FOCUS Spezial "Deutschlands Top-Anwälte" 2022
Zur falschen Zeit in der falschen Funkzelle Das Ausnutzen fremder IT-Infrastrukturen (bspw. zum Schürfen von Kryptowährungen) ist nur lückenhaft durch das StGB erfasst. Entsprechende Gesetzesentwürfe scheiterten bislang. Unternehmen sind gut beraten, die damit einhergehenden Gefahren durch entsprechenden IT-Sicherheitsmaßnahmen im Rahmen ihrer Compliance mitzuberücksichtigen.
1. Legales und illegales Krypto-Mining
Kryptowährungen, insb. die bekannten Bitcoins, als Alternative zu staatlichen Währungen gewinnen immer mehr an Beliebtheit. Die Coins werden nicht von Staaten oder Banken ausgegeben, sondern von den Nutzern in einem als „Mining“ / „Schürfen“ (ähnlich dem Goldschürfen) bezeichneten Prozess selbst generiert. Zur Inflationsprävention findet beim Bitcoin-Mining in gewissen Zeitabständen eine Halbierung statt. Dadurch wird die Belohnung für die geschürften Blocks halbiert, sodass sich damit auch der Aufwand, um Kryptowährungen zu generieren, verdoppelt. Das Mining am eigenen PC wird damit ein stromfressender und teurer Prozess.
Aus diesem Grund entstanden kostengünstigere, aber illegale Methoden, um die Coins zu schürfen (sog. Krypto-Jacking). So wird beispielsweise die IT-Infrastruktur großer Unternehmen angezapft und ausgenutzt. Eine gängige Variante ist das Mining mittels JavaScript-Befehlen. Hierbei werden Webseiten infiziert, so dass sie die Geräte ihrer Besucher ohne Zustimmung dazu zwingen, Kryptowährungen zu schürfen, ohne dass es dem Opfer auffällt. Einige von ihnen nutzen sogar die komplette Prozessorleistung aus, so zum Beispiel das Krypto-Mining-Programm, welches auf der Internetseite des portugiesischen Fußballstars Cristiano Ronaldo eingebunden war. Andere Methoden funktionieren über Malware-Viren, die zu dem sog. Command-and-Control-Server des Botnetzwerks des Täters Kontakt aufnehmen, der das Mining steuert.
2. Ist Krypto-Jacking strafbar?
Dieses widerrechtliche Eindringen in fremde IT-Systeme, das als sog. digitaler Hausfriedensbruch bezeichnet werden kann, ist als Datenveränderung (§ 303a StGB) dann strafbar, wenn auf den Informationsgehalt bestehender Programme Einfluss genommen wird. Läuft die Mining-Software nur als Pop-Up-Fenster im Hintergrund weiter, solange eine bestimmte Website besucht wird, so erfüllt dies den Straftatbestand nicht. Ein Gesetzesentwurf, der den Tatbestand der „Unbefugten Benutzung informationstechnischer Systeme“ (§ 202e StGB-E) schaffen sollte, hat sich bislang nicht durchgesetzt.
Anders ist das Verhalten zu beurteilen, wenn Einträge so in der Registry-Datei des Rechners vorgenommen und damit verbunden Benutzerprofile verändert werden, dass die Schadsoftware beim Hochfahren des Rechners automatisch mithochgefahren wird, ohne dass der Computernutzer hiervon Kenntnis hat (BGH, Beschl. v. 27.7.2017 − 1 StR 412/16).
Ob hierbei gleichzeitig der Tatbestand der Computersabotage (§ 303b StGB) erfüllt wird, hängt maßgeblich davon ab, ob es um Datenverarbeitungen von wesentlicher Bedeutung geht, die gestört werden.
3. Prävention durch IT-Compliance-Maßnahmen
Erkennbar wird Krypto-Jacking u. a. an der Verlangsamung und Überhitzung des PCs, da der Prozessor stark strapaziert wird. Krypto-Jacking kann durch entsprechende IT-Sicherheitsmaßnahmen vorgebeugt werden. Die Schulung der Mitarbeiter zu den Gefahren und dem Bewusstsein beim Umgang mit IT-Infrastruktur, die Blockierung von JavaScripten sowie die Benutzung aktualisierter Antivirus- und Anti-Malware-Programme sind einige nennenswerte Vorkehrungen. Mittlerweile gibt es kostenlose Browsererweiterungen wie Adblock oder Minerblock, die Krypto-Jacking über den Browser verhindern können. Zudem sind regelmäßige Backups ratsam, da Krypto-Jacking auch Schäden an der Hardware hinterlassen und damit ggf. zu unwiederbringlichen Datenverlusten führen kann.
Zu Fragen vor und nach einem Angriff auf Ihre IT-Infrastruktur steht Ihnen unser IT-Strafrechtsteam zur Verfügung.
