Ausspähen von Daten – Zugangsbeschränkung gegenüber einem zugriffsfähigen Administrator

Regelmäßig verschaffen sich Cyberkriminelle Zugang zu fremden IT-Systemen, indem sie sich als Administrator ausgeben oder sich einen Admin-Zugang verschaffen. Mit einem Admin-Zugang einher gehen typischerweise Zugangs- und Eingriffsbefugnisse, welche über die eines regulären Systemnutzers hinausgehen. Dies ermöglicht häufig auch den Zugriff auf die Nutzerkonten anderer Nutzer von IT-Systemen.

Entgegen des typischen Falls des Ausspähens von Daten gemäß § 202a Absatz 1 StGB setzte sich der Bundesgerichtshof in seinem Beschluss vom 13. Mai 2020 (5 StR 614/19) damit auseinander, ob sich nicht auch ein Dritter mit Zugang zum System, sondern auch eine als Systemadministrator angestellte Person gemäß § 202a Absatz 1 StGB strafbar macht, wenn sie ihre Zugriffsbefugnisse ausnutzt um unbefugt auf die Daten anderer Systemnutzer zuzugreifen.

Entscheidende Frage war, ob ein Konto i.S.d. §202a Absatz 1 StGB gegen unberechtigten Zugang gesichert ist, wenn der Systemadministrator infolge seiner Stellung ungehindert auf dieses Zugreifen kann. Der BGH bejahte dies im vorliegend im Fall eines als Systemadministrator beim Bundesministerium für Gesundheit Angestellten.

Der Angeklagte wurde vom Bundesministerium für Gesundheit ab Juli 2008 als Systemadministrator am Berliner Standort des Ministeriums eingesetzt. Spätestens im Januar 2009 kam er mit einem Dritten überein, dass er diesen mit Informationen aus dem Ministerium versorgen werde. Dem Angeklagten war es als Administrator möglich, nach Anmeldung mit seinem Passwort im zentralen Verzeichnis des Systems Zugriff auf alle darin elektronisch geführten Postfächer und auf den Inhalt gespeicherter E-Mails zu nehmen. Trotz bald darauf geänderter Eingriffsbefugnisse gelang es dem Angeklagten mittels Änderung von Systemeinstellungen weiterhin Zugriff auf die Postfächer anderer Systemnutzer zu erlangen.

Spätestens von Ende 2009 bis zum 6. November 2012 griff der Angeklagte in 33 Fällen auf öffentliche und jeweils auch private Postfächer zu, die ihm der Dritte zuvor bezeichnet hatte. Anschließend kopierte er E-Mail-Dateien, speicherte sie auf einer CD und übergab diese für 600 bzw. später 400 Euro an den Dritten oder dessen Mitarbeiterin. 

Obwohl der Angeklagte auf die Postfächer infolge seiner dienstlichen und systeminternen Stellung zugreifen konnte, waren diese Daten gemäß § 202a Absatz 1 StGB gegen unberechtigten Zugang besonders gesichert. Dies ist der Fall, wenn Vorkehrungen getroffen sind, welche den Zugriff auf Daten auszuschließen oder wenigstens nicht unerheblich erschweren. Durch die Sicherung muss der Berechtigte sein spezielles Interesse an der Geheimhaltung der Daten dokumentieren.

Im vorliegenden Fall war der Zugang zu dem jeweiligen EDV-Arbeitsplatz des einzelnen Behördenmitarbeiters und damit auch zu seinen nicht öffentlich zugänglichen persönlichen Dienst-E-Mails – wie allgemein üblich – durch Passwörter gesichert. Für das Vorliegen einer Zugangssicherung ist auf die allgemeine Sicherung der Daten gegenüber dem Zugriff Unbefugter abzustellen, nicht darauf, ob Eingeweihte wie Systemadministratoren oder Experten leicht auf die Daten zugreifen können.

Es ist auch nicht erforderlich, dass die Sicherung gerade gegenüber dem Täter wirkt. Dass dem Angeklagten als Administrator der tatsächliche Zugriff auf die Daten möglich war, ist deshalb nach Auffassung des BGHs unerheblich.

Der vorliegende Senat entschied entsprechend vor allem, um die § 202a StGB zugrunde liegende gesetzgeberische Wertung zu verwirklichen. Nach den Gesetzesmaterialien muss die Überwindung der Zugangssicherung einen nicht unerheblichen zeitlichen oder technischen Aufwand erfordern, weshalb vom Tatbestand solche Fälle nicht erfasst werden, in denen die Durchbrechung des Schutzes ohne weiteres möglich ist. Dies versteht der Senat dahingehen, dass die Überwindung der Zugangssicherung typischerweise – also unabhängig von spezifischen Möglichkeiten oder Kenntnissen des konkreten Täters – einen nicht unerheblichen Aufwand erfordern muss. 

Entscheiden ist hierbei der Schutz des durch § 202a StGB geschützten Rechtsguts, das formelle Geheimhaltungsinteresse des bezüglich der Daten Verfügungsberechtigten. Diesem dient das Abstellen auf das Vorliegen einer typischerweise gegen den Zugriff Dritter schützenden Zugangssicherung. Den gerade auch gegenüber systeminternen und daher häufig mit besonderen Eingriffsmöglichkeiten verbundenen Eingriffen hat der Dateninhaber ein besonders schützenswertes Geheimhaltungsinteresse.

Rechtsanwalt Dietrich, Fachanwalt für Strafrecht Berlin

Das könnte dich auch interessieren …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.