Bundesgerichtshof, Beschluss vom 27.07.2017, Az. 1 StR 412/16

Das [X.] hatte den Angeklagten in einem ersten Urteil wegen [X.] von Daten in Tateinheit mit Datenveränderung sowie wegen [X.] in 18 Fällen jeweils tateinheitlich mit Fälschung beweiserheblicher Daten zu einer Gesamtfreiheitsstrafe von drei Jahren verurteilt. Es hatte zudem den Verfall der sichergestellten 86 [X.] und den Verfall von Wertersatz (hinsichtlich weitere 1.730 [X.]) in Höhe von 432.500 Euro sowie die Einziehung von im Einzelnen näher bezeichneter Computerhardware nebst Zubehör angeordnet. Auf die Sachrüge des Angeklagten hatte der [X.] das Urteil mit den Feststellungen aufgehoben.

Nunmehr hat das [X.] den Angeklagten wegen Datenveränderung in 327.379 tateinheitlichen Fällen in Tateinheit mit 245.534 tateinheitlichen Fällen des [X.] von Daten und wegen [X.] in 18 Fällen, jeweils in Tateinheit mit Fälschung beweiserheblicher Daten, zu einer Gesamtfreiheitsstrafe von zwei Jahren und zehn Monaten verurteilt. Daneben hat es den Verfall von 86 sichergestellten [X.] sowie weiterer 1.730 [X.] angeordnet und in der Urteilsformel konkret bezeichnete Computerhardware eingezogen. Hiergegen wendet sich der Angeklagte mit seiner Revision, mit der er die nicht näher ausgeführte Sachrüge erhebt. Sein Rechtsmittel führt zu einer Änderung des Schuldspruchs, einem Freispruch in zwei Fällen sowie einer Beschränkung des Verfalls der Höhe nach; im Übrigen ist es gemäß § 349 Abs. 2 [X.] unbegründet.

Das [X.] hat folgende Feststellungen und Wertungen getroffen:

Der Angeklagte und der rechtskräftig Verurteilte     [X.]schlossen sich zu einem nicht näher bekannten Zeitpunkt Anfang des Jahres 2012 zusammen, um ein sogenanntes Botnetz aufzubauen.

Dabei handelt es sich um einen Zusammenschluss einer Vielzahl von Computern, auf denen Programme - zumeist vom Nutzer unbemerkt - im Hintergrund automatisiert sich wiederholende Rechenaufgaben abarbeiten. Die Programme verbinden sich selbständig mit einem durch den sogenannten Bot-Herder gesteuerten zentralen [X.], so dass der Bot-Herder infolgedessen die angeschlossenen Rechner fernsteuern und für seine Zwecke nutzen kann. Die Bots werden von den [X.] häufig durch das Öffnen eines sogenannten trojanischen Pferdes, einer getarnten Schadsoftware, unbewusst selbst installiert oder es erfolgt eine Infektion des Rechners über eine Sicherheitslücke des Betriebssystems, des Webbrowsers oder eines Programms. Das vom Angeklagten und     [X.]geplante Botnetz sollte einerseits der Erzeugung von [X.], dem sogenannten „Bitcoin-Mining“, und andererseits der Datenspionage dienen.

Bitcoin ist ein weltweit verfügbares dezentrales Zahlungssystem und der Name einer virtuellen Geldeinheit. Die Übertragung von [X.] geschieht über einen Zusammenschluss von Rechnern über das [X.] und wird mithilfe einer speziellen [X.], also ohne Einbeziehung einer als Bank dienenden Zentrale, abgewickelt. Sämtliche [X.] werden im öffentlichen Transaktionsregister, der sogenannten Blockchain, gespeichert. Ihre Zuordnung zu einzelnen Teilnehmern erfolgt über persönliche digitale Brieftaschen, sogenannte [X.]s, über die das Guthaben verwaltet wird. Hierfür gibt es einen, jedem Teilnehmer des Peer-to-Peer Netzwerks erkennbaren öffentlichen und einen privaten, nur dem Inhaber der [X.] bekannten Schlüssel. Der Marktwert von [X.] ergibt sich aufgrund von Angebot und Nachfrage.

Mit jeder Transaktion, die von der Mehrheit der Teilnehmer des Netzwerks als gültig bestätigt werden muss, um als ausgeführt zu gelten, werden bis zum Erreichen der systembedingten Maximalmenge zugleich neue [X.] erzeugt. Die für die Bestätigung der Transaktionen erforderlichen Rechenoperationen bestehen in der Lösung kryptographischer Aufgaben, wodurch das öffentliche Transaktionsregister der Kryptowährung, die Blockchain, erweitert wird. Die hierfür zu lösenden Algorithmen werden mit zunehmender Anzahl von [X.] immer komplexer und erfordern den Einsatz von zunehmend steigender Rechenzeit und -leistung. Derjenige Teilnehmer, der die Rechenoperation durchgeführt hat, erhält die mit der Erweiterung der Blockchain neu geschürften [X.] seiner [X.] gutgeschrieben. Je größer die eingesetzte Rechnerleistung, desto größer ist die Wahrscheinlichkeit, das richtige Ergebnis zu finden. Gewöhnliche Prozessoren sind jedoch nicht rentabel, da die durch sie verursachten Stromkosten den durch die neu generierten [X.] erfolgten Wertzuwachs minimieren. Die Stromkosten fallen jedoch bei der Lösung der Rechenaufgaben durch ein Botnetz bei dem Nutzer der mit Schadsoftware infizierten Hardware und nicht bei dem sie über den [X.] steuernden Bot-Herder an, was die Attraktivität der Botnetze für das Schürfen von [X.] erklärt.

    [X.]kam die Aufgabe zu, die als Musik-, Video- oder Programmdatei zum Herunterladen aus dem [X.] getarnte Schadsoftware in Form eines [X.]s nebst Möglichkeit zur [X.] zu entwickeln. Als Grundlage hierfür diente ihm die als Software frei zugängliche sogenannte [X.], die eine sogenannte [X.] zur Übermittlung von [X.] des betroffenen Nutzers und ein Spionageprogramm zur Aufdeckung und Manipulation verschlüsselten Netzwerkverkehrs enthielt. Diese ergänzte er um die [X.]-Komponente, ein Netzwerk zur Anonymisierung von Verbindungsdaten, und die der [X.] dienende Programmkomponente cgminer.exe, welche die Rechnerleistung der [X.]ikkarte nutzbar machte. Die Schadsoftware wurde sodann mit einer von    [X.]und dem Angeklagten entwickelten Verschleierungsschicht und dem [X.] angereichert. Der Angeklagte war für das Hochladen in das [X.] zuständig. Das [X.] ist ein Teil des [X.]s, der vorwiegend der anonymen Verschaffung illegaler Raubkopien dient und einen besonderen kostenpflichtigen Zugang beim Nutzer voraussetzt.

Kurz vor dem 13. März 2012 begann der Angeklagte, mit der Schadsoftware versehene Dateien auf verschiedene Server in das [X.] hochzuladen. Wegen des damit verbundenen hohen Zeitanfalls warb er ab etwa Mitte des Jahres 2012 drei weitere Mittäter, sogenannte Spreader an, die insgesamt mehrere Millionen infizierte Dateien hochluden.

Der [X.] war für die Betriebssysteme ab [X.] bis [X.] bestimmt. Seit der Softwareaktualisierung Servicepack 2 (Herausgabedatum: 25. August 2004) verfügen diese Betriebssysteme standardmäßig (bei [X.]) über eine aktivierte „Firewall“. Diese lässt sich manuell deaktivieren. Bei einer „Firewall“ handelt es sich um eine Zugriffssicherung für Netzwerke, um Angriffe aus dem [X.] auf den Computer des Nutzers zu vereiteln. Hierzu werden insbesondere eingehende Verbindungsanfragen anhand der Konfiguration unter [X.] geprüft und sofern keine Erlaubnis in Form einer speziellen, diesen Zugriff erlaubenden Konfiguration vorliegt, abgelehnt. Wäre die vom Nutzer selbst heruntergeladene Schadsoftware nicht als Musik-, Video- oder Programmdatei getarnt gewesen, wäre das Programm, das den Zugriff des [X.]s auf den Computer ermöglichte, mittels der Firewall dieser Kontrolle unterzogen und der Zugriff verweigert worden.

In dem Zeitraum vom 13. März 2012 bis zum 4. Oktober 2013 luden insgesamt 327.379 Computernutzer die Schadsoftware auf ihren Rechner herunter. Da sie durch die Tarnung davon ausgingen, es handele sich um die gewünschte Musik-, Video- oder Programmdatei, bejahten sie die Frage, ob das Programm installiert werden solle. Sie installierten sodann unbewusst den [X.] und setzten in mindestens 245.534 Fällen infolgedessen ebenso unbewusst selbst die Firewall außer [X.]. In der zentralen Registrierungsdatenbank der jeweiligen Betriebssysteme, der sogenannten [X.], wurde ein Schlüssel und darin ein Wert erzeugt, der als Konfigurationseintrag für die [X.] diente. Zudem wurde ein zusätzlicher Eintrag hinzugefügt, wodurch die Schadsoftware, insbesondere die [X.] [X.], [X.] und [X.], beim Hochfahren des Rechners automatisch startete, ohne dass der Computernutzer hiervon Kenntnis erlangte. Diese Veränderung der [X.] führte zu einer grundlegenden Änderung der Datenstruktur und zugleich der Datei ntuser.dat, unter der die Werte des [X.] hinterlegt sind. Nach Installation des [X.]s nahm der Rechner des betroffenen Nutzers über einen ansonsten verschlossenen Zugang, den Port 42349, Verbindung mit dem [X.] auf. Da es sich um eine ausgehende Verbindungsanfrage handelte, wurde diese durch die Firewall nicht blockiert. Diese ausgehende Verbindung hätte ohne die Funktionen der Schadsoftware die Einrichtung einer speziellen Konfiguration des Systems („Port Forwarding“) erfordert.

Anschließend wurden die individuell vergebenen Computernamen, die verwendeten Betriebssysteme sowie weitere Informationen und Tastatur-Eingaben der infizierten Rechner über die Ports 42349 und 9050 an eine vom Angeklagten und      [X.]angelegte Datenbank übertragen und dort gespeichert. Darüber hinaus wurde ab einer Inaktivität des Computernutzers von 120 Sekunden mittels der Programmkomponente [X.] die Rechenleistung der [X.]ikkarte für die Lösung komplexer Rechenaufgaben genutzt, für deren Bewältigung [X.] gutgeschrieben wurden. Über die [X.] der [X.] wurden die letzten 1.000 Tastenanschläge an den Datenbankserver des Angeklagten übermittelt; zudem überschrieb [X.] die Programmcodes der für Ver- und Entschlüsselung zuständigen Netzwerkbibliotheken, so dass die Eingabe von Kontodaten, Geheimnummern und Passwörtern in unverschlüsselter Form an den Angeklagten übertragen wurde.

Die vom Angeklagten und     [X.]betriebene Datenbank zeichnete bis zum Herunterfahren des [X.] zum 4. Oktober 2013 Einträge auf, wonach sich 327.379 Nutzer den [X.] hinuntergeladen hatten. Das [X.] konnte weder die Anzahl der verwendeten Versionen der Schadsoftware ermitteln, noch wie viele verschiedene Dateien in das [X.] hochgeladen wurden. Infolgedessen ist es zugunsten des Angeklagten davon ausgegangen, dass sämtliche Computernutzer ihre Rechner mit derselben Datei der Schadsoftware aus dem [X.] infiziert haben.

Zum Betrieb des Botnetzes wurden insgesamt sieben Server betrieben, wobei es sich um einen [X.], einen Hauptserver, einen Statistikserver und vier immer wieder wechselnde Server zur Bereitstellung der infizierten Dateien zum Download handelte.

Zwischen dem 19. November 2012 und dem 17. März 2013 mieteten entweder der Angeklagte selbst oder die von ihm beauftragten Spreader unter missbräuchlicher Verwendung zuvor durch die beschriebene Vorgehensweise ausgespähter Zugangsdaten in insgesamt 18 Fällen Server für den Betrieb des Botnetzes und die Verbreitung der Schadsoftware an. Die Server wurden aufgrund jeweils neuen Tatentschlusses und nicht aufgrund automatisierter Routinen unter Verwendung der Logindaten der Geschädigten angemietet; deren Freischaltung erfolgte in einem automatisierten Verfahren nach elektronischer Übermittlung des Antrags und der Daten. Hierdurch versprach sich der Angeklagte nicht zurückverfolgt werden zu können und sich die Anschluss- und Nutzungsgebühren zu ersparen.

Durch die Anmietung der Server entstand den Anbietern ein Gesamtschaden in Höhe von 7.349,75 Euro, nachdem diese den betroffenen Nutzern die angefallenen Kosten erstattet hatten. In zwei Fällen „entstand den [X.] eine Vermögensgefährdung hinsichtlich der Anmietkosten für vier Wochen“. Für diese beiden Fälle konnten weder der betroffene Anschlussinhaber noch der Zeitpunkt des Vertragsabschlusses benannt werden.

Während 86 unverschlüsselte [X.] beschlagnahmt wurden, konnten weitere 1.730 [X.] lediglich vorläufig gesichert werden, weil deren Zugriff passwortgeschützt war, der Angeklagte das Passwort nicht preis gab und eine Entschlüsselung nicht möglich war.

Der Schuldspruch wegen Datenveränderung in 327.379 tateinheitlichen Fällen in Tateinheit mit 245.534 tateinheitlichen Fällen des [X.] von Daten gemäß §§ 202a, 303a Abs. 1, § 25 Abs. 1 und 2, § 52 StGB weist keinen Rechtsfehler auf.

1. Die Überzeugung des [X.]s von dem insoweit festgestellten Sachverhalt beruht auf einer rechtsfehlerfreien Beweiswürdigung.

a) Zwar hat der Angeklagte eine Beteiligung an dem Botnetz bestritten. Das [X.] hat dies jedoch mit nicht zu beanstandenden Erwägungen als unwahre Schutzbehauptung gewertet und sich hierfür insbesondere auf die Angaben des     [X.]und weiterer Zeugen für die zwischen      [X.]und dem Angeklagten im Tatzeitraum geführte [X.] sowie einen Chat gestützt, in dem der Angeklagte gegenüber einem weiteren Zeugen Details zur Vorgehensweise einschließlich der Benennung des Vornamens des Mittäters    [X.]offen gelegt hat.

b) Auch die Feststellungen zur Anzahl der Computersysteme, deren Nutzer sich das vom Angeklagten und     [X.]in das [X.] gestellte trojanische Pferd mitsamt der Schadsoftware heruntergeladen und auf ihrem Computer installiert haben, fußen auf einer tragfähigen Grundlage. Hierzu hat das [X.] die Einträge in der Datenbank des [X.] des Botnetzes ausgewertet und anhand der dort aufgezeichneten 327.379 individuellen IP-Adressen, die neben anderen Merkmalen nach erfolgreicher Installation der Schadsoftware an den Hauptserver des Botnetzes übertragen worden waren, die Anzahl der betroffenen Nutzer bestimmt. Da die IP-Adressen nebst weiteren Angaben nicht ohne die Installation des [X.]s an den vom Angeklagten betriebenen Datenbankserver übertragen worden wären, durfte das [X.] aus der Aufzeichnung dieser Daten in der Datenbank des Angeklagten auf die erfolgreiche Installation der Schadsoftware schließen.

c) Die Wirkungsweise der vom Computernutzer unbewusst installierten Schadsoftware hat das [X.] auf der Grundlage der nachvollziehbar dargelegten Erläuterungen der Sachverständigen hinreichend genau festgestellt. Insbesondere ergibt sich daraus zum einen, dass das Programm auf die Umgehung der - Zugriffe aus dem [X.] verhindernden - Firewall angelegt war, indem es den Computernutzer über den Inhalt der heruntergeladenen und installierten Software getäuscht hat. Zum anderen wird daraus aber auch deutlich, zu welchen Funktionsänderungen die zusätzlichen Einträge in der Registry und damit in der das Benutzerprofil speichernden Datei nt.user.dat führten, dass nämlich Funktionen ausführende Komponenten gestartet, dadurch eine zuvor durch die Konfiguration des Computers nicht erlaubte Verbindung zum [X.] hergestellt und Daten an den Hauptserver des Botnetzes übertragen wurden.

d) Soweit das [X.] davon ausgeht, dass jedenfalls 75 % der betroffenen Nutzer, mithin 245.534 tatsächlich eine aktivierte Firewall auf ihrem Computersystem nutzten, ist auch dies tragfähig begründet.

Insoweit waren dem sachverständig beratenen [X.] konkrete Feststellungen zu den einzelnen betroffenen Computersystemen unmöglich. Denn anhand der übertragenen Daten war weder eine Identifizierung der Nutzer derselben noch deren konkrete Konfiguration zu ermitteln. Zwar waren die IP-Adressen bekannt, anhand des Zeitablaufs konnte aber bei den [X.]providern keine Zuordnung der betroffenen Accounts mehr erfolgen.

Deswegen war das [X.] befugt, auf das Vorhandensein einer aktiven Firewall indiziell zu schließen (vgl. hierzu [X.], Urteil vom 22. November 2013 - 3 [X.], [X.], 215, 216; Beschlüsse vom 19. Februar 2014 - 5 [X.], [X.], 318; vom 4. September 2014 - 1 [X.], [X.], 98 und vom 24. August 2017 - 1 [X.], [X.], 324), zumal da individuelle Leistungsmotive insoweit keine Rolle spielten (vgl. hierzu [X.], Urteil vom 6. September 2017 - 5 [X.], [X.], 375).

Die tatsächlichen Umstände, aus denen es auf das Vorhandensein einer aktiven Firewall bei 75 % der betroffenen Computersysteme geschlossen hat, hat es nachvollziehbar dargelegt. Insoweit hat es sich auf die sachverständigen Darlegungen gestützt, wonach die Wahrscheinlichkeit, dass [X.]nutzer keine aktivierte Firewall benutzten, äußerst gering sei. Darauf aufbauend hat das [X.] zudem berücksichtigt, dass es sich bei den betroffenen Nutzern um solche handelte, die immerhin mit dem [X.] vertraut gewesen seien und einen eigenen kostenpflichtigen Zugang hierzu unterhielten. Um der geringen Wahrscheinlichkeit zu begegnen, dass dennoch infizierte Computersysteme zumindest keine [X.]-Firewall aktiviert hatten, hat es von der Anzahl der infizierten Computer einen Abschlag von 25 % vorgenommen und so die Zahl der Computersysteme auf 75 % geschätzt, bei denen die Schadsoftware die Firewall umging. Auch vor dem Hintergrund, dass die Schadsoftware für Betriebssysteme bestimmt war, bei denen die Firewall standardmäßig aktiviert war, lässt diese Vorgehensweise einen Rechtsfehler nicht erkennen. Hierdurch hat das [X.] pflichtgemäß diejenigen Tatsachen ermittelt, von deren Richtigkeit es überzeugt ist und ist damit der Abbildung der tatsächlichen Verhältnisse möglichst nahegekommen (vgl. zur Schätzung im Steuerstrafverfahren [X.], Beschluss vom 6. April 2016 - 1 StR 523/15, [X.], 363).

Auf der Grundlage dieser Feststellungen erweist sich die Verurteilung des Angeklagten wegen Datenveränderung in 327.379 tateinheitlichen Fällen in Tateinheit mit 245.534 tateinheitlichen Fällen des [X.] von Daten gemäß §§ 202a, 303a Abs. 1, § 25 Abs. 1 und 2, § 52 StGB als rechtsfehlerfrei. Dabei ist das [X.] zutreffend von mittelbarer Täterschaft gemäß § 25 Abs. 1 Alt. 2 StGB im Hinblick auf die Installation des [X.]s durch den geschädigten Computerinhaber selbst ausgegangen (vgl. [X.] in [X.], [X.] und Rechtsinformatik, 2004, [X.] [30] mwN; zur Funktionsweise eines [X.]s siehe [X.]/[X.], 3. Aufl., § 202a Rn. 84).

1. Der Angeklagte hat danach Datenveränderung gemäß § 303a Abs. 1 StGB in 327.379 tateinheitlichen Fällen begangen.

Gemäß § 303a Abs. 1 StGB macht sich strafbar, wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert. Die Vorschrift schützt das Interesse des Verfügungsberechtigten an der unversehrten Verwendbarkeit der gespeicherten oder übermittelten Daten ([X.] in [X.]/[X.], Handbuch des Wirtschafts- und Steuerstrafrechts, 4. Aufl., 14. Kapitel Rn. 108; [X.], StGB, 64. Aufl., § 303a Rn. 2; LK-StGB/[X.], 12. Aufl., § 303a Rn. 4 mwN; vgl. auch BT-Drucks. 10/5058, S. 34).

Der Angeklagte und seine Mittäter haben vorliegend durch den Eingriff in die [X.]en und der Datei nt.user.dat der geschädigten Computersysteme Daten im Sinne des § 303a Abs. 1 StGB verändert.

a) Diese Dateien sind taugliche Tatobjekte im Sinne der Legaldefinition des § 202a Abs. 2 StGB, nämlich solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden ([X.] aaO Rn. 110; [X.] aaO Rn. 3; [X.]/[X.], 2. Aufl., § 303a Rn. 8; zur nicht unmittelbaren Wahrnehmbarkeit [X.] [X.], 47, 49 mwN). Eine Beschränkung auf Computerdaten, wie in der Richtlinie auf 2013/40/[X.] vom 12. August 2013, Art. 2 lit.b, lässt sich dem Gesetz nicht entnehmen ([X.] aaO Rn. 3, § 202a Rn. 4 unter Hinweis auf BT-Drucks. 16/3656 S. 10; vgl. demgegenüber aber [X.], [X.], 441, 443), wobei dies im vorliegenden Fall zu keinen abweichenden Ergebnissen führen würde. Unter den so bestimmten [X.] fallen nach ganz einhelliger Meinung auch Programmdaten, da sie aus einer Vielzahl von Daten zusammengefügt sind und nicht unmittelbar wahrnehmbare Informationen enthalten (vgl. nur [X.]/[X.], 3. Aufl., § 202a Rn. 12 f. mwN; hierzu auch [X.], Beschluss vom 21. Juli 2015 - 1 StR 16/15, [X.], 339; aA nur v. [X.], [X.], 201, 204).

b) Da die Daten sich auf einem für den Angeklagten fremden Speichermedium befanden und ihm kein Nutzungs- oder Zugriffsrecht für bzw. auf diese zustand, braucht der [X.] nicht zu entscheiden, welcher einschränkender Kriterien es bedürfte, um eine Verfolgbarkeit allein inhaltlicher Unrichtigkeit von Daten zu verhindern und den Zusammenhang mit § 303 StGB zu wahren (vgl. [X.] aaO Rn. 111 f.; [X.] aaO Rn. 4 f.; [X.]/[X.] aaO Rn. 9 f.).

c) Ein Verändern liegt vor bei einem Herbeiführen von Funktionsbeeinträchtigungen der Daten, die eine Änderung ihres Informationsgehalts oder des Aussagewerts zur Folge haben (BT-Drucks. 10/5058, [X.]; [X.] aaO Rn. 118; [X.] in [X.]/[X.]/Wittig, Wirtschafts- und Steuerstrafrecht, 2. Aufl., § 303a StGB Rn. 20; [X.] [X.], 441, 443; LK-StGB/[X.], 12. Aufl., § 303a Rn. 27; [X.]/[X.], aaO Rn. 15). Hierunter fällt - entsprechend der Definition in § 3 Abs. 4 Satz 2 Nr. 2 BDSG (in der bis zum 24. Mai 2018 geltenden Fassung) - also jede Form der inhaltlichen Umgestaltung von gespeicherten Daten (LK-StGB/[X.], 12. Aufl., § 303a Rn. 27; [X.] in [X.]/[X.]/[X.], § 303a Rn. 10; [X.]/[X.], 2. Aufl., § 303a Rn. 15), wobei es nicht darauf ankommt, ob diese eine objektive Verbesserung darstellt ([X.] aaO Rn. 12; [X.]/[X.], Computer- und [X.]strafrecht, 2. Aufl., Rn. 589; [X.]/[X.], aaO Rn. 15; aA [X.] in [X.]/[X.]/[X.], StGB, § 303a Rn. 10). Entscheidend ist vielmehr, dass ein vom bisherigen abweichender Zustand herbeigeführt wird (BT-Drucks. 10/5058 S. 36 zu § 303b, aber unter Bezug auf § 303a; LK-StGB/[X.] aaO Rn. 27).

Durch das Hinzufügen der Einträge in der [X.] und die damit verbundene Veränderung des in der Datei nt.user.dat hinterlegten [X.], ist eine solche Funktionsbeeinträchtigung der Daten eingetreten. Denn die Schadsoftware startete beim Hochfahren des Rechners automatisch, ohne dass der Computernutzer hiervon Kenntnis bekam. Infolgedessen wurde ein ansonsten verschlossener Zugang zum [X.] geöffnet, worüber das Computersystem Verbindung mit dem vom Angeklagten betriebenen [X.] aufnahm und Informationen auf die Datenbank des Angeklagten übertrug. Vor der Hinzufügung dieser Einträge enthielt weder die zentrale Datenbank der betroffenen Computersysteme noch das in der Datei nt.user.dat hinterlegte Benutzerprofil die Information, dass die [X.] [X.], [X.] und [X.] beim Hochfahren des Rechners automatisch gestartet werden. Zudem war der für die Verbindung zum [X.] genutzte Port für Verbindungen zum [X.] durch die bisherige Konfiguration nicht freigegeben. Nach der Installation der Schadsoftware enthielten sie dagegen einen hiervon abweichenden Inhalt, dass nämlich diese Funktionen - das automatische Starten dieser Komponenten und damit auch die Verbindungsaufnahme zum [X.] über einen ansonsten verschlossenen Zugang (vgl. zur Datenveränderung durch Öffnen eines ansonsten verschlossenen Ports Buggisch/Kerling, Kriminalistik 2006, 531, 536; [X.], [X.], 47, 51; [X.] aaO 444; vgl. auch [X.], NJW 2003, 3233, 3238) - ausgeführt werden. Dadurch ist der Informationsgehalt dieser Dateien umgestaltet und mithin verändert worden.

Eine engere, diese Umgestaltung der auf den betroffenen Computersystemen enthaltenen, durch Daten verkörperten Informationen, nicht als Veränderung im Sinne des § 303a Abs. 1 StGB erfassende Auslegung würde dem Schutzzweck der Vorschrift nicht gerecht werden. Denn der Computernutzer betrieb ein Computersystem, welchem er nicht die Informationen gegeben hatte, die die durch die Schadsoftware bewirkten Funktionen, u.a. zum Betrieb eines Botnetzes (vgl. [X.] in [X.]/[X.]/Wittig aaO: Infektion des Rechners mit Schadsoftware zum Betrieb eines Botnetzes ist Verändern), zugelassen hätte. Sein Interesse an der unversehrten Nutzung des bisherigen Datenbestandes mit den von ihm bestimmten Beschränkungen, insbesondere dem geschlossenen Zugang zum [X.], ist durch die Hinzufügung der Funktionen beeinträchtigt.

Auf die Frage, ob ein Verändern von Daten im Sinne des § 303a Abs. 1 StGB auch vorliegt, wenn dem System durch die Installation eines [X.]s lediglich Daten hinzugefügt werden, ohne die vorhandenen ([X.] zu verändern (dies verneinend: [X.]/[X.], Computer- und [X.]strafrecht, 2. Aufl., Rn. 597; [X.], [X.], 323 [324 f.] und [X.] aaO Rn. 10; vgl. auch [X.] aaO S. 443), kommt es in Anbetracht der getroffenen Feststellungen nicht mehr entscheidungserheblich an.

2. Der Angeklagte hat sich tateinheitlich zu der Datenveränderung auch wegen [X.] von Daten nach § 202a StGB in 245.534 tateinheitlichen Fällen strafbar gemacht.

Gemäß § 202a Abs. 1 StGB macht sich strafbar, wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft. Die Vorschrift schützt das formelle Geheimhaltungsinteresse des Verfügungsberechtigten (BT-Drucks. 16/3656 [X.]; 10/5058 S. 29; [X.]/[X.] aaO Rn. 2 mwN; [X.]/[X.]/Lenckner/ [X.], StGB, 29. Aufl., § 202a Rn. 1; im Ergebnis auch [X.] in [X.]/ [X.], Handbuch des Wirtschafts- und Steuerstrafrechts, 4. Aufl., 14. Kapitel Rn. 72; [X.], StGB, 64. Aufl., § 202a Rn. 2; LK-StGB/[X.], 12. Aufl., § 202a Rn. 6; aA Haft NStZ 1987, 6, 9; [X.]/[X.]/Heger, StGB, 28. Aufl., § 202a Rn. 1). Geschützt sind Daten durch die Vorschrift aber nur dann, wenn der Verfügungsberechtigte das Interesse an ihrer Geheimhaltung durch besondere Sicherungsvorkehrungen dokumentiert hat ([X.], Beschlüsse vom 21. Juli 2015 - 1 StR 16/15, [X.], 339 und vom 6. Juli 2010 - 4 [X.], [X.], 154; [X.] in [X.]/[X.]/Wittig, Wirtschafts- und Steuerstrafrecht, 2. Aufl., § 202a Rn. 19; [X.]/[X.], § 202a Rn. 13; kritisch zur Dokumentation des [X.] durch Sicherung, Dietrich [X.], 247).

a) Die Daten waren infolge der jeweils aktivierten Firewall im Sinne des § 202a Abs. 1 StGB gegen unberechtigten Zugang besonders gesichert.

Um von einer Dokumentation an der Geheimhaltung der Daten ausgehen zu können, bedarf es einer zum Tatzeitpunkt bestehenden Zugangssicherung, die darauf angelegt sein muss, den Zugriff Dritter auf die Daten auszuschließen oder wenigstens nicht unerheblich zu erschweren. Darunter fallen insbesondere Schutzprogramme, die geeignet sind, unberechtigten Zugriff auf die auf einem Computer abgelegten Daten zu verhindern, und die nicht ohne fachspezifische Kenntnisse überwunden werden können und den Täter zu einer Zugangsart zwingen, die der Verfügungsberechtigte erkennbar verhindern wollte (vgl. dazu [X.], Beschlüsse vom 6. Juli 2010 - 4 [X.], [X.], 154 Rn. 6 und vom 21. Juli 2015 - 1 StR 16/15, [X.], 339 Rn. 8 f., jeweils mwN; BT-Drucks. 16/3656 S. 10; [X.]/[X.], 3. Aufl., § 202a Rn. 35 ff. mwN).

Auf der Grundlage der rechtsfehlerfrei getroffenen Feststellungen (vgl. oben 1. d) verfügten 245.534 der betroffenen Computersysteme zum Tatzeitpunkt über eine aktivierte Firewall. Diese stellt eine solche besondere Sicherung gegen unberechtigten Zugang dar. Denn sie dient gerade der Verhinderung eines unberechtigten Eindringens in das Netzwerk von außen und des Zugriffs auf (Rechner-)Daten innerhalb des Netzes (vgl. dazu auch [X.]/ [X.]/Lenckner/[X.], StGB, 29. Aufl., § 202a Rn. 14; [X.] in [X.]/[X.]/[X.], Handbuch Wirtschaftsstrafrecht, 4. Aufl., 6. Teil Rn. 100; vgl. auch allgemein zu software-integrierten Sicherungen [X.] aaO Rn. 79; [X.] aaO Rn. 9; [X.]/[X.] aaO Rn. 45). Einen unkontrollierten Zugriff aus dem [X.] auf den eigenen Rechner und mithin einen die jeweilige Firewall überwindenden Zugang wollten die Verfügungsberechtigten durch Verwendung einer solchen Sicherung erkennbar verhindern.

b) Der Angeklagte hat sich den Zugang zu den Daten auch durch die Überwindung gerade dieser Zugangssicherung verschafft, indem er die jeweils aktivierte Firewall mithilfe eines [X.]s umgangen hat. Denn erst durch den gezielten Einsatz eines [X.]s, der die Schadsoftware verbarg und den Computernutzer als Tatmittler glauben machte, er lade sich eine harmlose Musik-, Video oder Programmdatei herunter, tatsächlich aber unbewusst die [X.] installierte, konnten der Angeklagte und seine Mittäter die jeweilige Firewall überwinden und Zugang zu den Daten innerhalb des Netzes erlangen (dazu auch [X.] aaO Rn. 83). Ohne diese Täuschungen der Computernutzer mittels des [X.]s wäre der Zugriff auf die Daten durch die Firewall verhindert worden, da durch diese eine eingehende Verbindungsanfrage des vom Angeklagten betriebenen Netzwerks abgelehnt worden wäre. Dieses Ergebnis korrespondiert auch mit einer Auslegung des Willens des Gesetzgebers, demzufolge Hacking-Angriffe mithilfe von [X.]n unter Strafe gestellt werden sollten (vgl. BT-Drucks. 16/3656 [X.]).

Durch die beschriebene Vorgehensweise hat der Angeklagte nicht nur das schon tatbestandsmäßige Verschaffen des bloßen Zugangs verwirklicht (vgl. BT-Drucks. 16/3656 [X.]), sondern zusätzlich sich die Daten selbst verschafft, was durch die Einträge in seiner Datenbank belegt wird.

c) Weder der Angeklagte noch seine Mittäter waren befugt im Sinne des § 202a StGB, da die ausgespähten Daten nicht zu ihrer Kenntnisnahme bestimmt waren (vgl. hierzu [X.] aaO Rn. 12 mwN; [X.] aaO Rn. 34; [X.]/Brunst, Praxishandbuch [X.]strafrecht, 2009, Rn. 100).

d) Ob der Tatbestand des § 202a StGB darüber hinaus auch durch Einsatz der [X.] erfüllt wurde, wie vom [X.] angenommen, brauchte der [X.] hier nicht zu entscheiden. Zweifel daran bestehen, zumal dem [X.] aufgrund der enormen Datenmenge eine konkrete Zuordnung von gewonnenen, zuvor verschlüsselten Datensätzen nicht möglich war.

Die vom [X.] angenommene zusätzliche Tatbestandsverwirklichung durch die [X.] hat sich bei der Strafzumessung auch nicht ausgewirkt. Soweit dort die „multimodale Verwendungsmöglichkeit“ durch den „Zugriff“ berücksichtigt wird, wird dies von den Feststellungen getragen, ohne dass es auf die weitere Tatbestandsmäßigkeit ankommt.

e) Die Annahme von Tateinheit zwischen der Datenveränderung und dem Ausspähen von Daten durch das [X.] ist nicht zu beanstanden.

Die Feststellungen des [X.]s tragen die Verurteilung des Angeklagten wegen [X.] in Tateinheit mit Fälschung beweiserheblicher Daten gemäß § 263a Abs. 1 und 2, § 263 Abs. 3 Satz 2 Nr. 1, § 269 Abs. 1 StGB durch Anmietung der Server unter unbefugter Verwendung von Nutzerdaten der Geschädigten allerdings nur in 16 statt - wie vom [X.] ausgeurteilt - in 18 Fällen. Da insoweit im Hinblick auf den Zeitablauf auszuschließen ist, dass ergänzende, eine Strafbarkeit des Angeklagten tragende Feststellungen getroffen werden können, spricht der [X.] den Angeklagten in diesen beiden Fällen aus tatsächlichen Gründen frei.

1. Das [X.] hat sich in neun Fällen mit sachverständiger Hilfe davon überzeugt, dass die Zugangsdaten, nämlich Kundennummern bzw. Passwörter für die [X.]provider oder E-Mail-Adressen der [X.] für diese Anmietungen aus der vom Angeklagten im Rahmen des Botnetzes betriebenen Datenbank stammen. Zu dieser Datenbank waren die übertragenen Daten vom infizierten Rechner übermittelt worden.

In neun weiteren Fällen konnten die für die Anmietung verwendeten Daten zwar nicht in dem Bestand aus 1,9 Milliarden Daten festgestellt werden. Dennoch hat sich die [X.] davon überzeugt, dass der Angeklagte die Server unter Verwendung der durch die [X.] erlangten Daten anmietete. Das hat sie darauf gestützt, dass die angemieteten Server als Infektionsserver genutzt worden seien und der Angeklagte über die Schadsoftware die Möglichkeit gehabt habe, an die verwendeten Zugangsdaten zu gelangen. Nur in sieben dieser Fälle sind der Name des Geschädigten und der Zeitpunkt des Vertragsschlusses bekannt.

2. Dieser Schluss auf die Anmietung der Server unter Verwendung der vom Angeklagten mittels der Schadsoftware erlangten Daten ist allerdings nur insoweit tragfähig, als belegt wird, dass eine Anmietung unter Nutzung fremder Zugangsdaten überhaupt erfolgt ist. Soweit nämlich die Namen der Geschädigten bekannt sind, ist in der Zusammenschau ausreichend dargelegt, dass deren Zugangsdaten unbefugt zur Anmietung der Server verwendet worden sind.

In zwei Fällen - nämlich in den Fällen 3 und 18 der in den Urteilsgründen enthaltenen Tabelle (IP-Adressen             und             ) - ist dies allerdings nicht der Fall. Insoweit sind weder Feststellungen zu den Geschädigten, noch zu den [X.] und entstandenen Schäden getroffen worden. Festgestellt ist neben der verwendeten IP-Adresse lediglich, dass in diesen Fällen den nicht namhaft gemachten Computerinhabern eine Vermögensgefährdung bezüglich der Anmietkosten für vier Wochen entstanden sei.

Die [X.] legt hingegen nicht dar, woraus sie in diesen beiden Fällen den Schluss zieht, dass die Anmietung unter Nutzung fremder Zugangsdaten stattgefunden hat. Aus den Feststellungen für diese Fälle folgt zwar, dass der angemietete Server als Infektionsserver genutzt worden ist. Nachdem weder derjenige benannt werden konnte, dessen Daten verwendet worden sein sollen, noch festgestellt worden ist, dass den Providern ein tatsächlicher Schaden entstanden ist, kommt ebenso in Betracht, dass der Angeklagte diese Server unter Verwendung seiner Zugangsdaten angemietet und als Infektionsserver genutzt hat. Diese Möglichkeit wird von der [X.] nicht in den Blick genommen und infolgedessen auch nicht ausgeschlossen.

3. Eine Anmietung unter diesen Umständen stellt sich allerdings nicht als strafbar dar.

a) Danach hat der Angeklagte schon keine Daten im Sinne des § 263a Abs. 1 StGB unbefugt verwendet. Deswegen kommt es nicht mehr darauf an, dass die Höhe des eingetretenen Gefährdungsschadens in diesen beiden Fällen weder konkret festgestellt noch beziffert wird und damit die verfassungsrechtlichen Vorgaben nicht gewahrt sind (vgl. dazu [X.], Beschluss vom 23. Juni 2010 - 2 BvR 2559/08 Rn. 135 ff., insbesondere Rn. 150 [zu § 266 StGB], [X.]E 126, 170 sowie [X.], Urteil vom 15. April 2015 - 1 StR 337/14, [X.], 514 [515] und Beschluss vom 4. Februar 2014 - 3 StR 347/13, [X.], 457, jeweils mwN).

b) Aber auch eine Fälschung beweiserheblicher Daten kann auf dieser Grundlage nicht angenommen werden. Denn die Speicherung oder Veränderung beweiserheblicher Daten zur Täuschung im Rechtsverkehr ist danach nur strafbar, wenn bei Wahrnehmung der manipulierten Daten eine unechte oder verfälschte Urkunde vorliegen würde. Gleiches gilt für den täuschenden Gebrauch derartiger Daten (vgl. nur [X.], Beschlüsse vom 13. Mai 2003 - 3 [X.]; [X.], 265 und vom 16. April 2015 - 1 StR 490/14, [X.], 42). Diese Voraussetzungen sind für die zwei fraglichen Fälle hier nicht belegt.

c) Auch eine Strafbarkeit nach anderen Vorschriften kommt für die Anmietung der Server unter diesen Umständen nicht in Betracht.

4. Angesichts des Zeitablaufs seit der Anmietung der Server ist auszuschließen, dass weitergehende, den Angeklagten belastende Feststellungen getroffen werden können. Dies ergibt sich schon daraus, dass das [X.] festgestellt hat, dass über die bekannten IP-Adressen keine Rückschlüsse mehr auf die Nutzer gezogen werden können. Andere Anhaltspunkte zur Erlangung von Informationen über die verwendeten Zugangsdaten bestehen nicht. Der Angeklagte war daher für diese beiden Fälle freizusprechen, § 354 Abs. 1 [X.].

1. Die Strafzumessungserwägungen des [X.]s sind revisionsrechtlich nicht zu beanstanden.

Der Gesamtstrafausspruch konnte trotz der Aufhebung der für diese zwei Fälle verhängten Einzelstrafen von zweimal zehn Monaten infolge des Freispruchs bestehen bleiben. Angesichts der maßvollen Erhöhung der Einsatzstrafe von zwei Jahren und den für die 16 verbliebenen Fälle des [X.] in Tateinheit mit Fälschung beweiserheblicher Daten verhängten Einzelstrafen von jeweils zehn Monaten, konnte der [X.] ausschließen, dass die Änderung des Schuldspruchs und der Wegfall von zwei Einzelstrafen in Höhe von jeweils zehn Monaten Einfluss auf die verhängte Gesamtfreiheitsstrafe gehabt hätte.

2. Im Hinblick auf die überlange Dauer des Revisionsverfahrens, die der Angeklagte nicht zu vertreten hat, war anzuordnen, dass hinsichtlich der Gesamtfreiheitsstrafe ein Monat als vollstreckt gilt.

Die Anordnung des Verfalls der 86 [X.] sowie weiterer 1.730 [X.] erweist sich - bezüglich letztgenannten dem Grunde nach - als rechtsfehlerfrei. Sie hat allein insoweit keinen Bestand als der Verfall der weiteren 1.730 [X.] der Höhe nach nicht auf einen Betrag von 432.500 Euro begrenzt ist. Diesen begrenzenden Ausspruch hat der [X.] in entsprechender Anwendung des § 354 Abs. 1 [X.] nachgeholt.

1. Hinsichtlich der Verfallsanordnung des [X.]s kommt das vor dem 1. Juli 2017 geltende Recht zur Anwendung. Zwar finden ausweislich der einschlägigen Übergangsvorschrift zum Gesetz zur Reform der strafrechtlichen Vermögensabschöpfung (Art. 316h [X.]) mit Inkrafttreten des Gesetzes auch für bereits laufende Verfahren grundsätzlich ausschließlich die neuen Regelungen Anwendung (vgl. dazu BT-Drucks. 18/11640, [X.]). Allerdings sind gemäß Art. 316h Satz 2 [X.] die Vorschriften des Gesetzes zur Reform der strafrechtlichen Vermögensabschöpfung vom 13. April 2017 nicht in Verfahren anzuwenden, in denen bis zum 1. Juli 2017 bereits eine Entscheidung über die Anordnung des Verfalls oder des Verfalls von Wertersatz ergangen ist. Dies ist hier der Fall, sodass die seit dem 1. Juli 2017 geltenden Vorschriften keine Anwendung finden.

2. Das [X.] ist rechtlich zutreffend davon ausgegangen, dass die [X.] aus der Tat, nämlich der Datenveränderung gemäß § 303a StGB erlangt wurden und gemäß § 73 Abs. 1 Satz 1 aF StGB dem Verfall unterliegen.

a) Die mittels des Botnetzes generierten [X.] sind im Sinne des § 73 Abs. 1 Satz 1 aF StGB aus der Tat erlangt. Aus der Tat sind danach alle Vermögenswerte erlangt, die dem Täter unmittelbar aus der Verwirklichung des Tatbestandes selbst in irgendeiner Phase des [X.] zufließen ([X.], Urteile vom 2. Dezember 2005 - 5 [X.], [X.]St 50, 299 [309]; vom 30. Mai 2008 - 1 [X.], [X.]St 52, 227 [246] und vom 28. Oktober 2010 - 4 [X.], [X.]St 56, 39 [45 f.]; Beschlüsse vom 13. Februar 2014 - 1 StR 336/13, [X.], 354 [358] und vom 17. März 2016 - 1 [X.], [X.]R StGB § 73 Erlangtes 19).

Durch die Datenveränderung wurde auf dem betroffenen Computersystem eine Verbindung zum [X.] über das [X.] hergestellt, die vor dem Eingriff durch die Schadsoftware nicht stattgefunden hätte und auch nicht möglich gewesen wäre. Diese [X.]verbindung wurde genutzt, um nach 120 Sekunden Inaktivität durch den [X.] die Rechnerleistung von dessen [X.]ikkarte für die Rechenoperationen zu nutzen, die dem Schürfen der [X.] dienten. Durch die Nutzung der Rechenleistung erwarb der Angeklagte auch nicht lediglich eine Chance zum Schürfen von [X.], die er erst später realisierte (vgl. hierzu [X.], Urteil vom 21. März 2002 - 5 [X.], [X.]St 47, 260 [269 f.]). Vielmehr flossen ihm die 1.816 [X.] ohne jeden weiteren Zwischenschritt, mithin unmittelbar durch die - während der Nutzung der fremden Rechnerkapazitäten - andauernde Verwirklichung des Tatbestandes der Datenveränderung gemäß § 303a Abs. 1 StGB zu.

Erlangtes Etwas im Sinne der vorgenannten Vorschrift ist die Gesamtheit des materiell aus der Tat tatsächlich [X.] (dazu BT-Drucks. 12/989, [X.]; vgl. auch [X.], StGB, 64. Aufl., § 73 aF Rn. 8). Hiervon werden - ungeachtet ihrer Rechtsnatur (vgl. hierzu Goger, [X.], 431 [432 f.]; [X.], [X.], 441, 444; [X.], [X.], 295 [296]; [X.]/[X.], [X.], 1357 [1363] jeweils mwN) - auch [X.] erfasst. Sie stellen angesichts ihres Marktwertes einen realisierbaren Vermögenswert dar, für den der Angeklagte sowohl materiell Berechtigter ist als auch die faktische Verfügungsgewalt (vgl. hierzu [X.], Beschlüsse vom 12. Mai 2009 - 4 [X.], [X.], 320 und vom 17. März 2016 - 1 [X.], [X.]R StGB § 73 Erlangtes 19) hat. Sie sind angesichts der Speicherung in der Blockchain und der Kombination aus öffentlichen und dem Angeklagten bekannten privaten Schlüssel der [X.] hinreichend abgrenzbar (vgl. hierzu [X.] aaO) und damit tauglicher, wenn auch nicht körperlicher Gegenstand einer Verfallsanordnung (Goger aaO; [X.] aaO). Soweit dagegen geltend gemacht wird, [X.] könnten allein deswegen kein Verfallsgegenstand sein, da sie weder Sache noch Recht seien und deswegen der Wortlaut des § 73e aF StGB auf sie nicht anwendbar sei ([X.] aaO), kann dem nicht gefolgt werden. Die Vorschrift des § 73 Abs. 1 Satz 1 aF StGB enthält gerade keine solche Begrenzung auf Sachen oder Rechte ([X.], StGB, 64. Aufl., § 73 aF Rn. 9; [X.] aaO; [X.]/[X.] aaO; vgl. auch BT-Drucks. 12/989, [X.]). § 73e aF StGB kommt demgegenüber keine einschränkende Wirkung zu.

b) Ob der private Schlüssel für die [X.] den Ermittlungsbehörden bekannt ist, hat auf die Möglichkeit der Anordnung des Verfalls keine Auswirkung. Die Kenntnis dieses Schlüssels ist zwar Voraussetzung, um die faktische Verfügungsgewalt über die [X.] zu übernehmen. Dies betrifft aber allein die Vollstreckung der Verfallsentscheidung, lässt hingegen die Anordnung des Verfalls unberührt ([X.] aaO 445). Soweit der private Schlüssel zum Zeitpunkt der Entscheidung über den Verfall nicht bekannt ist, ist für die Vollstreckung der Anordnung des Verfalls die Mitwirkung des Angeklagten erforderlich. Ob diese erfolgt, kann bei der Entscheidung nicht beurteilt werden, weswegen es für die Anordnungsvoraussetzungen darauf nicht ankommen kann. Es handelt sich vielmehr um eine reine Vollstreckungsfrage.

c) Ansprüche von Verletzten stehen der Verfallsanordnung nicht entgegen. Nachdem sich die Ansprüche auf Beseitigung der Datenveränderung nicht auf die Rückerstattung des durch die Tat [X.] richten (vgl. [X.], StGB, 64. Aufl., § 73 aF Rn. 17), kommen insoweit nur Ansprüche von Verletzten in Betracht, die auf die Nutzung ihrer [X.]ikkarte für das Botnetz, also auf den hierdurch verbrauchten Strom bezogen sind. Da den betroffenen [X.] aufgrund der Besonderheiten des vorliegenden Falls die Möglichkeit fehlt, einen solchen zivilrechtlichen Anspruch schlüssig behaupten zu können, ihnen mithin kein durchsetzbarer Anspruch erwachsen ist, steht § 73 Abs. 1 Satz 2 aF StGB der Verfallsanordnung nicht entgegen (vgl. hierzu [X.] aaO mwN).

Regelungsziel dieser Vorschrift ist es, den Angeklagten vor einer doppelten Inanspruchnahme zu schützen und ihm die Mittel zu belassen, die er zur Erfüllung der Ansprüche des Verletzten benötigt (vgl. hierzu nur [X.], Urteil vom 11. Mai 2006 - 3 StR 41/06, [X.], 680; Beschlüsse vom 10. November 2009 - 4 [X.], [X.], 693 f. und vom 12. März 2015 - 2 StR 322/14, [X.], 171). Sie steht also der Anordnung des Verfalls entgegen, wenn zumindest eine abstrakte Gefahr einer doppelten Inanspruchnahme besteht (vgl. hierzu [X.], Beschluss vom 12. März 2015 - 2 StR 322/14, [X.], 171). Eine solche abstrakte Gefahr besteht zwar auch, wenn die durch die Taten des Angeklagten Geschädigten nicht ermittelt werden konnten und deren Feststellung auch künftig nicht zu erwarten, mithin mit der Geltendmachung und Durchsetzung von Schadensersatzansprüchen gegen den Angeklagten nicht zu rechnen ist ([X.], Beschluss vom 25. Juli 2006 - 4 StR 223/06) oder die Geschädigten bisher tatsächlich untätig geblieben sind ([X.], Urteil vom 11. Mai 2006 - 3 StR 41/06, [X.], 680; vgl. auch Beschluss vom 9. Dezember 2014 - 3 StR 438/14). Die Gefahr der doppelten Inanspruchnahme entfällt aber, wenn eine erfolgreiche Durchsetzung der Forderung aus Rechtsgründen ausgeschlossen werden kann (vgl. hierzu nur [X.], Urteil vom 11. Mai 2006 - 3 StR 41/06, [X.], 621 zum Verzicht und zur Verjährung).

So liegt es hier. Den Geschädigten ist es nicht möglich, den ihnen entstandenen Schaden zu beziffern. Hierzu müssten sie den gerade durch die Nutzung ihrer [X.]ikkarte für das Botnetz verbrauchten Strom plausibel machen können. Dies scheitert bereits daran, dass sie wegen der Besonderheit der Tat nicht bestimmen können, wann dies der Fall war. Danach ist es nicht lediglich aus tatsächlichen Gründen nicht (mehr) zu erwarten, dass die Geschädigten keine Ansprüche mehr geltend machen. Vielmehr scheidet es nach der Rechtslage aus, dass es noch zu einer Erfüllung der Ersatzforderung der betroffenen Computernutzer kommen könnte. Da das Risiko einer zumindest theoretischen Doppelbeanspruchung danach nicht besteht, wäre es mit dem Zweck der anzuwendenden Verfallsvorschriften - Abschöpfung des Taterlöses - unvereinbar, in diesem Fall über die Anwendung des § 73 Abs. 1 Satz 2 aF StGB dem Angeklagten die Möglichkeit zu eröffnen, sich die aus der Tat verschafften Vorteile zu sichern ([X.] aaO).

3. Allerdings ist infolge der Anordnung des Verfalls von Wertersatz in Höhe von 432.500 Euro bezüglich der weiteren 1.730 [X.] im ersten Rechtsgang nunmehr gemäß § 358 Abs. 2 Satz 1 [X.] die Anordnung des Verfalls der Höhe nach auf diesen Betrag zu beschränken.

Durch das aus der Vorschrift resultierende und von Amts wegen zu prüfende ([X.], Urteil vom 14. Oktober 1959 - 2 StR 291/59, [X.]St 14, 5 [7]; Beschluss vom 3. April 2013 - 3 StR 60/13, [X.], 466; [X.] in [X.]/[X.], [X.], 60. Aufl., § 358 Rn. 13) Verbot der Schlechterstellung darf das angefochtene Urteil in Art und Höhe der Rechtsfolgen der Tat nicht zum Nachteil des Angeklagten geändert werden, wenn lediglich der Angeklagte, zu seinen Gunsten die Staatsanwaltschaft oder sein gesetzlicher Vertreter Revision eingelegt hat. Denn der Angeklagte soll bei seiner Entscheidung darüber, ob er von einem ihm zustehenden Rechtsmittel Gebrauch machen will, nicht durch die Besorgnis beeinträchtigt werden, es könne ihm durch die Einlegung eines Rechtsmittels ein Nachteil entstehen (st. Rspr.; vgl. nur [X.], Urteil vom 10. November 1999 - 3 StR 361/99, [X.]St 45, 308 [310] mwN).

Das Verschlechterungsverbot gilt auch für die Verfallsvorschriften (vgl. nur [X.], Beschlüsse vom 9. November 2010 - 4 StR 447/10, [X.], 229 und vom 6. Februar 2014 - 1 StR 577/13, [X.], 29) und bewirkt, dass die Maßnahme im Falle einer Anordnung nicht über den ursprünglichen Gegenstand hinaus erweitert werden darf (vgl. [X.], Beschlüsse vom 17. September 2013 - 5 [X.], [X.], 32 und vom 13. Januar 2010 - 2 [X.], [X.], 207; [X.] in [X.]/[X.], [X.], 60. Aufl., § 331 Rn. 21; [X.] [X.]/Wiedner, [X.]., § 358 Rn. 24). Zwar bleibt die Vermögensabschöpfung auf die [X.] beschränkt und erfasst unmittelbar keinen darüber hinausgehenden Gegenstand. Das Entfallen der Wertgrenze für die Vermögensabschöpfung, die dem Angeklagten im ersten Rechtsgang als Begünstigung gewährt worden war, stellt aber nach der gebotenen faktischen Betrachtungsweise (vgl. hierzu [X.], Beschluss vom 28. August 2007 - 4 [X.], [X.], 510) eine den Angeklagten - je nach volatiler Entwicklung der [X.] - möglicherweise ungleich stärker belastende und damit schwerere Rechtsfolge dar (vgl. hierzu [X.], Beschlüsse vom 13. Januar 2010 - 2 [X.], [X.], 207 und vom 3. April 2013 - 3 StR 60/13, [X.], 466). Der Angeklagte durfte darauf vertrauen, dass die neuerliche Vermögensabschöpfung nicht über einen Betrag von 432.500 Euro hinausgeht.

Die Kostenfolge für den freisprechenden Teil ergibt sich aus § 467 Abs. 1 [X.]. Die Kostenentscheidung im Übrigen beruht infolge des teilweisen Erfolgs des Rechtsmittels im Hinblick auf die Verfallsentscheidung auf § 473 Abs. 4 [X.].