Rechtsanwalt Hoenig

Das Weblog des Strafverteidigers

2. Mai 2023

Strafbares Lösegeld

Wer noch nach einer ausgefallenen Idee sucht, sich strafbar zu machen, dem sei die Lösegeldzahlung nach einem erfolgreichen Cyber-Angriff mittels Ransomware empfohlen. Die Unterstützung einer kriminellen Vereinigung gemäß § 129 Abs. 1 S. 2 StGB bietet sich dazu an.

Wenn man morgens den Rechner hochfahren und mit dem Server verbinden möchte, statt des Startbildschirms jedoch die Meldung eines CryptoLockers erscheint: Dann hat man nicht nur ein Problem.

 

Die Handlungsalternativen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, nicht auf die Forderungen einzugehen; es sei nicht sicher, dass nach Zahlung des Lösegelds die Entschlüsselung möglich gemacht wird.

Sicher ist dann aber in den meisten Fällen, dass es keinen Zugriff mehr auf die Daten gibt. Dann helfen nur ein aktuelles und vollständiges Backup sowie ein Stoßgebet.

Deswegen entschließt sich der eine oder andere, ins Risiko zu gehen und ein paar Bitcoins aus dem Wallet zu kramen.

Das nächste Problem

Möglicherweise ergibt sich dann aber genau daraus das nächste Problem, nämlich ein strafrechtliches.

Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer eine Vereinigung unterstützt, deren Zweck oder Tätigkeit auf die Begehung von Straftaten gerichtet ist. So ungefähr formuliert es das Strafgesetzbuch in § 129 StGB.

Der Tatbestand der Unterstützung einer kriminellen Vereinigung

Die Düsseldorfer Kollegin Pia Marie König hat das in einem Aufsatz in der NZWiSt 2023, 167 einmal durchdekliniert.

Der objektive Tatbestand – Unterstützung (Lösegeld-Zahlung) einer kriminellen Vereinigung (Hacker-Gruppe) – bereitet bei der Subsumtion keine nennenswerten Schwierigkeiten.

Die Hürde des subjektiven Tatbestands schafft auch der wenig erfahrene Strafjurist locker; mit dem bedingten Vorsatz durch billigendes Inkaufnehmen macht er den Sack zu.

Die Rechtfertigung

Und jetzt? Die Zahlung von Lösegeld ist also eine Straftat gem. § 129 StGB, die zur Einleitung eines Ermittlungsverfahrens führen wird. Eine Verurteilung hängt dann „nur“ noch davon ab, ob es dafür einen Rechtfertigungsgrund gibt.

Hier könnte der rechtfertigende Notstand nach § 34 StGB die Lösung des Problems sein.

Der Nötigungsnotstand

Aber da wird es schwierig. Erfahrene Strafjuristen kennen nämlich den sogenannten Nötigungsnotstand. Der liegt dann vor, wenn die Notstandslage auf einer Nötigung (oder wie hier: auf einer Erpressung) beruht, mit der der Genötigte (der Erpresste) zur Begehung einer bestimmten Straftat gezwungen werden soll. Das wäre hier die Unterstützung der kriminellen Vereinigung.

Es ist streitig, wie mit dieser heiklen Lage umzugehen ist und es gibt verschiedene Ansätze, den Konflikt (nicht) zu lösen.

Im praktischen Ergebnis läuft es aber auf eine Güter- und Interessenabwägung im konkreten Fall hinaus: Die Interessen des Genötigten bzw. Erpressten müssen höher zu bewerten sein als das Rechtsgut der öffentlichen Sicherheit, insbesondere die Vermeidung von weiteren (potentiellen) Straftaten durch die Hacker-Gruppe.

Die Hoffnung

Am Ende bleibt dem Lösegeldzahler nur die Hoffnung, dass seine Entscheidung zur Lösegeldzahlung auch aus der Rückschau durch eine Staatsanwaltschaft als gerechtfertigt gewertet wird. Das bedeutet jedoch stets ein erhebliches Restrisiko.

Im schlimmsten Fall ist die Zahlung vergeblich, der Rechner bleibt verschlüsselt und es erfolgt zusätzlich noch eine Verurteilung wegen Unterstützung einer kriminellen Vereinigung.

Image (Bitcoin) by Miloslav Hamřík from Pixabay

7 Kommentare

  • Leon Wolf sagt:

    Nichtjurist hier: und wie ist es bei einer „analogen“ Erpressung? Tante Erna wurde gekidnappt und ich zahle das Lösegeld?

  • Das Ich sagt:

    Lustig, da vergleichst du Tante Erna mit einer verschlüsselten Festplatte? Die Antwort auf die Frage hat sich damit eigentlich erübrigt, oder?

  • Michael K. sagt:

    Ich lobe formal eine Belohnung aus und zahle eine Belohnung für die Wiederherstellung der Daten. Nice try, ich weiß.

  • Das Opfer weiß doch gar nicht, ob es sich beim Täter überhaupt um eine Vereinigung handelt.
    Oder ob der Täter noch weitere Straftaten begehen will. (Und wenn, dann benötigt er dazu sicher nicht mein Lösegeld, zumindest gibt es dazu keinerlei Anhaltspunkte.)

    Ich würde hier als Verteidiger beim subjektiven Tatbestand nicht so leicht nachgeben.

    Das ist in der Regel dünnes Eis (auch wenn ich es immer wieder mal versuche); aber die Totschlagargumente „hätte erkennen können und müssen“ und „billigend in Kauf nehmen“ haben dieselbe Qualität wie „Schutzbehauptung“ und „kriminelle Erfahrung“, die zu oft zu dem Ergebnis „steht zur Überzeugung des Gerichts fest …“ führen.
     
    Aber Du hast Recht: Es gibt ein paar sehr gute Ansätze für eine erfolgreiche Verteidigung gegen einen solchen Vorwurf.
    crh

  • Die Güter- und Interessenabwägung fällt umso mehr zugunsten des Geschädigten aus, je wichtiger die Festplatte für ihn privat und beruflich ist.

    Am besten ist es also, sein ganzes Leben auf EINE Festplatte zu packen und KEIN Backup davon zu machen. 😉

  • Timo sagt:

    Finde das absurd. Die Cyberkriminellen machen ohnehin weiter, vollkommen unabhängig von einer Zahlung möglicher Lösegelder. Der Logik nach würde ich auch eine kriminelle Vereinigung unterstützen, wenn ich mein Fahrrad unabgeschlossen stehen lasse und es von einer Fahrradbande gestohlen wird, weil ich ihr Geschäftsmodell unterstütze.

  • Gerd Oichnixohn sagt:

    Die meisten Cyberkriminellen heutzutage verschlüsseln nicht nur, sondern kopieren die Daten vorher und drohen anschließend auch mit deren Veröffentlichung. Wer geschäftlich mit den Daten anderer hantiert (z.B. von Kunden), ist eigentlich nach Art. 33 DSGVO zur Meldung solcher Vorfälle verpflichtet.

    Stellt sich also die spannende Frage: Wie vereinbart sich diese Meldepflicht mit dem Grundsatz, dass man sich nicht selbst belasten bzw. dem Risiko einer Strafverfolgung aussetzen muss? Darf man nun mit Verweis auf die o.g. Analyse die Meldung unterlassen? Oder kann man die erfolgte Meldung benutzen, um eine strafrechtliche Verfolgung auszuschließen? Oder quadrieren die Gerichte da mal wieder den Kreis und man ist so oder so gekniffen?