgang mit Kartenlesegeräten überhaupt betrifft, greift auch beim Ausspähen.

Bezogen auf arbeitsteilige Tätergruppen müssen sich Mittäter und Bandenmitglieder den Taterfolg zurechnen lassen, wenn sie an maßgeblichen Vorbereitungshandlungen beteiligt sind (56). Ihre Strafbarkeit steht und fällt jedoch mit dem Erfolg ihrer "Nachtäter".

Somit verbleiben für die strafrechtliche Beurteilung des Skimmings im engeren Sinne (57):

§ 149 StGB für den Umgang mit Kartenlesegeräten,

§ 263a StGB für den Umgang mit PIN-Skimmern, wenn sie mit einer individuellen Elektronik für die Aufnahme und Speicherung von Tastureingaben ausgestattet sind, und

§ 303b Abs. 5 StGB in Verbindung mit dem „Hackerparagraphen“ (58) § 202c StGB in Bezug auf PIN-Skimmer, für die handelsübliche und nicht modifizierte Bauteile verwendet werden und mit denen mindestens zwei PIN ausgespäht wurden.

Das sind Lösungsvorschläge, zu denen es noch keine Rechtsprechung gibt.
 

 
 Zuletzt hat sich der BGH beachtlich mit dem Versuchsstadium beim Skimming auseinander gesetzt.

Die erste Äußerung erfolgte im Januar 2010 (59). Dort betont der BGH in klassischer Tradition, dass der Versuch des Fälschens von Zahlungskarten erst mit dem Ansetzen zum Fälschen beginnt ("jetzt geht es los!"). In diesem Fall gehörte das Beschaffen von bedruckten Rohlingen ohne Individualmerkmale (Name, Kontonummer, Prüfziffer) noch nicht zum Vorgang des Fälschens selber. Soweit die Täter sich auch Hologramme (Sicherheitsmerkmal für Zahlungskarten) verschafft und verwendet hatten, sieht der BGH eine Strafbarkeit nach § 149 Abs. 1 Nr. 3 StGB (60).

Das hat der BGH im September 2010 präzisiert (61), indem er zwar das Ausspähen für sich im Vorbereitungsstadium belässt, aber den Versuchsbeginn auf den Zeitpunkt setzt, wenn die Späher ihre Daten an ihre Hinterleute weiter geben. Das muss in der Erwartung geschehen, dass die Hinterleute unmittelbar mit der Anfertigung von Dubletten beginnen werden, ohne dass die Späher auf die Tatvollendung noch irgendeinen Einfluss haben.

Sozusagen im vorauseilendem Gehorsam hatte ich schon im Sommer 2010 die strengere Auslegung zum Versuchsbeginn übernommen (62).

Die weitere Entwicklung der Rechtsprechung muss abgewartet werden. Dabei eröffnet die junge Entscheidung des BGH einen neuen Blick auf die Skimmingtäter beim Ausspähen selber. Sobald sie die ersten Daten an ihre Hinterleute abliefern, können sie sich schon am Versuch der Fälschung beteiligen. Damit sind sie, jedenfalls in einem arbeitsteiligen Verbund, keine Gehilfen mehr, sondern Mittäter im Versuchsstadium.
 

 
Die vom BGH skizzierte Lösung geht sehr weit, wenn man bedenkt, dass die klassische Lehre den Beginn des Versuchs beim Vollenden eines von mehreren Tatbestandsmerkmalen zulassen würde (63). Davon hat sich der BGH mit seinem Wortbild "Jetzt geht es los!" 2007 gelöst und den Beginn vorverlagert auf den Zeitpunkt, wenn der Täter nach eigener Vorstellung unmittelbar zur Tatverwirklichung schreitet. Diese Rechtsprechung hat der BGH nunmehr auf das Skimming übertragen.

Die Konsequenzen daraus müssen noch im einzelnen ausgelotet werden.

Für die Ausspäher beim Skimming im engeren Sinne bedeutet das jedenfalls, dass sie beim Übermitteln der Daten zu eigenhändigen Mittätern werden und sich nicht nur die Tatvollendung durch andere zurechnen lassen müssen. Das stärkt zudem die Strafverfolgung im Hinblick auf ihre Beteiligung an einer Verbrechensabrede.

Änderungen ergeben sich auch wegen der Beteiligten an einer selbständigen Operation Group, sobald sie die ausgespähten Daten an einen Käufer weiter geben. Damit beteiligen sie sich am Versuch der Tat des Käufers, wenn sie erwarten, dass er unmittelbar zur Fälschung von Zahlungskarten ansetzen wird.

In arbeitsteiligen Operation Groups wird es weiterhin Anwendungs- und Auslegungsschwierigkeiten geben. Wenn ihre Ausspäher die Daten an ihre Hinterleute zum Verkauf übermitteln, dann fehlt es noch an mindestens einem Handlungsschritt bis zum Fälschen. Ihre Tatbeiträge verbleiben deshalb im Vorbereitungsstadium zum Fälschen von Zahlungskarten.
 

 
Nicht mehr thematisiert oder ernsthaft angegriffen wird die Frage nach der von § 152b StGB verlangten Garantiefunktion (64). Sie wohnt allen Zahlungskarten inne, die das Autorisierungsverfahren im bargeldlosen Zahlungsverkehr durchlaufen und das unabhängig davon, ob der Missbrauch der Dublette im Onlineverfahren durchgeführt wird oder nicht (65). 2010 hat der BGH schließlich auch klargestellt, dass die Fälschung von Zahlungskarten auch für schlichte White Cards gilt, wenn auf ihren Magnetstreifen fremde Daten aufgebracht wurden: Optische Wahrnehmungsmöglichkeit und digitale Maschinenlesbarkeit müssen nicht gleichzeitig gegeben sein (66).

Die tiefen Überlegungen, die in der Rechtsprechung und dem Arbeitspapier Skimming #2 zum Ausdruck kommen, zeigen die Schwierigkeiten, die die Strafverfolgung und die Rechtsprechung mit neuen kriminellen Erscheinungsformen haben und das zumal dann, wenn sie aus dem Bereich der Cybercrime stammen (67). Obwohl das "Hackerstrafrecht" aus dem Jahr 2007 stammt, wirkt das IT-Strafrecht unbeholfen, unausgegoren und unvollständig (68). Die Querverweise sind unübersichtlich, im Zusammenhang mit dem Computerbetrug fehlt die dazu verwendete Hardware (PIN-Skimmer) und die Datenhehlerei fehlt ganz.

So langsam müsste der Gesetzgeber das Normenwerk überprüfen und an geänderte Umstände und Entwicklungen anpassen. Davon ist nichts zu hören und zu sehen (69).
 

 
Der Kalte Cyberwar mit seinen zerstörerischen Konsequenzen hat zweifellos begonnen und er wird sich weiter ausbreiten. Noch befürchte ich keine heiße Phase, weil die Anhaltspunkte für kriegerische Aktivitäten noch zu zufällig, wahllos und harmlos erscheinen.

Stuxnet kam überraschend und sein Potenzial ist atemberaubend. Genau das lässt mich befürchten, dass dieser Wurm in Variationen oder Nachfolgeversionen furchtbare Schäden anrichten könnte. Über Cyberwar-Taktiken habe ich womöglich schon zu viel gesprochen, auch wenn es dabei bei Andeutungen blieb. Und dennoch ist das nötig, um Verantwortungsträger sanft zu Entscheidungen zu tragen.

Mich beeindrucken verschiedene Folgerungen, die ich mit wenigen Fakten und analytischer Neigung entwickelt habe und die sich immer wieder bestätigt haben. Das gilt ganz sicher für meine rechtlichen Betrachtungen zum Skimming, mit denen ich zunächst ziemlich alleine gestanden bin. Wegen der Frage nach dem Versuchsbeginn habe mich anfangs sehr weit vorgewagt und bin zurück gerudert zu einem Punkt, an dem mich der BGH dann wieder überholt hat. Mehr kann man von einem Stalker auf neuem juristischen Terrain nicht verlangen.

Dasselbe gilt für meine Ideen von der Cybercrime und dem Cyberwar. In ihren groben Linien wurden sie von der Realität eingeholt und bestätigt.
 

 
Was schließe ich daraus?

Es macht nicht immer Spaß, recht zu behalten! Das habe ich mehrfach gesagt und das reicht.

Auch die Kriminellen und Krieger im Cyberspace kochen mit Wasser. Das was sie machen, lässt sich nachvollziehen, erklären und vorhersehen.

Sie leben, essen und verdauen in der realen Welt. Spätestens dort sind sie greifbar.

Wir brauchen ein kompetentes Cyberspace-Verständnis in allen gesellschaftlichen, wirtschaftlichen und politischen Gruppen. Das habe ich hinreichend angemahnt.

Cyberfahnders Ende? Ja!

Meinen Beitrag zum Verständnis virtueller Bedrohungen habe ich geleistet (70). Den von mir selber vorgegebenen Standard könnte ich halten, wenn ich wie bisher viele andere private Pflichten vernachlässige. Das geht aber nicht!

Ich brauche entweder andere Cyberfahnder, die das Projekt (mit oder ohne mir) fortführen, oder qualifizierte Leute, die mich beruflich entlasten - am besten beides. Nichts davon steht zu erwarten. Es bleibt bei der Deadline: Am 01.04.2011 wird sich der Cyberfahnder in dieser Form und wahrscheinlich ganz aus der Öffentlichkeit verabschieden!
 

 
(1)  Das Jahr der gezielten Angriffe, 20.11.2010;
Stuxnet spielt erst noch wie Nachbars Kampfhund, 16.09.2010.

(2) Das Ende virtueller (T) Räume, 09.12.2010

(3) am Ende kommt der Cyberwar, 22.08.2010;
Kriegsrecht im Internet, 14.09.2010;
vernichtender Erstschlag, 10.10.2010.

(4) Betrug mit PayPal, 12.09.2010

(5) Analysen zum Cyberwar, 11.01.2010;;
Paul B. Kurtz, Bericht zum Thema Virtuelle Kriminalität 2009. Virtueller Internetkrieg wird zur Wirklichkeit, McAfee 06.11.2009

(6) arbeitsteilige und organisierte Cybercrime, 07.08.2008

(7) McAfee, Länderberichte. Deutschland, 27.07.2008;
Toralv Dirro, Dirk Kollberg, Deutschland: Malware lernt die Sprache, McAfee Februar 2008

(8)

kommerzielles Internet und organisierte Cybercrime

Phishing mit Homebanking-Malware

(9)

Auseinandersetzungen mit der Cybercrime

Arbeitspapiere im Cyberfahnder

(10) Arbeitspapier Cybercrime, 13.05.2010;
Arbeitspapier Cybercrime, 22.08.2010

 
(11) hab ich es nicht gesagt? 27.11.2010

(12) Sicherheitsstudien von G Data und McAfee, 03.10.2009;09;
Marc-Aurél Ester, Ralf Benzmüller, G Data Whitepaper 2009. Underground Economy, 19.08.2009.

(13) neue Hacker-Boards schotten sich ab, 23.05.2010;
Marc-Aurél Ester, Ralf Benzmüller, Whitepaper 04/2010. Underground Economy - Update 04/2010, G Data 22.04.2010 

(14) Anstieg der Internetkriminalität, 23.05.2010

(15) das Schweigen der L@mmer, 12.09.2010

(16) Hackerkriege, organisierte Internetkriminelle und Schurkenprovider, 10.08.2010; siehe auch (1).

(17) Geldwäsche in der Underground Economy, 05.09.2010

(18) Publikationen zur Cybercrime, 11.04.2010. In einigen Fällen kann ich die Links retten: .

(19) Mafia, Cybercrime und verwachsene Strukturen, 2010.2010;
François Paget, Cybercrime and Hacktivism, McAfee 15.03.2010

(20) Kochheim, Cybercrime und politisch motiviertes Hacking. Über ein Whitepaper von François Paget von den McAfee Labs, 20.10.2010

(21) Organisierte Kriminalität im Internet, 05.10.2008;
Zweite große europäische Studie über das Organisierte Verbrechen und das Internet,, McAfee Dezember 2006 (ZIP-Datei)

(22) siehe (12)

(23) kommunizierende Schwärme und zugeneigte Banden, 01.07.2010

(24) Bestätigungen des Entwicklungsmodells von der Cybercrime, 21.11.2010;
mächtige Werkzeuge für die Cybercrime, 24.09.2010;
Zheng Bu, Pedro Bueno, Rahul Kashyap, Adam Wosotowsky, Das neue Zeitalter der Botnets, McAfee Labs 19.08.2010 ;
Stefan Frei, Bernhard Plattner, CyberCrime als Dienstleistung ... vom schlauen Hacker zur organisierten Kriminalität, digma 4/2008 (21.07.2009).

(25) Arbeitspapier Netzkommunikation, 22.08.2010

(26) Das gilt zum Beispiel für das Border Gateway Protocol - BGP: IP-Adressen ohne Beweiswert, 16.05.2010.

(27) Kommunikationstechnik und Cyberwar, 27.06.2010

(28) am Ende kommt der Cyberwar, 22.08.2010

(29) Mafia, Cybercrime und verwachsene Strukturen, 20.10.2010; (20).

(30) Eine kurze Geschichte der Cybercrime, 03.11.2010;
Eine kurze Geschichte der Cybercrime, 03.11.2010;
Kochheim, Eine kurze Geschichte der Cybercrime, November 2010

(31) DDoS-Angriff auf Estland, 13.07.2008

(32) Verschiedene Quellen in (30).

(33) BVerfG, Urteil vom 02.03.2010 - 1 BvR 256, 263, 586/08

(34) halbherzige Vertretung, 22.12.2009

(35) keine Panik! 25.10.2009;
Freiheit für die Bösen, 29.11.2009.

(36) Überwachungsstaat statt Strafverfolgung, 23.09.2010

(37) Verwertung von Vorratsdaten nur wegen schwerer Kriminalität, 19.03.2008;
BVerfG, Beschluss vom 11.03.2008 - 1 BvR 256/08.

(38) Auskunft der Bundesregierung über Verkehrsdaten, 15.05.2010

(39) Verkehrsdaten und das BKA, 04.12.2010

(40) kein Zwischenbescheid über Rechtsfragen, 02.05.2009;
BVerfG, Beschluss vom 18.03.2009 - 2 BvR 2025/07

(41) Trittbrettfahrer, 08.08.2010

(42) Umgang mit Verkehrsdaten, 07.03.2010;
Kochheim, Zum Umgang mit Verkehrsdaten.
Siehe auch Arbeitspapiere im Cyberfahnder.

(43) BGH-Rundschau, 26.11.2010

(44) offene Beschlagnahme von E-Mails, 27.03.2010
 

(45) Der "Blick aus der Hubschrauberperspektive" ist ein besonderer Kniff der Management-Berater, die sich und ihre Auftraggeber damit vom arbeitenden Fußvolk abheben und signalisieren: Wir müssen uns nicht um jedes Detail kümmern, sondern den Blick auf das Ganze richten. Das hat eine gewisse Berechtigung, wird aber auch gerne als Freibrief für Verantwortungslosigkeit missbraucht. Mich wundert, dass die ISS noch immer nicht überbevölkert ist und dass sie nicht von einer geostationären Ringwelt abgelöst wurde. Es gibt so viele Berater, die sich und ihre Perspektiven in 36.000 km Höhe begeben haben, so dass dort echter Platzmangel herrschen müsste.

(46) das Schweigen der L@mmer, 12.09.2010

(47) Zuletzt: Imke Hendrich, Betrug am Bankautomaten boomt wie nie, Spiegel online 29.12.2010.

(48) Vorverlagerung, 13.04.2009

(49) Ausspähen von Daten und das Skimming, 14.05.2010;
Mittäterhaftung bestätigt, 09.08.2010;
BGH, Beschluss vom 06.07.2010 - 4 StR 555/09

(50) Bestätigt von: BGH, Beschluss vom 23.06.2010 - 2 StR 243/10.

(51) strafbare Vorbereitungshandlungen, 20.06.2009

(52) Einzelheiten: Bilderbuch Skimming-Strafrecht, 26.07.2010;
Umgang mit Skimminggeräten im Vorbereitungsstadium, 26.07.2010.

(53) Diesen Schluss leite ich aus dem Beschluss des BVerfG zur Regelungsweite des Hackerparagraphen ab: Klarstellungen zum Hackerstrafrecht, 20.06.2009;
Spionage-Krabbeler, 20.10.2009;
BVerfG, Beschluss vom 18.05.2009 - 2 BvR 2233/07, 1151/08, 1524/08.

(54) Verbrechensabrede beim Skimming, 06.02.2010
  

(55) Verbrecher muss Mittäter sein, 25.04.2009;
BGH, Urteil vom 04.02.2009 - 2 StR 165/08.

(56) Bande, 21.09.2008;
Firmenmantel: BGH, Beschluss vom 29.04.2008 - 4 StR 125/08.

(57) Einsatz von Skimminggeräten, 26.07.2010

(58) Klarstellungen zum Hackerstrafrecht, 20.06.2009;
BVerfG, Beschluss vom 18.05.2009 - 2 BvR 2233/07, 1151/08, 1524/08.

(59) Arbeitspapier Skimming #2, 02.03.2010;
BGH, Urteil vom 13.01.2010 – 2 StR 439/09.

(60) Ebenda (59), Rn 14.

(61) Versuch beim Skimming, 02.10.2010;
BGH, Beschluss vom 14.09.2010 - 5 StR 336/10.

(62) Beginn des Versuch, 26.07.2010

(63)   BGH, Beschluss vom 07.11.2007 - 5 StR 371/07

(64) Kreditkartenbetrug, 23.10.2010;
Autorisierung und Clearing, 02.08.2009.

(65) So schon: BGH, Urteil vom 21.09.2000 - 4 StR 284/00.

(66) BGH, Urteil vom 13.01.2010 – 2 StR 439/09

(67) Skimming im Cybercrime-Strafrecht, 22.08.2010

(68) handwerkliche Probleme, unvollständiges IT-Strafrecht, 2007.

(69)  keine Panik! 25.10.2009

(70) Finale, 24.10.2010