3 KLs 1/11

Gewerbsmäßige Erpressung mittels DDoS‑Angriffen und Computersabotage • DDoS‑Attacken in Verbindung mit Zahlungsforderungen sind als Erpressung zu qualifizieren, wenn durch Drohung mit Lahmlegung von Servern Zahlungen erzwungen werden. • Wer wiederholt und in der Absicht handelt, sich durch fortlaufende Taten eine Einnahmequelle zu verschaffen, handelt gewerbsmäßig im Sinne des § 253 Abs. 4 StGB. • Das gezielte Auslösen von DDoS‑Angriffen, um die Datenverarbeitung eines Unternehmens zu stören, erfüllt den Tatbestand der Computersabotage (§ 303b StGB). • Für versuchte Erpressung ist bereits überschritten, wer ernsthaft droht und erste konkrete Eingriffe vornimmt, wenn die Vermögensverfügung nur durch das Verhalten des Opfers verhindert wird. Der Angeklagte richtete Anfang Juli bis Ende August 2010 über angemietete Server und ein Bot‑Netz wiederholt DDoS‑Angriffe gegen mehrere Betreiber von Internet‑Wettportalen. Er kontaktierte die Firmen per E‑Mail unter Pseudonym und forderte Zahlungen in Form von U‑Voucher-Codes als „Schutzgeld“, andernfalls kündigte er weitere Lahmlegungen an. Bei mehreren Anbietern setzte er die Drohungen durch und erlangte so Voucher im Wert von insgesamt 5.000 €, bei anderen blieb es beim Versuch. Die Angriffe führten zu nicht näher bezifferbaren Umsatzausfällen; bei einem Anbieter entstanden zusätzlich konkret nachgewiesene Kosten von 9.400 €. Der Angeklagte gestand die Taten, erläuterte seine technische Vorgehensweise ausführlich und gab an, aus Wettleidenschaft sowie zur Finanzierung von Serverkosten und sonstigen Internetausgaben gehandelt zu haben. Ein Sachverständigengutachten ergab keine verminderte Schuldfähigkeit oder Spielsucht. Die Taten verfolgten die Absicht, fortlaufend Einnahmen zu erzielen. • Tatqualifikation: Die Zahlungsforderungen verbunden mit Drohung, die Websites lahmzulegen, erfüllen den Tatbestand der Erpressung (§§ 253 Abs.1, 4 StGB). Die tatsächliche Erlangung von Voucher‑Codes stellt vollendete Taten dar; fehlende Vermögensverfügungen bei anderen Adressaten sind als Versuche zu werten (§§ 22, 23 StGB). • Gewerbsmäßigkeit: Bereits bei der ersten Kontaktaufnahme war Vorsatz auf wiederholtes Begehen zur dauerhaften Einnahmeerzielung gegeben; damit liegt Gewerbsmäßigkeit im Sinn des § 253 Abs.4 S.2 StGB vor. • Computersabotage: Die Durchführung der DDoS‑Angriffe war geeignet und darauf gerichtet, den Betrieb der Online‑Wettportale zu stören; dies erfüllt § 303b Abs.1 Nr.2, Abs.2 StGB. • Schuld und Schuldfähigkeit: Ein umfassendes, plausibles Geständnis sowie das Sachverständigengutachten sprechen gegen verminderte Schuldfähigkeit oder eine Suchterkrankung; die Taten sind rechtswidrig und schuldhaft. • Strafzumessung: Mildernde Umstände waren das umfassende Geständnis, geringe Vorstrafen und die erstmalige Untersuchungshaft; erschwerend wirkten der hohe technische und planmäßige Aufwand, die erhebliche kriminelle Energie und der verursachte Schaden. Für versuchte Taten wurde der Strafrahmen gemindert (§§ 23 Abs.2, 49 Abs.1 Nr.3 StGB). Der Angeklagte wurde wegen gewerbsmäßiger Erpressung in Tateinheit mit Computersabotage in sechs Fällen (davon drei vollendet, drei beim Versuch) und wegen versuchter gewerbsmäßiger Erpressung zu einer Gesamtfreiheitsstrafe von zwei Jahren und zehn Monaten verurteilt. Die Verurteilung gründet darauf, dass er zielgerichtet und gewerbsmäßig DDoS‑Angriffe zur Erzwingung von Zahlungen einsetzte und so den Betreibern erhebliche Schäden zufügte. Sein umfassendes Geständnis und persönliche Umstände milderten das Strafmaß, der hohe technische Aufwand, die Planung und der entstandene Sachschaden wirkten jedoch strafverschärfend. Zudem hat er die Verfahrens- und notwendigen Auslagen zu tragen.