Bundesgerichtshof, Beschluss vom 08.04.2021, Az. 1 StR 78/21

Das [X.] hat den Angeklagten wegen Beihilfe zur versuchten Erpressung in Tateinheit mit Beihilfe zur versuchten [X.] in 396 Fällen sowie wegen Beihilfe zur Erpressung in Tateinheit mit Beihilfe zur [X.] in 393 Fällen zu einer Gesamtfreiheitsstrafe von vier Jahren und sechs Monaten verurteilt. Die in [X.] erlittene Auslieferungshaft ist im Maßstab 1:1 angerechnet worden. Weiter ist gegen den Angeklagten die Einziehung des Wertes von Taterträgen in Höhe von 9.800 Euro angeordnet worden.

Die Revision des Angeklagten erzielt mit der Sachrüge den aus der [X.] ersichtlichen Erfolg (§ 349 Abs. 4 StPO). Im Übrigen ist das Rechtsmittel unbegründet im Sinne des § 349 Abs. 2 StPO.

Das [X.] hat folgende Feststellungen und Wertungen getroffen:

1. Der Angeklagte war Mitglied einer international und arbeitsteilig agierenden Gruppierung aus mehr als drei Personen, die sich spätestens Ende 2013 in [X.]([X.]) um unbekannt gebliebene Haupttäter zur fortgesetzten Begehung von Delikten im Bereich der Cyberkriminalität durch Verbreitung eines "[X.]" über das [X.] (sog. Ransomware) zusammengeschlossen hatte.

a) Zur Vorbereitung und Platzierung der Schadsoftware im [X.] bediente sich die Gruppierung der Nutzung von Werbeanzeigen auf verschiedenen Webseiten (sog. Adverts), bei deren Anklicken es ohne den Willen der Nutzer zum Nachladen und zur Installation der Schadsoftware auf den Rechnern der Geschädigten kam. Nach dieser Infektion des Zielrechners wurden in verschlüsselter Form vor allem die Geolokationsdaten des geschädigten Rechners an einen Server der Gruppierung übermittelt; denn nur so war es technisch möglich, einen von der Gruppierung vorprogrammierten Sperrbildschirm an die mit der Schadsoftware infizierten Rechnersysteme zu übermitteln, welcher in der jeweiligen Landessprache an das Herkunftsland der geschädigten Computernutzer angepasst war. Die Gruppierung verfügte dazu über [X.] in 44 Sprachen. Bei der Gestaltung dieses Sperrbildschirms wurde der Eindruck erweckt, es handele sich um eine von offiziellen Stellen veranlasste Sperrung des Zielsystems, indem hier Logos staatlicher Behörden, beispielsweise des [X.] oder des [X.], verwendet wurden. Zudem erhielten die Meldungen am Sperrbildschirm genaue Angaben über den betroffenen Computer, das verwendete Betriebssystem, die IP-Adresse und den Standort des Rechners sowie die unwahre Behauptung, der Nutzer habe illegale Downloads getätigt oder auf seinem Rechner befänden sich Dateien mit verbotenen kinder- oder tierpornografischen Inhalten. Zur Abwendung eines Straf- oder Bußgeldverfahrens sowie zur Freigabe des gesperrten Computersystems wurde eine Geldzahlung gefordert, die über geldwerte PIN-Codes elektronischer Zahlungssysteme – wie zum Beispiel [X.] oder Ukash – im Wert von 100 Euro zu leisten war.

b) Nach der Infektion des Rechners und der Übermittlung des Sperrbildschirms blieb der Computer mit einer Verschlüsselungssoftware dauerhaft gesperrt. Die [X.] wurden auch bei jedem Neustart des infizierten Rechners nachgeladen. Zusätzlich wurden Aufrufe des [X.] durch die Schadsoftware beendet, so dass der Sperrbildschirm weder minimiert noch geschlossen werden konnte. Für die Sperrung der Rechner wurden von der [X.] unterschiedliche Varianten der Schadsoftware eingesetzt, die auch permanent dahingehend überprüft wurden, ob und von welchem Antivirenprogramm diese erkannt werden und laufend entsprechend angepasst. Weder die Schadsoftware selbst enthielt einen Mechanismus, der bei Übermittlung eines geforderten PIN-Codes oder durch Zeitablauf eine Entsperrung des infizierten Systems veranlasste, noch wurde eine solche Entsperrung manuell durch die Gruppierung durchgeführt. Einzig durch Löschen der Festplatte – unter gleichzeitigem unwiderruflichen Verlust aller auf dem Rechner gespeicherten Daten – und anschließender Neuinstallation des Betriebssystems konnten die infizierten Geräte wieder brauchbar gemacht werden.

c) Zur Umsetzung dieses Vorhabens verfügte die Gruppierung über eine Vielzahl von Servern. So wurde etwa der Sperrbildschirm über verschiedene Proxy-Server versandt, die jeweils nur über einen Zeitraum von wenigen Tagen bis Wochen verwendet und anschließend durch neue ersetzt wurden. Sie dienten als zwischengeschaltete Server der Anonymisierung und vor allem dazu, die eigentlichen Ziel- bzw. [X.] zu verschleiern. Die mit der Schadsoftware infizierten Systeme übermittelten ihre Daten an die [X.], auf denen diese automatisiert gespeichert wurden und von denen aus der länderspezifische Sperrbildschirm mit der Aufforderung zur Zahlung versendet wurde. Auf gleichem Weg vollzog sich auch die Übermittlung der von den Geschädigten erworbenen und in den Sperrbildschirm eingegebenen PIN-Codes im Fall einer Zahlung. Die [X.] fungierten zudem als [X.] für die erpressten PIN-Codes, die dort in einer Datenbank gesammelt und später verwaltet wurden. Durch die Einschaltung von Finanzagenten wurden die im [X.] gespeicherten PIN-Codes über Online-Dienste (z.B. Online-Casinos oder Wettbüros), welche diese als Zahlungsmittel akzeptierten, eingelöst und in einem weiteren Schritt in Form von virtueller Währung auf ein Konto der Gruppierung überwiesen. Weltweit wurden so durch die [X.] von 2013 bis 2016 über 200 Millionen Rechnersysteme infiziert und von den geschädigten Computernutzern mehr als neun Millionen Euro an geldwerten PIN-Codes übermittelt.

d) Der Angeklagte übernahm im Frühjahr/[X.] 2013 im Rahmen der Gruppierung die Tätigkeit eines Systemadministrators und technischen Beraters für einen monatlichen Verdienst von 1.000 US-Dollar und betreute die Server der Gruppierung. Er konnte auf Grund seines technischen Sachverstands sowohl Zweck als auch Funktionsweise der sich auf den Servern befindlichen [X.] einordnen. Der Angeklagte hatte spätestens am 29. November 2013 Kenntnis davon, dass die Gruppierung die Server dazu einsetzte, um unter Drohung mit einem behördlichen Verfahren und der dauerhaften Sperrung der Rechner, ein Lösegeld in Höhe von 100 Euro in Form von geldwerten PIN-Codes von Computernutzern zu verlangen. Er setzte gleichwohl seine Tätigkeit für die Gruppierung fort. Der Angeklagte übernahm verschiedene Unterstützungshandlungen innerhalb der von der Gruppierung zur Begehung der Taten aufgebauten Serverinfrastruktur. Im verfahrensgegenständlichen Tatzeitraum vom 29. November 2013 bis 3. Februar 2015 kümmerte sich der Angeklagte auf Anweisung der Führungsmitglieder um die Anmietung neuer Server, die Installation verschiedener Programme auf den Servern, um die Verlinkung einzelner Server untereinander, um die Erhaltung deren Funktionsfähigkeit sowie um die Behebung einzelner technischer Probleme der Serverinfrastruktur. Darüber hinaus stand er den Führungsmitgliedern der Gruppierung als technischer Berater zur Verfügung. In diesem verfahrensgegenständlichen Tatzeitraum wurden in [X.] mindestens 4.332 Computersysteme an 396 Tagen gegen den Willen der berechtigten Computernutzer (Fälle 1 bis 396 der Urteilsgründe) infiziert, wobei es der Gruppierung in 393 weiteren Fällen (Fälle 397 bis 789 der Urteilsgründe) darüber hinaus auch gelang, den jeweiligen Computernutzer der gesperrten Rechner zum Erwerb und zur Übermittlung von geldwerten PIN-Codes an die Täter im Wert von jeweils 100 Euro zu veranlassen. In allen Infektionsfällen – gleich ob das geforderte Lösegeld in Form von PIN-Codes gezahlt wurde oder nicht – wurden die betroffenen Rechner aber nicht entsperrt.

2. Das [X.] geht nach wertender Betrachtung der Gesamtumstände davon aus, dass der Angeklagte gewerbs- und auch bandenmäßig gehandelt hat, aber nur als Gehilfe tätig war, da sein eigenes Interesse am [X.] begrenzt war und er lediglich ein Festgehalt bezog sowie auch an den Gewinnen aus den Geschäften nicht beteiligt war. Das [X.] nimmt eine Beihilfehandlung des Angeklagten zu allen 789 ausgeurteilten [X.] an.

Der Schuldspruch wegen Beihilfe zur versuchten Erpressung in Tateinheit mit Beihilfe zur versuchten [X.] in 396 Fällen sowie wegen Beihilfe zur Erpressung in Tateinheit mit Beihilfe zur [X.] in 393 Fällen hält einer revisionsrechtlichen Prüfung nicht stand. Er bedarf in konkurrenzrechtlicher Hinsicht der Korrektur. Dies bedingt auch die Aufhebung des Strafausspruchs.

1. Die rechtsfehlerfrei getroffenen Feststellungen des [X.]s tragen einen Schuldspruch des Angeklagten nur wegen einer einheitlichen Beihilfe (§ 27 Abs. 1 StGB) zur Erpressung nach § 253 Abs. 1 StGB in Tateinheit mit Beihilfe zur [X.] nach § 303b Abs. 1 Nr. 1 StGB (§ 52 Abs. 1 StGB). Der Schuldspruch war daher entsprechend abzuändern.

a) Durch seine festgestellten Unterstützungshandlungen hat der Angeklagte sowohl eine Beihilfe zur vollendeten Erpressung als auch zur versuchten Erpressung nach § 253 Abs. 1 StGB geleistet. Die jeweils mit der Schadsoftware infizierten Computernutzer wurden durch die Sperrung ihrer Rechner und durch die unwahre Behauptung, illegale Downloads vorgenommen zu haben oder auf den Rechnern Dateien mit verbotenen kinder- oder tierpornografischen Inhalten zu besitzen, zur Abwendung der Sperrung ihrer Rechner zur Zahlung eines Betrages von 100 Euro über geldwerte PIN-Codes elektronischer Zahlungssysteme genötigt; ihrem Vermögen wurde so ein Nachteil in entsprechender Höhe zugefügt. Bei den im Versuchsstadium verbliebenen Taten wurde jedenfalls von den [X.] ein entsprechender Schaden erstrebt.

b) Die Infektion der Zielrechner mit der entsprechenden Schadsoftware und der Installation eines Sperrbildschirms erfüllt den Tatbestand der [X.] nach § 303b Abs. 1 Nr. 1 StGB.

aa) Gemäß § 303b Abs. 1 Nr. 1 StGB macht sich strafbar, wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch stört, dass er eine Tat nach § 303a Abs. 1 StGB begeht, also rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert. Die Vorschrift schützt in dieser Tatvariante das Interesse des Verfügungsberechtigten an der unversehrten Verwendbarkeit der gespeicherten oder übermittelten Daten und damit das Grundrecht auf Integrität und Vertraulichkeit informationstechnischer Systeme ([X.] in [X.]/[X.]/[X.], Handbuch Wirtschafts- und Steuerstrafrecht, 5. Aufl., 15. Kapitel Rn. 125; [X.], StGB, 68. Aufl., § 303b Rn. 2; LK-StGB/[X.], 12. Aufl., § 303b Rn. 2 mwN; vgl. auch BT-Drucks. 16/3656, [X.]).

bb) Die Haupttäter haben durch den Eingriff in die Registry-Dateien der geschädigten Computersysteme Daten im Sinne des § 303a Abs. 1 StGB so verändert, dass der ganze Bildschirm und alle weiteren Fenster vom Sperrbildschirm überdeckt sowie alle Aufrufe des [X.] durch die Schadsoftware beendet wurden. Diese [X.] sind taugliche Tatobjekte im Sinne der Legaldefinition des § 202a Abs. 2 StGB ([X.], Beschluss vom 27. Juli 2017 – 1 [X.] Rn. 30 f.; [X.] aaO Rn. 110 mwN). Ein Verändern ist auch beim Herbeiführen von Funktionsbeeinträchtigungen der Daten anzunehmen, die eine Änderung ihres Informationsgehalts oder des Aussagewerts zur Folge haben (BT-Drucks. 10/5058, [X.]; [X.], Beschluss vom 27. Juli 2017 – 1 [X.] Rn. 33; [X.] aaO Rn. 118; [X.] in [X.]/[X.]/Wittig, Wirtschafts- und Steuerstrafrecht, 2. Aufl., § 303a StGB Rn. 20). Eine solche Veränderung der Daten ist durch das Hinzufügen der Einträge in der [X.] eingetreten, indem die Schadsoftware beim Hochfahren des Rechners automatisch geladen wurde, ohne dass der Computernutzer hiervon Kenntnis bekam und sofort der ganze Bildschirm und alle weiteren Fenster vom Sperrbildschirm überdeckt wurden, so dass dieser weder minimiert noch geschlossen werden konnte.

cc) Das [X.] geht auch zutreffend davon aus, dass hier die gegenüber der Datenveränderung nach § 303a Abs. 1 StGB qualifizierenden Merkmale der [X.] nach § 303b Abs. 1 Nr. 1 StGB vorliegen, nämlich eine Datenverarbeitung von wesentlicher Bedeutung sowie eine Störung der entsprechenden Datenverarbeitung.

Das einschränkende Merkmal einer Datenverarbeitung „von wesentlicher Bedeutung“ sollte nach dem Willen des Gesetzgebers als Filter für Bagatellfälle dienen, die vom Tatbestand nicht erfasst werden (BT-Drucks. 16/3656, [X.]). So soll nach der Gesetzesbegründung bei Privatpersonen als Geschädigten darauf abgestellt werden, ob die Datenverarbeitung für die Lebensgestaltung der Privatperson eine zentrale Funktion einnimmt (BT-Drucks. 16/3656, [X.]). Insoweit waren dem [X.] konkrete Feststellungen zu den einzelnen betroffenen Computersystemen nicht möglich. Im Fall des [X.] lagen diese Voraussetzungen jedenfalls vor. Anhand der übertragenen Daten waren weitere Nachfragen zur Identifizierung der übrigen Nutzer aber ausgeschlossen. Deswegen war das [X.] hier befugt, auf eine wesentliche Bedeutung der Datenverarbeitung für die betroffenen Computernutzer indiziell zu schließen (vgl. [X.], Beschluss vom 27. Juli 2017 – 1 [X.] Rn. 25). Dies gilt vor allem vor dem Hintergrund, dass bei allen festgestellten [X.] durch die gegen den Willen der berechtigten Computernutzer installierte Schadsoftware jegliche Nutzung der auf den Geräten gespeicherten Daten unmöglich gemacht wurde und die Computer nur durch eine mit einem vollständigen Datenverlust verbundene Neuinstallation des Betriebssystems wieder genutzt werden konnten ([X.]), so dass von einer Beeinträchtigung der zentralen Funktionen für die Lebensgestaltung der Betroffenen auszugehen ist. Im Übrigen spricht vor allem der Umstand, dass in vielen Fällen die tateinheitlich verwirklichte Erpressung erfolgreich war, weil die Computernutzer eine Zahlung geleistet haben, für eine wesentliche Bedeutung der Datenverarbeitung und gegen einen Bagatellfall, da sie ansonsten nicht gezahlt hätten.

Auch der für die Verwirklichung des Tatbestands von § 303b Abs. 1 Nr. 1 StGB erforderliche [X.], die Störung einer Datenverarbeitung, ist nach den Feststellungen des [X.]s ([X.]) eingetreten. Da die [X.] am Rechner einzig durch ein Löschen der Festplatte und anschließender Neuinstallation des Betriebssystems beseitigt werden konnten, war die Infektion des Rechners immer mit einem unwiderruflichen Verlust aller auf dem Rechner gespeicherter Daten verbunden.

c) Beide verwirklichten Tatbestände des § 253 Abs. 1 StGB und des § 303b Abs. 1 Nr. 1 StGB stehen in Tateinheit zueinander, da unmittelbar mit der [X.] durch die Veränderung der [X.] und dem erscheinenden Sperrbildschirm der Computernutzer zur Übermittlung geldwerter PIN-Codes zum Entsperren der Rechner aufgefordert wurde. Entgegen der Auffassung des [X.]s ist aber konkurrenzrechtlich nicht von einer Beihilfe des Angeklagten zu 789 [X.], sondern nur von einer einheitlichen Beihilfe zur Erpressung in Tateinheit mit [X.] auszugehen.

aa) Nach ständiger Rechtsprechung des [X.] ist die Frage der Handlungseinheit oder -mehrheit nach dem individuellen Tatbeitrag eines jeden Beteiligten zu beurteilen. Fördert der Gehilfe durch ein und [X.] mehrere rechtlich selbständige Taten des [X.], so ist nur eine Beihilfe im Rechtssinne gegeben (vgl. nur [X.], Beschlüsse vom 13. März 2013 – 2 StR 586/12 Rn. 6 und vom 25. Juli 2019 – 1 [X.] Rn. 5; Urteile vom 23. Oktober 2018 – 1 [X.] Rn. 65 und vom 28. Oktober 2004 – 4 StR 59/04, [X.]St 49, 306, 316).

bb) Die bisherigen Feststellungen belegen nicht, dass der Angeklagte bei den im Tatzeitraum vom 29. November 2013 bis 3. Februar 2015 verwirklichten 789 [X.] einen individuellen tatfördernden Beitrag erbracht hat. Das fördernde Verhalten des Angeklagten stellt sich vielmehr nur als eine einheitliche Unterstützungshandlung dar, indem der Angeklagte sich auf Anweisung der Führungsmitglieder um die Anmietung neuer Server, um die Installation verschiedener Programme auf den Servern, um die Verlinkung einzelner Server untereinander und um die Erhaltung der Funktionsfähigkeit sowie um die Behebung einzelner technischer Probleme der Serverinfrastruktur kümmerte. Auch seine vom [X.] festgestellte weitere Funktion als technischer Berater der Führungsmitglieder der Gruppierung begründet keinen individuellen tatfördernden Beitrag zu konkreten [X.].

2. Der Senat kann die Änderung des Schuldspruchs selbst vornehmen (§ 354 Abs. 1 StPO analog). Auf Grund der bisherigen Feststellungen des [X.]s kann ausgeschlossen werden, dass noch individuelle tatfördernde Beiträge des Angeklagten zu den jeweiligen vom [X.] ausgeurteilten 789 [X.] im vorgenannten Tatzeitraum aufgeklärt werden können. Um den Schuldspruch übersichtlich zu halten, sieht der Senat davon ab, die Anzahl der tateinheitlich [X.] Verstöße (§ 52 Abs. 1 Alternative 2 StGB) anzugeben (§ 260 Abs. 4 Satz 5 StPO).

Der Änderung des Schuldspruchs steht § 265 StPO nicht entgegen, da sich der Angeklagte nicht anders als geschehen hätte verteidigen können.

3. Die Abänderung des Schuldspruchs führt zur Aufhebung des Strafausspruchs, weil der Senat vorliegend nicht ausschließen kann, dass die Strafzumessung von der Vielzahl der [X.] beeinflusst ist und das Tatgericht bei Annahme einer einheitlichen Beihilfehandlung zu einer niedrigeren Freiheitsstrafe gelangt wäre. Da es sich um einen Wertungsfehler handelt, können die Feststellungen aufrechterhalten bleiben. Ergänzende Feststellungen, insbesondere zum Einfluss des Angeklagten im Hinblick auf das Gesamtgeschehen bleiben möglich.

4. Die Entscheidung über die Anrechnung der Auslieferungshaft und die Einziehung des Wertes von Taterträgen bleiben bestehen, da sie vom aufgezeigten Rechtsfehler nicht betroffen sind.