Keine Strafbarkeit des Krypto-Diebstahls - § 202a StGB

Strafbarkeitslücken beim Krypto-Diebstahl – Teil I: (Keine) Strafbarkeit wegen Ausspähens von Daten gem. § 202a StGB

Auch Bitcoins und andere Krypto-Werte sind nicht sicher vor unberechtigtem Zugriff. Wie es um die Strafbarkeit des „Krypto-Diebstahls“ bestellt ist, wird in dieser Beitragsreihe beleuchtet.

Beim Krypto-Diebstahl „entwendet“ der Täter Krypto-Werte seines Opfers, indem er sie gegen dessen Willen transferiert. Dabei verschafft sich der Täter in einem ersten Schritt Kenntnis von sogenannten Keys, die für Krypto-Transaktionen erforderlich sind. In einem zweiten Schritt verwendet er die Keys für eine Transaktion und entzieht somit seinem Opfer die Zugriffsmöglichkeit auf seine Krypto-Werte.

Dass in dieser Konstellation mangels Sachqualität der Krypto-Werte kein Diebstahl gemäß § 242 StGB vorliegen kann, liegt auf der Hand. Aber auch die Prüfung anderer in Betracht kommender Straftatbestände lässt eine nach geltendem Recht bestehende Strafbarkeitslücke erkennen.

In diesem ersten Beitrag einer dreiteiligen Reihe soll der erste Schritt des Tätervorgehens beleuchtet werden, mit dem der Täter Kenntnis der Keys des Geschädigten erlangt. Hierzu wird erläutert, in welchen Fällen die Erlangung eines fremden Keys wegen Ausspähens von Daten gemäß § 202a StGB strafbar ist.

Wie funktioniert die Übertragung von Krypto-Werten?

Im System der Kryptowährungen funktioniert eine Transaktion vereinfacht dargestellt in der Weise, dass ein Krypto-Wert einem neuen Key zugeordnet wird.

Eine Transaktion erfordert die Eingabe eines sogenannten Public Key und des dazugehörigen Private Key. Der Public Key ist öffentlich einsehbar und vergleichbar mit der Kontonummer im Online-Banking. Der Private Key hingegen ist nur dem jeweiligen Teilnehmer bekannt und vergleichbar mit der TAN im Online-Banking.

Da eine Transaktion mit Eingabe des Private Key ohne weitere Prüfung der Berechtigung vom Blockchain-System ausgeführt wird, müssen die Private Keys zum Schutz der Krypto-Werte der Teilnehmer sicher verwahrt werden. Dazu gibt es verschiedene Möglichkeiten: Die Teilnehmer sichern sie entweder in einer Online-Wallet, einer Hardware-Wallet, auf einem Stück Papier oder in ihrem Gedächtnis. Die Online- oder Hardware-Wallets sind passwortgeschützt.

Strafbarkeit der Erlangung von Private Keys

Eine Strafbarkeit wegen Ausspähens von Daten kommt in Betracht, wenn der Täter sich Kenntnis von den Private Keys verschafft. Durch die Eingabe des Keys wird die Transaktion ausgelöst. Für die Strafbarkeit des Täters kommt es jedoch maßgeblich darauf an, ob der Inhaber die Zugriffsmöglichkeit auf den Private Key freiwillig eröffnet hat oder der Täter diese unbefugt erlangt hat.

Strafbarkeit nur bei Überwinden einer Zugangssicherung

Die Strafbarkeit nach § 202a StGB setzt voraus, dass der Täter sich unter Überwindung einer Zugangssicherung unbefugt Zugang zu Daten, die nicht für ihn bestimmt sind und die gegen unberechtigten Zugang besonders gesichert sind, verschafft. Die Private Keys sind Daten in diesem Sinne.

Die Daten sind gegen unberechtigten Zugang besonders gesichert, wenn Vorkehrungen getroffen sind, die den Zugriff ausschließen oder wenigstens nicht unerheblich erschweren sollen. Der Verfügungsberechtigte muss durch die Sicherungsvorrichtung sein Interesse an der Geheimhaltung der Daten erkennbar zum Ausdruck bringen. Die Sicherung kann dabei durch mechanische oder technische Vorrichtungen erfolgen. Das Einschließen eines Datenträgers stellt also ebenso eine Zugangssicherung dar wie das Einrichten eines Passworts. Die in einer passwortgeschützten Online- oder Hardware-Wallet gespeicherten Private Keys sind nach dieser Definition mit einer Zugangssicherung geschützt.

Unter Überwinden der Zugangssicherung ist diejenige Handlung zu verstehen, die geeignet ist, die jeweilige Sicherung auszuschalten oder zu umgehen. Auch wenn eine Zugangssicherung aufgrund besonderer Kenntnisse, Fähigkeiten oder Möglichkeiten schnell und ohne besonderen Aufwand überwunden wird, ist der Tatbestand erfüllt. Hat der Täter Zugang zu den Private Keys unter Ausschaltung oder Umgehung der Zugangssicherung erlangt, ist eine Strafbarkeit wegen Ausspähens von Daten gemäß § 202a StGB gegeben. Hierzu gehört insbesondere die Verwendung von durch Phishing erlangte Passwörter. Diese Vortat ist gem. § 202c StGB strafbar

Keine Strafbarkeit bei freiwilliger Preisgabe der Daten

Anders liegt der Fall jedoch, wenn der Geschädigte dem Täter das Passwort zu seiner Wallet oder gar seine Private Keys freiwillig offenbart. Selbst wenn er ein Verbot ausspricht, diese für Transaktionen zu nutzen, schafft er dadurch keine Zugangssicherung, da der Zugriff auf die Daten durch das Verbot nicht tatsächlich erschwert wird.

Auch liegt in der Verwendung eines rechtmäßig erlangten Passworts keine Überwindung einer Zugangssicherung. Denn die Eingabe eines korrekten Passworts, das nicht durch eine Straf erlangt wurde, stellt keine Umgehung oder Ausschaltung des Passwortschutzes als Zugangssicherung dar. Das Zugangverschaffen erfolgt hier nicht durch das Nutzen besonderer IT-Fähigkeiten.

Kriminalpolitische Bedeutung

Wie gezeigt, ist das Beschaffen fremder Keys nur unter dem Aspekt strafbar, dass der Täter die Kenntnis von den Private Keys unter Überwindung einer Zugangssicherung erlangt hat. Die absprachewidrige Nutzung freiwillig offenbarter Passwörter fällt nicht darunter.

Bemerkenswert ist hierbei auch, dass § 202a StGB lediglich einen Strafrahmen von Freiheitsstrafe bis zu drei Jahren oder Geldstrafe vorsieht. Der Unrechtsgehalt des mit einer unbefugten Transaktion hervorgerufenen, teilweise erheblichen Vermögensschadens dürfte damit in vielen Fällen nicht abgedeckt sein. Hinzu kommt, dass § 202a StGB nur die Vorbereitungshandlug des Erlangens der Private Keys unter Strafe stellt. Die eigentlich schadensauslösende Handlung, die unbefugte Transaktion, ist, wie die nachfolgenden Beiträge zeigen werden, nicht mit Strafe bedroht.

Lesen Sie Teil 2 der Beitragsreihe HIER.

Diana Nadeborn