Areas of law tree

Allgemeines Strafrecht

Rechtsanwalt Rechtsanwalt Dirk Streifler - Partner, Handels- und Gesellschaftsrecht, Insolvenzrecht, Steuerrecht, Strafrecht, Maklerrecht, Verfassungsrecht, Oranienburger Straße 69
Rechtsanwalt Dirk Streifler - Partner
030-278740 42
Oranienburger Straße 69
10117 Berlin
Mo - Fr durchgehend von 8:00 - 18:00
Rechtsanwalt Rechtsanwalt Dr. Benedikt Mick - Fachanwalt für Strafrecht - Partner, Gewerblicher Rechtsschutz, Strafrecht, Urheber- und Medienrecht, Oranienburger Straße 69
Rechtsanwalt Dr. Benedikt Mick - Fachanwalt für Strafrecht - Partner
030-278740 59
Oranienburger Straße 69
10117 Berlin
Mo - Fr durchgehend von 8:00 - 18:00

Other documents on aol

Strafrecht: Datenveränderung in Tateinheit mit Ausspähen von Daten

Rechtsanwalt Rechtsanwalt Dirk Streifler - Partner, Handels- und Gesellschaftsrecht, Insolvenzrecht, Steuerrecht, Strafrecht, Maklerrecht, Verfassungsrecht, Oranienburger Straße 69
Rechtsanwalt Dirk Streifler - Partner
030-278740 42
Oranienburger Straße 69
10117 Berlin
Mo - Fr durchgehend von 8:00 - 18:00
Rechtsanwalt Rechtsanwalt Dr. Benedikt Mick - Fachanwalt für Strafrecht - Partner, Gewerblicher Rechtsschutz, Strafrecht, Urheber- und Medienrecht, Oranienburger Straße 69
Rechtsanwalt Dr. Benedikt Mick - Fachanwalt für Strafrecht - Partner
030-278740 59
Oranienburger Straße 69
10117 Berlin
Mo - Fr durchgehend von 8:00 - 18:00

Das Hinzufügen von Einträgen in der Registry-Datei eines Computers zum automatischen Starten heimlicher Hintergrundprogramme stellt ein Verändern von Daten dar – BSP Rechtsanwälte – Anwälte für Strafrecht Berlin

Ein Verändern von Daten im Sinne des § 303a Abs. 1 StGB liegt vor, wenn eine Funktionsbeeinträchtigung der Daten herbeigeführt wird, die eine Änderung ihres Informationsgehalts oder Aussagewerts zur Folge hat. Hierzu zählt jede Form der inhaltlichen Umgestaltung gespeicherter Daten. Es kommt nicht darauf an, ob die Umgestaltung eine objektive Verbesserung darstellt. Maßgeblich ist vielmehr, dass ein vom bisherigen Zustand abweichender neuer Zustand herbeigeführt wird.

§ 202 a StGB schützt Daten, wenn der Verfügungsberechtigte das Interesse an ihrer Geheimhaltung durch besondere Sicherungsvorkehrungen dokumentiert hat. Eine solche Dokumentation an der Geheimhaltung der Daten liegt vor, wenn zum Tatzeitpunkt eine Zugangssicherung vorliegt, die darauf angelegt ist, den Zugriff Dritter auf die Daten auszuschließen oder zumindest nicht unerheblich zu erschweren. Hierunter fallen unter anderem Schutzprogramme wie Firewalls, sofern sie geeignet sind, unberechtigten Zugriff auf die auf einem Computer abgelegten Daten zu verhindern und deren Überwindung fachspezifische Kenntnisse erfordert.


Der BGH hat in seinem Beschluss vom 27.07.2017 (1 StR 412/16) folgendes entschieden:


Tenor:


Auf die Revision des Angeklagten wird das Urteil des Landgerichts Kempten vom 13. April 2016 

a) im Schuldspruch dahingehend geändert, dass der Angeklagte der Datenveränderung in 327.379 tateinheitlichen Fällen in Tateinheit mit 245.534 tateinheitlichen Fällen des Ausspähens von Daten sowie der Fälschung beweiserheblicher Daten in 16 Fällen jeweils in Tateinheit mit Computerbetrug, schuldig ist; 

b) im Ausspruch über den Verfall weiterer 1.730 Bitcoins dahingehend geändert, dass dieser der Höhe nach auf einen Betrag von 432.500 Euro begrenzt ist; 

c) aufgehoben, soweit der Angeklagte in den Fällen 3 und 18 der in den Urteilsgründen enthaltenen Tabelle verurteilt worden ist. 

Insoweit wird der Angeklagte freigesprochen. 

Die weitergehende Revision des Angeklagten wird mit der Maßgabe als unbegründet verworfen, dass von der Gesamtfreiheitsstrafe ein Monat als vollstreckt gilt.  

Im Umfang des Teilfreispruchs fallen die Kosten des Verfahrens und die notwendigen Auslagen des Angeklagten der Staatskasse zur Last. 

Die von dem Angeklagten zu tragende Gebühr für dieses Revisionsverfahren wird um ein Sechstel ermäßigt. Die Kosten und die dem Angeklagten entstandenen notwendigen Auslagen für dieses Revisionsverfahren trägt die Staatskasse zu einem Sechstel und der Angeklagte zu fünf Sechsteln.


Gründe


Das Landgericht hatte den Angeklagten in einem ersten Urteil wegen Ausspähens von Daten in Tateinheit mit Datenveränderung sowie wegen Computerbetruges in 18 Fällen jeweils tateinheitlich mit Fälschung beweiserheblicher Daten zu einer Gesamtfreiheitsstrafe von drei Jahren verurteilt. Es hatte zudem den Verfall der sichergestellten 86 Bitcoins und den Verfall von Wertersatz in Höhe von 432.500 Euro sowie die Einziehung von im Einzelnen näher bezeichneter Computerhardware nebst Zubehör angeordnet. Auf die Sachrüge des Angeklagten hatte der Senat das Urteil mit den Feststellungen aufgehoben.

Nunmehr hat das Landgericht den Angeklagten wegen Datenveränderung in 327.379 tateinheitlichen Fällen in Tateinheit mit 245.534 tateinheitlichen Fällen des Ausspähens von Daten und wegen Computerbetruges in 18 Fällen, jeweils in Tateinheit mit Fälschung beweiserheblicher Daten, zu einer Gesamtfreiheitsstrafe von zwei Jahren und zehn Monaten verurteilt. Daneben hat es den Verfall von 86 sichergestellten Bitcoins sowie weiterer 1.730 Bitcoins angeordnet und in der Urteilsformel konkret bezeichnete Computerhardware eingezogen. Hiergegen wendet sich der Angeklagte mit seiner Revision, mit der er die nicht näher ausgeführte Sachrüge erhebt. Sein Rechtsmittel führt zu einer Änderung des Schuldspruchs, einem Freispruch in zwei Fällen sowie einer Beschränkung des Verfalls der Höhe nach; im Übrigen ist es gemäß § 349 Abs. 2 StPO unbegründet.

Das Landgericht hat folgende Feststellungen und Wertungen getroffen:

Der Angeklagte und der rechtskräftig Verurteilte R. schlossen sich zu einem nicht näher bekannten Zeitpunkt Anfang des Jahres 2012 zusammen, um ein sogenanntes Botnetz aufzubauen.

Dabei handelt es sich um einen Zusammenschluss einer Vielzahl von Computern, auf denen Programme - zumeist vom Nutzer unbemerkt - im Hintergrund automatisiert sich wiederholende Rechenaufgaben abarbeiten. Die Programme verbinden sich selbständig mit einem durch den sogenannten Bot-Herder gesteuerten zentralen Command-and-Control-Server, so dass der Bot-Herder infolgedessen die angeschlossenen Rechner fernsteuern und für seine Zwecke nutzen kann. Die Bots werden von den Computernutzern häufig durch das Öffnen eines sogenannten trojanischen Pferdes, einer getarnten Schadsoftware, unbewusst selbst installiert oder es erfolgt eine Infektion des Rechners über eine Sicherheitslücke des Betriebssystems, des Webbrowsers oder eines Programms. Das vom Angeklagten und R. geplante Botnetz sollte einerseits der Erzeugung von Bitcoins, dem sogenannten „Bitcoin-Mining“, und andererseits der Datenspionage dienen.

Bitcoin ist ein weltweit verfügbares dezentrales Zahlungssystem und der Name einer virtuellen Geldeinheit. Die Übertragung von Bitcoins geschieht über einen Zusammenschluss von Rechnern über das Internet und wird mithilfe einer speziellen Peer-to-Peer-Anwendung, also ohne Einbeziehung einer als Bank dienenden Zentrale, abgewickelt. Sämtliche Bitcoins werden im öffentlichen Transaktionsregister, der sogenannten Blockchain, gespeichert. Ihre Zuordnung zu einzelnen Teilnehmern erfolgt über persönliche digitale Brieftaschen, sogenannte Wallets, über die das Guthaben verwaltet wird. Hierfür gibt es einen, jedem Teilnehmer des Peer-to-Peer Netzwerks erkennbaren öffentlichen und einen privaten, nur dem Inhaber der Wallet bekannten Schlüssel. Der Marktwert von Bitcoins ergibt sich aufgrund von Angebot und Nachfrage

Mit jeder Transaktion, die von der Mehrheit der Teilnehmer des Netzwerks als gültig bestätigt werden muss, um als ausgeführt zu gelten, werden bis zum Erreichen der systembedingten Maximalmenge zugleich neue Bitcoins erzeugt. Die für die Bestätigung der Transaktionen erforderlichen Rechenoperationen bestehen in der Lösung kryptographischer Aufgaben, wodurch das öffentliche Transaktionsregister der Kryptowährung, die Blockchain, erweitert wird. Die hierfür zu lösenden Algorithmen werden mit zunehmender Anzahl von Bitcoins immer komplexer und erfordern den Einsatz von zunehmend steigender Rechenzeit und -leistung. Derjenige Teilnehmer, der die Rechenoperation durchgeführt hat, erhält die mit der Erweiterung der Blockchain neu geschürften Bitcoins seiner Wallet gutgeschrieben. Je größer die eingesetzte Rechnerleistung, desto größer ist die Wahrscheinlichkeit, das richtige Ergebnis zu finden. Gewöhnliche Prozessoren sind jedoch nicht rentabel, da die durch sie verursachten Stromkosten den durch die neu generierten Bitcoins erfolgten Wertzuwachs minimieren. Die Stromkosten fallen jedoch bei der Lösung der Rechenaufgaben durch ein Botnetz bei dem Nutzer der mit Schadsoftware infizierten Hardware und nicht bei dem sie über den Command-and-Control-Server steuernden Bot-Herder an, was die Attraktivität der Botnetze für das Schürfen von Bitcoins erklärt.

R. kam die Aufgabe zu, die als Musik-, Video- oder Programmdatei zum Herunterladen aus dem Internet getarnte Schadsoftware in Form eines Trojaners nebst Möglichkeit zur Bitcoin-Generierung zu entwickeln. Als Grundlage hierfür diente ihm die als Software frei zugängliche sogenannte Zeus-Komponente, die eine sogenannte Keyloggingfunktion zur Übermittlung von Tastenanschlägen des betroffenen Nutzers und ein Spionageprogramm zur Aufdeckung und Manipulation verschlüsselten Netzwerkverkehrs enthielt. Diese ergänzte er um die TOR-Komponente, ein Netzwerk zur Anonymisierung von Verbindungsdaten, und die der Bitcoin-Generierung dienende Programmkomponente cgminer.exe, welche die Rechnerleistung der Grafikkarte nutzbar machte. Die Schadsoftware wurde sodann mit einer von R. und dem Angeklagten entwickelten Verschleierungsschicht und dem Kernschadprogramm angereichert. Der Angeklagte war für das Hochladen in das Usenet zuständig. Das Usenet ist ein Teil des Internets, der vorwiegend der anonymen Verschaffung illegaler Raubkopien dient und einen besonderen kostenpflichtigen Zugang beim Nutzer voraussetzt.

Kurz vor dem 13. März 2012 begann der Angeklagte, mit der Schadsoftware versehene Dateien auf verschiedene Server in das Usenet hochzuladen

Wegen des damit verbundenen hohen Zeitanfalls warb er ab etwa Mitte des Jahres 2012 drei weitere Mittäter, sogenannte Spreader an, die insgesamt mehrere Millionen infizierte Dateien hochluden.

Der Trojaner war für die Betriebssysteme ab Windows XP bis Windows 7 bestimmt. Seit der Softwareaktualisierung Servicepack 2 verfügen diese Betriebssysteme standardmäßig über eine aktivierte „Firewall“. Diese lässt sich manuell deaktivieren. Bei einer „Firewall“ handelt es sich um eine Zugriffssicherung für Netzwerke, um Angriffe aus dem Internet auf den Computer des Nutzers zu vereiteln. Hierzu werden insbesondere eingehende Verbindungsanfragen anhand der Konfiguration unter Windows geprüft und sofern keine Erlaubnis in Form einer speziellen, diesen Zugriff erlaubenden Konfiguration vorliegt, abgelehnt. Wäre die vom Nutzer selbst heruntergeladene Schadsoftware nicht als Musik-, Video- oder Programmdatei getarnt gewesen, wäre das Programm, das den Zugriff des Command-and-Control-Servers auf den Computer ermöglichte, mittels der Firewall dieser Kontrolle unterzogen und der Zugriff verweigert worden.

In dem Zeitraum vom 13. März 2012 bis zum 4. Oktober 2013 luden insgesamt 327.379 Computernutzer die Schadsoftware auf ihren Rechner herunter. Da sie durch die Tarnung davon ausgingen, es handele sich um die gewünschte Musik-, Video- oder Programmdatei, bejahten sie die Frage, ob das Programm installiert werden solle. Sie installierten sodann unbewusst den Trojaner und setzten in mindestens 245.534 Fällen infolgedessen ebenso unbewusst selbst die Firewall außer Kraft. In der zentralen Registrierungsdatenbank der jeweiligen Betriebssysteme, der sogenannten Registry-Datei, wurde ein Schlüssel und darin ein Wert erzeugt, der als Konfigurationseintrag für die Zeus-Komponente diente. Zudem wurde ein zusätzlicher Eintrag hinzugefügt, wodurch die Schadsoftware, insbesondere die Programmkomponenten Zeus, TOR und cg.miner, beim Hochfahren des Rechners automatisch startete, ohne dass der Computernutzer hiervon Kenntnis erlangte. Diese Veränderung der Registry-Datei führte zu einer grundlegenden Änderung der Datenstruktur und zugleich der Datei ntuser.dat, unter der die Werte des Benutzerprofils hinterlegt sind. Nach Installation des Trojaners nahm der Rechner des betroffenen Nutzers über einen ansonsten verschlossenen Zugang, den Port 42349, Verbindung mit dem Command-and-Control-Server auf. Da es sich um eine ausgehende Verbindungsanfrage handelte, wurde diese durch die Firewall nicht blockiert. Diese ausgehende Verbindung hätte ohne die Funktionen der Schadsoftware die Einrichtung einer speziellen Konfiguration des Systems erfordert.

Anschließend wurden die individuell vergebenen Computernamen, die verwendeten Betriebssysteme sowie weitere Informationen und Tastatur-Eingaben der infizierten Rechner über die Ports 42349 und 9050 an eine vom Angeklagten und R. angelegte Datenbank übertragen und dort gespeichert. Darüber hinaus wurde ab einer Inaktivität des Computernutzers von 120 Sekunden mittels der Programmkomponente cg.miner die Rechenleistung der Grafikkarte für die Lösung komplexer Rechenaufgaben genutzt, für deren Bewältigung Bitcoins gutgeschrieben wurden. Über die Keyloggingfunktion der Zeus-Komponente wurden die letzten 1.000 Tastenanschläge an den Datenbankserver des Angeklagten übermittelt; zudem überschrieb Zeus die Programmcodes der für Ver- und Entschlüsselung zuständigen Netzwerkbibliotheken, so dass die Eingabe von Kontodaten, Geheimnummern und Passwörtern in unverschlüsselter Form an den Angeklagten übertragen wurde

Die vom Angeklagten und R. betriebene Datenbank zeichnete bis zum Herunterfahren des Hauptservers zum 4. Oktober 2013 Einträge auf, wonach sich 327.379 Nutzer den Trojaner hinuntergeladen hatten. Das Landgericht konnte weder die Anzahl der verwendeten Versionen der Schadsoftware ermitteln, noch wie viele verschiedene Dateien in das Usenet hochgeladen wurden. Infolgedessen ist es zugunsten des Angeklagten davon ausgegangen, dass sämtliche Computernutzer ihre Rechner mit derselben Datei der Schadsoftware aus dem Usenet infiziert haben.

Zum Betrieb des Botnetzes wurden insgesamt sieben Server betrieben, wobei es sich um einen Command-and-Control-Server, einen Hauptserver, einen Statistikserver und vier immer wieder wechselnde Server zur Bereitstellung der infizierten Dateien zum Download handelte.

Zwischen dem 19. November 2012 und dem 17. März 2013 mieteten entweder der Angeklagte selbst oder die von ihm beauftragten Spreader unter missbräuchlicher Verwendung zuvor durch die beschriebene Vorgehensweise ausgespähter Zugangsdaten in insgesamt 18 Fällen Server für den Betrieb des Botnetzes und die Verbreitung der Schadsoftware an. Die Server wurden aufgrund jeweils neuen Tatentschlusses und nicht aufgrund automatisierter Routinen unter Verwendung der Logindaten der Geschädigten angemietet; deren Freischaltung erfolgte in einem automatisierten Verfahren nach elektronischer Übermittlung des Antrags und der Daten. Hierdurch versprach sich der Angeklagte nicht zurückverfolgt werden zu können und sich die Anschluss- und Nutzungsgebühren zu ersparen.

Durch die Anmietung der Server entstand den Anbietern ein Gesamtschaden in Höhe von 7.349,75 Euro, nachdem diese den betroffenen Nutzern die angefallenen Kosten erstattet hatten. In zwei Fällen „entstand den Computernutzern eine Vermögensgefährdung hinsichtlich der Anmietkosten für vier Wochen“. Für diese beiden Fälle konnten weder der betroffene Anschlussinhaber noch der Zeitpunkt des Vertragsabschlusses benannt werden.

Während 86 unverschlüsselte Bitcoins beschlagnahmt wurden, konnten weitere 1.730 Bitcoins lediglich vorläufig gesichert werden, weil deren Zugriff passwortgeschützt war, der Angeklagte das Passwort nicht preis gab und eine Entschlüsselung nicht möglich war.

Der Schuldspruch wegen Datenveränderung in 327.379 tateinheitlichen Fällen in Tateinheit mit 245.534 tateinheitlichen Fällen des Ausspähens von Daten gemäß §§ 202a, 303a Abs. 1, § 25 Abs. 1 und 2, § 52 StGB weist keinen Rechtsfehler auf.

Die Überzeugung des Landgerichts von dem insoweit festgestellten Sachverhalt beruht auf einer rechtsfehlerfreien Beweiswürdigung

Zwar hat der Angeklagte eine Beteiligung an dem Botnetz bestritten. Das Landgericht hat dies jedoch mit nicht zu beanstandenden Erwägungen als unwahre Schutzbehauptung gewertet und sich hierfür insbesondere auf die Angaben des R. und weiterer Zeugen für die zwischen R. und dem Angeklagten im Tatzeitraum geführte Handykommunikation sowie einen Chat gestützt, in dem der Angeklagte gegenüber einem weiteren Zeugen Details zur Vorgehensweise einschließlich der Benennung des Vornamens des Mittäters R. offen gelegt hat.

Auch die Feststellungen zur Anzahl der Computersysteme, deren Nutzer sich das vom Angeklagten und R. in das Usenet gestellte trojanische Pferd mitsamt der Schadsoftware heruntergeladen und auf ihrem Computer installiert haben, fußen auf einer tragfähigen Grundlage. Hierzu hat das Landgericht die Einträge in der Datenbank des Hauptservers des Botnetzes ausgewertet und anhand der dort aufgezeichneten 327.379 individuellen IP-Adressen, die neben anderen Merkmalen nach erfolgreicher Installation der Schadsoftware an den Hauptserver des Botnetzes übertragen worden waren, die Anzahl der betroffenen Nutzer bestimmt. Da die IP-Adressen nebst weiteren Angaben nicht ohne die Installation des Trojaners an den vom Angeklagten betriebenen Datenbankserver übertragen worden wären, durfte das Landgericht aus der Aufzeichnung dieser Daten in der Datenbank des Angeklagten auf die erfolgreiche Installation der Schadsoftware schließen.

Die Wirkungsweise der vom Computernutzer unbewusst installierten Schadsoftware hat das Landgericht auf der Grundlage der nachvollziehbar dargelegten Erläuterungen der Sachverständigen hinreichend genau festgestellt. Insbesondere ergibt sich daraus zum einen, dass das Programm auf die Umgehung der - Zugriffe aus dem Internet verhindernden - Firewall angelegt war, indem es den Computernutzer über den Inhalt der heruntergeladenen und installierten Software getäuscht hat. Zum anderen wird daraus aber auch deutlich, zu welchen Funktionsänderungen die zusätzlichen Einträge in der Registry und damit in der das Benutzerprofil speichernden Datei nt.user.dat führten, dass nämlich Funktionen ausführende Komponenten gestartet, dadurch eine zuvor durch die Konfiguration des Computers nicht erlaubte Verbindung zum Command-and-Control-Server hergestellt und Daten an den Hauptserver des Botnetzes übertragen wurden.

Soweit das Landgericht davon ausgeht, dass jedenfalls 75 % der betroffenen Nutzer, mithin 245.534 tatsächlich eine aktivierte Firewall auf ihrem Computersystem nutzten, ist auch dies tragfähig begründet.

Insoweit waren dem sachverständig beratenen Landgericht konkrete Feststellungen zu den einzelnen betroffenen Computersystemen unmöglich. Denn anhand der übertragenen Daten war weder eine Identifizierung der Nutzer derselben noch deren konkrete Konfiguration zu ermitteln. Zwar waren die IP-Adressen bekannt, anhand des Zeitablaufs konnte aber bei den Internetprovidern keine Zuordnung der betroffenen Accounts mehr erfolgen.

Deswegen war das Landgericht befugt, auf das Vorhandensein einer aktiven Firewall indiziell zu schließen, zumal da individuelle Leistungsmotive insoweit keine Rolle spielten.

Die tatsächlichen Umstände, aus denen es auf das Vorhandensein einer aktiven Firewall bei 75 % der betroffenen Computersysteme geschlossen hat, hat es nachvollziehbar dargelegt. Insoweit hat es sich auf die sachverständigen Darlegungen gestützt, wonach die Wahrscheinlichkeit, dass Internetnutzer keine aktivierte Firewall benutzten, äußerst gering sei. Darauf aufbauend hat das Landgericht zudem berücksichtigt, dass es sich bei den betroffenen Nutzern um solche handelte, die immerhin mit dem Usenet vertraut gewesen seien und einen eigenen kostenpflichtigen Zugang hierzu unterhielten. Um der geringen Wahrscheinlichkeit zu begegnen, dass dennoch infizierte Computersysteme zumindest keine Windows-Firewall aktiviert hatten, hat es von der Anzahl der infizierten Computer einen Abschlag von 25 % vorgenommen und so die Zahl der Computersysteme auf 75 % geschätzt, bei denen die Schadsoftware die Firewall umging. Auch vor dem Hintergrund, dass die Schadsoftware für Betriebssysteme bestimmt war, bei denen die Firewall standardmäßig aktiviert war, lässt diese Vorgehensweise einen Rechtsfehler nicht erkennen. Hierdurch hat das Landgericht pflichtgemäß diejenigen Tatsachen ermittelt, von deren Richtigkeit es überzeugt ist und ist damit der Abbildung der tatsächlichen Verhältnisse möglichst nahegekommen.

Auf der Grundlage dieser Feststellungen erweist sich die Verurteilung des Angeklagten wegen Datenveränderung in 327.379 tateinheitlichen Fällen in Tateinheit mit 245.534 tateinheitlichen Fällen des Ausspähens von Daten gemäß §§ 202a, 303a Abs. 1, § 25 Abs. 1 und 2, § 52 StGB als rechtsfehlerfrei. Dabei ist das Landgericht zutreffend von mittelbarer Täterschaft gemäß § 25 Abs. 1 Alt. 2 StGB im Hinblick auf die Installation des Trojaners durch den geschädigten Computerinhaber selbst ausgegangen.

Der Angeklagte hat danach Datenveränderung gemäß § 303a Abs. 1 StGB in 327.379 tateinheitlichen Fällen begangen.

Gemäß § 303a Abs. 1 StGB macht sich strafbar, wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert. Die Vorschrift schützt das Interesse des Verfügungsberechtigten an der unversehrten Verwendbarkeit der gespeicherten oder übermittelten Daten.

Der Angeklagte und seine Mittäter haben vorliegend durch den Eingriff in die Registry-Dateien und der Datei nt.user.dat der geschädigten Computersysteme Daten im Sinne des § 303a Abs. 1 StGB verändert.

Diese Dateien sind taugliche Tatobjekte im Sinne der Legaldefinition des § 202a Abs. 2 StGB, nämlich solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden. Eine Beschränkung auf Computerdaten, wie in der Richtlinie auf 2013/40/EU vom 12. August 2013, Art. 2 lit.b, lässt sich dem Gesetz nicht entnehmen, wobei dies im vorliegenden Fall zu keinen abweichenden Ergebnissen führen würde. Unter den so bestimmten Datenbegriff fallen nach ganz einhelliger Meinung auch Programmdaten, da sie aus einer Vielzahl von Daten zusammengefügt sind und nicht unmittelbar wahrnehmbare Informationen enthalten.

Da die Daten sich auf einem für den Angeklagten fremden Speichermedium befanden und ihm kein Nutzungs- oder Zugriffsrecht für bzw. auf diese zustand, braucht der Senat nicht zu entscheiden, welcher einschränkender Kriterien es bedürfte, um eine Verfolgbarkeit allein inhaltlicher Unrichtigkeit von Daten zu verhindern und den Zusammenhang mit § 303 StGB zu wahren.

Ein Verändern liegt vor bei einem Herbeiführen von Funktionsbeeinträchtigungen der Daten, die eine Änderung ihres Informationsgehalts oder des Aussagewerts zur Folge haben. Hierunter fällt - entsprechend der Definition in § 3 Abs. 4 Satz 2 Nr. 2 BDSG - also jede Form der inhaltlichen Umgestaltung von gespeicherten Daten, wobei es nicht darauf ankommt, ob diese eine objektive Verbesserung darstellt. Entscheidend ist vielmehr, dass ein vom bisherigen abweichender Zustand herbeigeführt wird.

Durch das Hinzufügen der Einträge in der Registry-Datei und die damit verbundene Veränderung des in der Datei nt.user.dat hinterlegten Benutzerprofils, ist eine solche Funktionsbeeinträchtigung der Daten eingetreten. Denn die Schadsoftware startete beim Hochfahren des Rechners automatisch, ohne dass der Computernutzer hiervon Kenntnis bekam. Infolgedessen wurde ein ansonsten verschlossener Zugang zum Internet geöffnet, worüber das Computersystem Verbindung mit dem vom Angeklagten betriebenen Command-and-Control-Server aufnahm und Informationen auf die Datenbank des Angeklagten übertrug. Vor der Hinzufügung dieser Einträge enthielt weder die zentrale Datenbank der betroffenen Computersysteme noch das in der Datei nt.user.dat hinterlegte Benutzerprofil die Information, dass die Programmkomponenten Zeus, TOR und cg.miner beim Hochfahren des Rechners automatisch gestartet werden. Zudem war der für die Verbindung zum Command-and-Control-Server genutzte Port für Verbindungen zum Internet durch die bisherige Konfiguration nicht freigegeben. Nach der Installation der Schadsoftware enthielten sie dagegen einen hiervon abweichenden Inhalt, dass nämlich diese Funktionen - das automatische Starten dieser Komponenten und damit auch die Verbindungsaufnahme zum Internet über einen ansonsten verschlossenen Zugang - ausgeführt werden. Dadurch ist der Informationsgehalt dieser Dateien umgestaltet und mithin verändert worden.

Eine engere, diese Umgestaltung der auf den betroffenen Computersystemen enthaltenen, durch Daten verkörperten Informationen, nicht als Veränderung im Sinne des § 303a Abs. 1 StGB erfassende Auslegung würde dem Schutzzweck der Vorschrift nicht gerecht werden. Denn der Computernutzer betrieb ein Computersystem, welchem er nicht die Informationen gegeben hatte, die die durch die Schadsoftware bewirkten Funktionen, u.a. zum Betrieb eines Botnetzes, zugelassen hätte. Sein Interesse an der unversehrten Nutzung des bisherigen Datenbestandes mit den von ihm bestimmten Beschränkungen, insbesondere dem geschlossenen Zugang zum Internet, ist durch die Hinzufügung der Funktionen beeinträchtigt.

Auf die Frage, ob ein Verändern von Daten im Sinne des § 303a Abs. 1 StGB auch vorliegt, wenn dem System durch die Installation eines Trojaners lediglich Daten hinzugefügt werden, ohne die vorhandenen Daten zu verändern, kommt es in Anbetracht der getroffenen Feststellungen nicht mehr entscheidungserheblich an.Der Angeklagte hat sich tateinheitlich zu der Datenveränderung auch wegen Ausspähens von Daten nach § 202a StGB in 245.534 tateinheitlichen Fällen strafbar gemacht.

Gemäß § 202a Abs. 1 StGB macht sich strafbar, wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft. Die Vorschrift schützt das formelle Geheimhaltungsinteresse des Verfügungsberechtigten. Geschützt sind Daten durch die Vorschrift aber nur dann, wenn der Verfügungsberechtigte das Interesse an ihrer Geheimhaltung durch besondere Sicherungsvorkehrungen dokumentiert hat.

Die Daten waren infolge der jeweils aktivierten Firewall im Sinne des § 202a Abs. 1 StGB gegen unberechtigten Zugang besonders gesichert.

Um von einer Dokumentation an der Geheimhaltung der Daten ausgehen zu können, bedarf es einer zum Tatzeitpunkt bestehenden Zugangssicherung, die darauf angelegt sein muss, den Zugriff Dritter auf die Daten auszuschließen oder wenigstens nicht unerheblich zu erschweren. Darunter fallen insbesondere Schutzprogramme, die geeignet sind, unberechtigten Zugriff auf die auf einem Computer abgelegten Daten zu verhindern, und die nicht ohne fachspezifische Kenntnisse überwunden werden können und den Täter zu einer Zugangsart zwingen, die der Verfügungsberechtigte erkennbar verhindern wollte.

Auf der Grundlage der rechtsfehlerfrei getroffenen Feststellungen verfügten 245.534 der betroffenen Computersysteme zum Tatzeitpunkt über eine aktivierte Firewall. Diese stellt eine solche besondere Sicherung gegen unberechtigten Zugang dar. Denn sie dient gerade der Verhinderung eines unberechtigten Eindringens in das Netzwerk von außen und des Zugriffs auf Daten innerhalb des Netzes. Einen unkontrollierten Zugriff aus dem Internet auf den eigenen Rechner und mithin einen die jeweilige Firewall überwindenden Zugang wollten die Verfügungsberechtigten durch Verwendung einer solchen Sicherung erkennbar verhindern

Der Angeklagte hat sich den Zugang zu den Daten auch durch die Überwindung gerade dieser Zugangssicherung verschafft, indem er die jeweils aktivierte Firewall mithilfe eines Trojaners umgangen hat. Denn erst durch den gezielten Einsatz eines Trojaners, der die Schadsoftware verbarg und den Computernutzer als Tatmittler glauben machte, er lade sich eine harmlose Musik-, Video oder Programmdatei herunter, tatsächlich aber unbewusst die Ausspähprogrammkomponenten installierte, konnten der Angeklagte und seine Mittäter die jeweilige Firewall überwinden und Zugang zu den Daten innerhalb des Netzes erlangen. Ohne diese Täuschungen der Computernutzer mittels des Trojaners wäre der Zugriff auf die Daten durch die Firewall verhindert worden, da durch diese eine eingehende Verbindungsanfrage des vom Angeklagten betriebenen Netzwerks abgelehnt worden wäre. Dieses Ergebnis korrespondiert auch mit einer Auslegung des Willens des Gesetzgebers, demzufolge Hacking-Angriffe mithilfe von Trojanern unter Strafe gestellt werden sollten.

Durch die beschriebene Vorgehensweise hat der Angeklagte nicht nur das schon tatbestandsmäßige Verschaffen des bloßen Zugangs verwirklicht, sondern zusätzlich sich die Daten selbst verschafft, was durch die Einträge in seiner Datenbank belegt wird.

Weder der Angeklagte noch seine Mittäter waren befugt im Sinne des § 202a StGB, da die ausgespähten Daten nicht zu ihrer Kenntnisnahme bestimmt waren.

Ob der Tatbestand des § 202a StGB darüber hinaus auch durch Einsatz der Keyloggingfunktion erfüllt wurde, wie vom Landgericht angenommen, brauchte der Senat hier nicht zu entscheiden. Zweifel daran bestehen, zumal dem Landgericht aufgrund der enormen Datenmenge eine konkrete Zuordnung von gewonnenen, zuvor verschlüsselten Datensätzen nicht möglich war.

Die vom Landgericht angenommene zusätzliche Tatbestandsverwirklichung durch die Keyloggingfunktion hat sich bei der Strafzumessung auch nicht ausgewirkt. Soweit dort die „multimodale Verwendungsmöglichkeit“ durch den „Zugriff“ berücksichtigt wird, wird dies von den Feststellungen getragen, ohne dass es auf die weitere Tatbestandsmäßigkeit ankommt.

Die Annahme von Tateinheit zwischen der Datenveränderung und dem Ausspähen von Daten durch das Landgericht ist nicht zu beanstanden.

Die Feststellungen des Landgerichts tragen die Verurteilung des Angeklagten wegen Computerbetruges in Tateinheit mit Fälschung beweiserheblicher Daten gemäß § 263a Abs. 1 und 2, § 263 Abs. 3 Satz 2 Nr. 1, § 269 Abs. 1 StGB durch Anmietung der Server unter unbefugter Verwendung von Nutzerdaten der Geschädigten allerdings nur in 16 statt - wie vom Landgericht ausgeurteilt - in 18 Fällen. Da insoweit im Hinblick auf den Zeitablauf auszuschließen ist, dass ergänzende, eine Strafbarkeit des Angeklagten tragende Feststellungen getroffen werden können, spricht der Senat den Angeklagten in diesen beiden Fällen aus tatsächlichen Gründen frei.

Das Landgericht hat sich in neun Fällen mit sachverständiger Hilfe davon überzeugt, dass die Zugangsdaten, nämlich Kundennummern bzw. Passwörter für die Internetprovider oder E-Mail-Adressen der Anschlussnutzer für diese Anmietungen aus der vom Angeklagten im Rahmen des Botnetzes betriebenen Datenbank stammen. Zu dieser Datenbank waren die übertragenen Daten vom infizierten Rechner übermittelt worden

In neun weiteren Fällen konnten die für die Anmietung verwendeten Daten zwar nicht in dem Bestand aus 1,9 Milliarden Daten festgestellt werden. Dennoch hat sich die Strafkammer davon überzeugt, dass der Angeklagte die Server unter Verwendung der durch die Keylogging-Funktion erlangten Daten anmietete. Das hat sie darauf gestützt, dass die angemieteten Server als Infektionsserver genutzt worden seien und der Angeklagte über die Schadsoftware die Möglichkeit gehabt habe, an die verwendeten Zugangsdaten zu gelangen. Nur in sieben dieser Fälle sind der Name des Geschädigten und der Zeitpunkt des Vertragsschlusses bekannt.

Dieser Schluss auf die Anmietung der Server unter Verwendung der vom Angeklagten mittels der Schadsoftware erlangten Daten ist allerdings nur insoweit tragfähig, als belegt wird, dass eine Anmietung unter Nutzung fremder Zugangsdaten überhaupt erfolgt ist. Soweit nämlich die Namen der Geschädigten bekannt sind, ist in der Zusammenschau ausreichend dargelegt, dass deren Zugangsdaten unbefugt zur Anmietung der Server verwendet worden sind

In zwei Fällen - nämlich in den Fällen 3 und 18 der in den Urteilsgründen enthaltenen Tabelle - ist dies allerdings nicht der Fall. Insoweit sind weder Feststellungen zu den Geschädigten, noch zu den Tatzeiten und entstandenen Schäden getroffen worden. Festgestellt ist neben der verwendeten IP-Adresse lediglich, dass in diesen Fällen den nicht namhaft gemachten Computerinhabern eine Vermögensgefährdung bezüglich der Anmietkosten für vier Wochen entstanden sei.

Die Strafkammer legt hingegen nicht dar, woraus sie in diesen beiden Fällen den Schluss zieht, dass die Anmietung unter Nutzung fremder Zugangsdaten stattgefunden hat. Aus den Feststellungen für diese Fälle folgt zwar, dass der angemietete Server als Infektionsserver genutzt worden ist. Nachdem weder derjenige benannt werden konnte, dessen Daten verwendet worden sein sollen, noch festgestellt worden ist, dass den Providern ein tatsächlicher Schaden entstanden ist, kommt ebenso in Betracht, dass der Angeklagte diese Server unter Verwendung seiner Zugangsdaten angemietet und als Infektionsserver genutzt hat. Diese Möglichkeit wird von der Strafkammer nicht in den Blick genommen und infolgedessen auch nicht ausgeschlossen

Eine Anmietung unter diesen Umständen stellt sich allerdings nicht als strafbar dar.

Danach hat der Angeklagte schon keine Daten im Sinne des § 263a Abs. 1 StGB unbefugt verwendet. Deswegen kommt es nicht mehr darauf an, dass die Höhe des eingetretenen Gefährdungsschadens in diesen beiden Fällen weder konkret festgestellt noch beziffert wird und damit die verfassungsrechtlichen Vorgaben nicht gewahrt sind.

Aber auch eine Fälschung beweiserheblicher Daten kann auf dieser Grundlage nicht angenommen werden. Denn die Speicherung oder Veränderung beweiserheblicher Daten zur Täuschung im Rechtsverkehr ist danach nur strafbar, wenn bei Wahrnehmung der manipulierten Daten eine unechte oder verfälschte Urkunde vorliegen würde. Gleiches gilt für den täuschenden Gebrauch derartiger Daten. Diese Voraussetzungen sind für die zwei fraglichen Fälle hier nicht belegt.

Auch eine Strafbarkeit nach anderen Vorschriften kommt für die Anmietung der Server unter diesen Umständen nicht in Betracht.

Angesichts des Zeitablaufs seit der Anmietung der Server ist auszuschließen, dass weitergehende, den Angeklagten belastende Feststellungen getroffen werden können. Dies ergibt sich schon daraus, dass das Landgericht festgestellt hat, dass über die bekannten IP-Adressen keine Rückschlüsse mehr auf die Nutzer gezogen werden können. Andere Anhaltspunkte zur Erlangung von Informationen über die verwendeten Zugangsdaten bestehen nicht. Der Angeklagte war daher für diese beiden Fälle freizusprechen, § 354 Abs. 1 StPO.

Die Strafzumessungserwägungen des Landgerichts sind revisionsrechtlich nicht zu beanstanden.

Der Gesamtstrafausspruch konnte trotz der Aufhebung der für diese zwei Fälle verhängten Einzelstrafen von zweimal zehn Monaten infolge des Freispruchs bestehen bleiben. Angesichts der maßvollen Erhöhung der Einsatzstrafe von zwei Jahren und den für die 16 verbliebenen Fälle des Computerbetruges in Tateinheit mit Fälschung beweiserheblicher Daten verhängten Einzelstrafen von jeweils zehn Monaten, konnte der Senat ausschließen, dass die Änderung des Schuldspruchs und der Wegfall von zwei Einzelstrafen in Höhe von jeweils zehn Monaten Einfluss auf die verhängte Gesamtfreiheitsstrafe gehabt hätte.

Im Hinblick auf die überlange Dauer des Revisionsverfahrens, die der Angeklagte nicht zu vertreten hat, war anzuordnen, dass hinsichtlich der Gesamtfreiheitsstrafe ein Monat als vollstreckt gilt.

Die Anordnung des Verfalls der 86 Bitcoins sowie weiterer 1.730 Bitcoins erweist sich - bezüglich letztgenannten dem Grunde nach - als rechtsfehlerfrei. Sie hat allein insoweit keinen Bestand als der Verfall der weiteren 1.730 Bitcoins der Höhe nach nicht auf einen Betrag von 432.500 Euro begrenzt ist. Diesen begrenzenden Ausspruch hat der Senat in entsprechender Anwendung des § 354 Abs. 1 StPO nachgeholt.

Hinsichtlich der Verfallsanordnung des Landgerichts kommt das vor dem 1. Juli 2017 geltende Recht zur Anwendung. Zwar finden ausweislich der einschlägigen Übergangsvorschrift zum Gesetz zur Reform der strafrechtlichen Vermögensabschöpfung mit Inkrafttreten des Gesetzes auch für bereits laufende Verfahren grundsätzlich ausschließlich die neuen Regelungen Anwendung. Allerdings sind gemäß Art. 316h Satz 2 EGStGB die Vorschriften des Gesetzes zur Reform der strafrechtlichen Vermögensabschöpfung vom 13. April 2017 nicht in Verfahren anzuwenden, in denen bis zum 1. Juli 2017 bereits eine Entscheidung über die Anordnung des Verfalls oder des Verfalls von Wertersatz ergangen ist. Dies ist hier der Fall, sodass die seit dem 1. Juli 2017 geltenden Vorschriften keine Anwendung finden.

Das Landgericht ist rechtlich zutreffend davon ausgegangen, dass die Bitcoins aus der Tat, nämlich der Datenveränderung gemäß § 303a StGB erlangt wurden und gemäß § 73 Abs. 1 Satz 1 aF StGB dem Verfall unterliegen.

Die mittels des Botnetzes generierten Bitcoins sind im Sinne des § 73 Abs. 1 Satz 1 aF StGB aus der Tat erlangt. Aus der Tat sind danach alle Vermögenswerte erlangt, die dem Täter unmittelbar aus der Verwirklichung des Tatbestandes selbst in irgendeiner Phase des Tatablaufs zufließen.

Durch die Datenveränderung wurde auf dem betroffenen Computersystem eine Verbindung zum Command-and-Control-Server über das Internet hergestellt, die vor dem Eingriff durch die Schadsoftware nicht stattgefunden hätte und auch nicht möglich gewesen wäre. Diese Internetverbindung wurde genutzt, um nach 120 Sekunden Inaktivität durch den Computersystemnutzer die Rechnerleistung von dessen Grafikkarte für die Rechenoperationen zu nutzen, die dem Schürfen der Bitcoins dienten. Durch die Nutzung der Rechenleistung erwarb der Angeklagte auch nicht lediglich eine Chance zum Schürfen von Bitcoins, die er erst später realisierte. Vielmehr flossen ihm die 1.816 Bitcoins ohne jeden weiteren Zwischenschritt, mithin unmittelbar durch die - während der Nutzung der fremden Rechnerkapazitäten - andauernde Verwirklichung des Tatbestandes der Datenveränderung gemäß § 303a Abs. 1 StGB zu.

Erlangtes Etwas im Sinne der vorgenannten Vorschrift ist die Gesamtheit des materiell aus der Tat tatsächlich Erlangten. Hiervon werden - ungeachtet ihrer Rechtsnatur - auch Bitcoins erfasst. Sie stellen angesichts ihres Marktwertes einen realisierbaren Vermögenswert dar, für den der Angeklagte sowohl materiell Berechtigter ist als auch die faktische Verfügungsgewalt hat. Sie sind angesichts der Speicherung in der Blockchain und der Kombination aus öffentlichen und dem Angeklagten bekannten privaten Schlüssel der Wallet hinreichend abgrenzbar und damit tauglicher, wenn auch nicht körperlicher Gegenstand einer Verfallsanordnung. Soweit dagegen geltend gemacht wird, Bitcoins könnten allein deswegen kein Verfallsgegenstand sein, da sie weder Sache noch Recht seien und deswegen der Wortlaut des § 73e aF StGB auf sie nicht anwendbar sei, kann dem nicht gefolgt werden. Die Vorschrift des § 73 Abs. 1 Satz 1 aF StGB enthält gerade keine solche Begrenzung auf Sachen oder Rechte. § 73e aF StGB kommt demgegenüber keine einschränkende Wirkung zu.

Ob der private Schlüssel für die Wallet den Ermittlungsbehörden bekannt ist, hat auf die Möglichkeit der Anordnung des Verfalls keine Auswirkung. Die Kenntnis dieses Schlüssels ist zwar Voraussetzung, um die faktische Verfügungsgewalt über die Bitcoins zu übernehmen. Dies betrifft aber allein die Vollstreckung der Verfallsentscheidung, lässt hingegen die Anordnung des Verfalls unberührt. Soweit der private Schlüssel zum Zeitpunkt der Entscheidung über den Verfall nicht bekannt ist, ist für die Vollstreckung der Anordnung des Verfalls die Mitwirkung des Angeklagten erforderlich. Ob diese erfolgt, kann bei der Entscheidung nicht beurteilt werden, weswegen es für die Anordnungsvoraussetzungen darauf nicht ankommen kann. Es handelt sich vielmehr um eine reine Vollstreckungsfrage.

Ansprüche von Verletzten stehen der Verfallsanordnung nicht entgegen. Nachdem sich die Ansprüche auf Beseitigung der Datenveränderung nicht auf die Rückerstattung des durch die Tat Erlangten richten, kommen insoweit nur Ansprüche von Verletzten in Betracht, die auf die Nutzung ihrer Grafikkarte für das Botnetz, also auf den hierdurch verbrauchten Strom bezogen sind. Da den betroffenen Computernutzern aufgrund der Besonderheiten des vorliegenden Falls die Möglichkeit fehlt, einen solchen zivilrechtlichen Anspruch schlüssig behaupten zu können, ihnen mithin kein durchsetzbarer Anspruch erwachsen ist, steht § 73 Abs. 1 Satz 2 aF StGB der Verfallsanordnung nicht entgegen

Regelungsziel dieser Vorschrift ist es, den Angeklagten vor einer doppelten Inanspruchnahme zu schützen und ihm die Mittel zu belassen, die er zur Erfüllung der Ansprüche des Verletzten benötigt. Sie steht also der Anordnung des Verfalls entgegen, wenn zumindest eine abstrakte Gefahr einer doppelten Inanspruchnahme besteht. Eine solche abstrakte Gefahr besteht zwar auch, wenn die durch die Taten des Angeklagten Geschädigten nicht ermittelt werden konnten und deren Feststellung auch künftig nicht zu erwarten, mithin mit der Geltendmachung und Durchsetzung von Schadensersatzansprüchen gegen den Angeklagten nicht zu rechnen ist oder die Geschädigten bisher tatsächlich untätig geblieben sind. Die Gefahr der doppelten Inanspruchnahme entfällt aber, wenn eine erfolgreiche Durchsetzung der Forderung aus Rechtsgründen ausgeschlossen werden kann.

So liegt es hier. Den Geschädigten ist es nicht möglich, den ihnen entstandenen Schaden zu beziffern. Hierzu müssten sie den gerade durch die Nutzung ihrer Grafikkarte für das Botnetz verbrauchten Strom plausibel machen können. Dies scheitert bereits daran, dass sie wegen der Besonderheit der Tat nicht bestimmen können, wann dies der Fall war. Danach ist es nicht lediglich aus tatsächlichen Gründen nicht zu erwarten, dass die Geschädigten keine Ansprüche mehr geltend machen. Vielmehr scheidet es nach der Rechtslage aus, dass es noch zu einer Erfüllung der Ersatzforderung der betroffenen Computernutzer kommen könnte. Da das Risiko einer zumindest theoretischen Doppelbeanspruchung danach nicht besteht, wäre es mit dem Zweck der anzuwendenden Verfallsvorschriften - Abschöpfung des Taterlöses - unvereinbar, in diesem Fall über die Anwendung des § 73 Abs. 1 Satz 2 aF StGB dem Angeklagten die Möglichkeit zu eröffnen, sich die aus der Tat verschafften Vorteile zu sichern.

Allerdings ist infolge der Anordnung des Verfalls von Wertersatz in Höhe von 432.500 Euro bezüglich der weiteren 1.730 Bitcoins im ersten Rechtsgang nunmehr gemäß § 358 Abs. 2 Satz 1 StPO die Anordnung des Verfalls der Höhe nach auf diesen Betrag zu beschränken.

Durch das aus der Vorschrift resultierende und von Amts wegen zu prüfende Verbot der Schlechterstellung darf das angefochtene Urteil in Art und Höhe der Rechtsfolgen der Tat nicht zum Nachteil des Angeklagten geändert werden, wenn lediglich der Angeklagte, zu seinen Gunsten die Staatsanwaltschaft oder sein gesetzlicher Vertreter Revision eingelegt hat. Denn der Angeklagte soll bei seiner Entscheidung darüber, ob er von einem ihm zustehenden Rechtsmittel Gebrauch machen will, nicht durch die Besorgnis beeinträchtigt werden, es könne ihm durch die Einlegung eines Rechtsmittels ein Nachteil entstehen.

Das Verschlechterungsverbot gilt auch für die Verfallsvorschriften und bewirkt, dass die Maßnahme im Falle einer Anordnung nicht über den ursprünglichen Gegenstand hinaus erweitert werden darf. Zwar bleibt die Vermögensabschöpfung auf die Bitcoins beschränkt und erfasst unmittelbar keinen darüber hinausgehenden Gegenstand. Das Entfallen der Wertgrenze für die Vermögensabschöpfung, die dem Angeklagten im ersten Rechtsgang als Begünstigung gewährt worden war, stellt aber nach der gebotenen faktischen Betrachtungsweise eine den Angeklagten - je nach volatiler Entwicklung der Bitcoins - möglicherweise ungleich stärker belastende und damit schwerere Rechtsfolge dar. Der Angeklagte durfte darauf vertrauen, dass die neuerliche Vermögensabschöpfung nicht über einen Betrag von 432.500 Euro hinausgeht.

Die Kostenfolge für den freisprechenden Teil ergibt sich aus § 467 Abs. 1 StPO. Die Kostenentscheidung im Übrigen beruht infolge des teilweisen Erfolgs des Rechtsmittels im Hinblick auf die Verfallsentscheidung auf § 473 Abs. 4 StPO.