Inhaltsverzeichnis
- Was haben Cryptomining und der Goldrausch gemeinsam?
- Sind Kryptowährungen nur Spielgeld für den Saloon?
- Was ist Cryptojacking in zivilrechtlicher Sicht?
- Ist Cryptojacking strafbar?
- Hafte ich dafür, wenn jemand Malware auf meiner Unternehmens-Webseite installiert?
- Wie kann ich mich dagegen absichern?
Was haben Cryptomining und der Goldrausch gemeinsam?
Im Jahr 1896 versuchten mehr als hunderttausend Goldsucher ihr Glück im Klondike River in Kanada. Für Kryptowährungen müssen keine Gummistiefel angezogen werden. Cryptomining bedeutet, dass Zahlenketten als Ergebnis mathematischer Berechnungen hergestellt werden, denen aufgrund ihrer Einzigartigkeit ein Geldwert zugemessen wird. Wer hätte das gedacht: Gold und Kryptowährungen haben einiges gemeinsam. Beide sind endliche Güter. Denn der Algorithmus, der Bitcoins zugrunde liegt, bestimmt, dass es maximal knapp unter 21 Mio. Bitcoins geben kann. Derzeit sind etwa 16,4 Mio. Bitcoin im Umlauf. Die einfach zu errechnenden Bitcoin-Nuggets sind bereits geschürft – wer nun weitermacht, muss länger rechnen lassen und das kostet Rechnerressourcen bzw. Geld. An dieser Stelle kommt Cryptojacking ins Spiel: Es handelt sich um einen Cyberangriff, um auf Kosten fremder Rechnerressourcen Kryptowährungen unberechtigt (und damit kostenneutral) zu schürfen.
Sind Kryptowährungen nur Spielgeld für den Saloon?
Rechtlich gesehen sind Bitcoins keine gesetzlichen Zahlungsmittel, sondern werden von der BaFin nur als „Rechnungseinheiten“, ähnlich wie Devisen, bewertet (§ 1 Abs. 11 S. 1 Kreditwesengesetz). Als Ersatzwährung werden Bitcoins besonders dort geschätzt, wo die Beteiligten lieber pseudonym bleiben wollen, z.B. bei Geldwäsche, Erpressung mit Verschlüsselungstrojanern oder bei Waffen und Betäubungsmitteleinkäufen im Darknet.
Kryptowährungen haben nicht nur Schattenseiten. Während manche Kryptowährungen „gefloppt“ sind, dienen v.a. Bitcoins auch als (hochspekulative) Geldanlage, die über legale Marktplätze gehandelt wird. Am 9. November 2019 etwa war ein Bitcoin knapp 8.000 € wert, Tendenz steigend. Bezahlt wird mit Bruchteilen eines Bitcoins. Da Kryptowährungen nicht bloß Spielgeld sind, steigt das Risiko, Opfer von Cryptojacking zu werden.
Was ist Cryptojacking in zivilrechtlicher Sicht?
Cryptojacking ist nicht mit einem Angriff auf eine Postkutsche durch den berüchtigten Jesse James vergleichbar. In der digitalen Welt gehen Gangster auf leisen Sohlen. Am ehesten wäre diese Metapher vorstellbar: Unbekannte Täter zapfen heimlich einen Fluss an, der einem Müller gehört, um aus dem Wasser Gold zu schürfen. Der Mühle bliebe dann weniger Wasserkraft für den Betrieb des Mahlwerks, was Umsatzeinbußen zur Folge hätte. Im Tal des digitalen Todes, also in IT-Landschaften ohne ausreichende Sicherheitsmaßnahmen, greifen Täter unberechtigt und heimlich auf einen Computer zu, um diesen zum Schürfen („Cryptomining“) zu missbrauchen. Hierdurch entstehen Schäden: Das Opfer hat nicht nur weniger CPU-Rechenleistungen für seine Anwendungen zur Verfügung. Cryptojacking erhöht auch die Stromkosten für den Betrieb des PCs, die Abnutzung der Hardware oder kann den PC als Wirt missbrauchen, um dieses Skript oder sonstige Malware weiter zu verbreiten.
Im Wirtschaftsrecht sind viele Konstellationen denkbar. Wer beispielsweise als Arbeitnehmer Cryptojacking-Malware auf den Server oder die Website seines Arbeitgebers hochlädt, macht sich nicht nur schadenersatzpflichtig (§ 280 I 1 BGB) und strafbar (s. unten), sondern riskiert auch eine fristlose, außerordentliche Kündigung seines Arbeitsvertrags. Cryptojacking-Malware, die sich in einer Software verbirgt, könnte Gewährleistungsansprüche, ggf. auch den Rücktritt vom Vertrag, Schadenersatz oder Garantiehaftung auslösen. Bei umfangreichen Softwarevorhaben, kritischer Infrastruktur oder besonders schutzwürdiger Datenverarbeitung können derartige Sicherheitsvorfälle gravierende Compliance-Verstöße bis hin zur Haftung der Geschäftsleitung bedeuten.
Zudem ist Cryptojacking als deliktische Handlung des Täters gegen den Eigentümer des infizierten Computersystems gemäß §§ 823 Abs. 1, Abs. 2, 826 BGB zu bewerten. Ein Unternehmen hätte also einen Anspruch auf Schadenersatz gegen den Täter, der mit Cryptojacking in das Eigentum oder in den eingerichteten und ausgeübten Gewerbebetrieb eingreift. Zu diesem Schaden zählen auch die Rechtsverfolgungskosten, also die Kosten, die z.B. für die Beweissicherung, Täterermittlung und Beauftragung eines Rechtsanwalts nötig sind. Durch Cryptojacking sind auch Reputationsschäden (§ 824 BGB) denkbar, gerade dann, wenn Cryptojacking-Malware heimlich von einer Unternehmenswebsite aus agiert und per browserseitigem Angriff auf Kunden-PCs einwirkt. Das Bekanntwerden solcher Sicherheitsvorfälle in der Presse führt meist zu einem messbaren Vertrauensverlusten und Umsatzrückgängen.
Ist Cryptojacking strafbar?
Es gibt derzeit keinen Straftatbestand, der geschaffen wurde, um konkret Cryptojacking zu sanktionieren. Dafür ist die Tathandlung des Cryptojackings noch zu neu. Zwar ist „Stromdiebstahl“, also die Entziehung elektrischer Energie aus einem Stromnetz strafbar gemäß § 248c StGB. Der Tatbestand setzt aber voraus, dass ein Stromnetz „mittels eines Leiters“ angezapft wird. Das passt nicht auf das Cryptojacking – denn das kommt ganz ohne Lasso (bzw. Stromkabel) aus. Im Computerstrafrecht muss zwischen computerbasierten und browserbasierten Cryptojacking- Angriffen unterschieden werden.
303a StGB – Datenveränderung
- Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
- Der Versuch ist strafbar.
- Für die Vorbereitung einer Straftat nach Absatz 1 gilt § 202c entsprechend.
Bei computerbasierten Angriffen gilt Folgendes: Soweit Cryptojacking auf das betroffene System einwirkt und es verändert, begeht der Täter eine Datenveränderung gem. § 303a StGB. Diese Vorschrift stellt die rechtswidrige Löschung, Unterdrückung, Unbrauchbarmachung oder Veränderung von Daten unter Freiheitsstrafe bis zu 2 Jahren oder Geldstrafe. Bereits durch die Installation der Malware werden Programmdateien verändert. Die Malware nimmt zudem Kontakt zum Täter auf, technisch gesehen zu dem sog. Command-and-Control-Server des Botnetzwerks, das das Schürfen über den Computer und viele weitere Computer steuert. Indem die Malware dafür sorgt, dass sie beim nächsten Neustart wieder mitgeladen wird, liegt hier stets eine strafbare Datenveränderung vor. Wenn es durch den Angriff zu einer erheblichen Störung kommen sollte – also der PC heiß läuft – begeht der Täter außerdem eine Computersabotage gem. § 303b StGB. Eine Computersabotage kann in besonders schweren Fällen, also z.B. wenn der Täter durch die Datenveränderung einen Vermögensverlust großen Ausmaßes herbeiführt oder gewerbsmäßig handelt, mit Freiheitsstrafe bis zu 10 Jahren bestraft werden.
Nicht nur der Versuch der Datenveränderung ist strafbar, sondern auch die Vorbereitungshandlung gem. § 303a Abs. 3 StGB in Verbindung mit § 202c StGB. Das ist interessant, denn Vorbereitungshandlungen sind sonst immer straflos, außer die Strafbarkeit ist ausnahmsweise gesetzlich geregelt, wie u.a. bei Staatsschutzdelikten oder der Fälschung von Geld oder Ausweisdokumenten. Wer also einen Drucker zum Geldfälschen modifiziert, macht sich bereits strafbar, bevor er auch nur einen Geldschein ausgedruckt hat.
Gemäß § 202c StGB macht sich strafbar, wer Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2 StGB) ermöglichen, oder Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht. Auf Deutsch: Wer Cryptojacking-Malware programmiert, ankauft, verkauft oder in sonstiger Weise weitergibt, begeht eine strafbare Vorbereitungshandlung.
Bei browserbasierten Cryptojacking-Angriffen fehlt es gerade an einer Veränderung von Programmdateien, sodass § 303a StGB nicht in Frage kommt. Diese erfolgen über ein „Pop-under“-Fenster, das unsichtbar hinter dem aktuellen Browserfenster aufgeht und so lange aktiv bleibt, bis das Browserprogramm insgesamt geschlossen ist. Der Knackpunkt ist, dass zwar auf ein System eingewirkt wird, allerdings ohne Dateien zu verändern. Der „digitale Hausfriedensbruch“ durch einen Täter, der sich rechtswidrig „Zugang zu einem informationstechnischen System“ verschafft, ist derzeit nicht strafbar, da der entsprechende Straftatbestand des § 202e StGB im Gesetzgebungsverfahren (Bundestag Drucksache 19/1716) stecken geblieben ist. Im Hinblick auf browserbasierte Cryptojacking- Angriffe gibt es also derzeit eine Strafbarkeitslücke.
Hafte ich dafür, wenn jemand Malware auf meiner Unternehmens-Webseite installiert?
Wer eine Website betreibt, ist dafür verantwortlich. Nach allgemeinen Haftungsgrundsätzen haftet der Betreiber einer Website für eine Malware, die als rechtswidriger Inhalt eines Dritten installiert wurde, erst dann, wenn er davon Kenntnis hat und nichts unternimmt.
Eine Haftung kann sich aber auch aus dem Datenschutzrecht ergeben. Websitebetreiber sind gem. Art. 5 Abs. 1, 24, 32 DSGVO dafür verantwortlich, dass personenbezogene Daten nur gemäß der Datenschutzgesetze verarbeitet werden. Dazu müssen „geeignete technische und organisatorische Maßnahmen“ umgesetzt werden, um die Einhaltung der DSGVO sicherzustellen und den Nachweis dafür erbringen zu können. Das sind strenge Anforderungen.
Die Malware, die für das Cryptojacking eingesetzt wird, sog. Coinminer, verarbeitet im Regelfall personenbezogene Daten, indem die IP-Adressen der Nutzer einer Website verwendet werden. Zwar wird dieser sog. Coinminer nicht willentlich betrieben. Gleichwohl wäre der Coinminer, der Cryptojacking-Angriffe auf die Nutzer durchführt, als Datenschutzrechtsverletzung zu bewerten, da die Datenverarbeitung ohne Rechtsgrund (Art. 6 DSGVO), ohne Wissen der Betroffenen und in rechtswidriger Weise (Art. 5, 12 ff. DSGVO) erfolgt. Soweit weitere Malware zum Einsatz kommt, kann es sich um eine Datensicherheitsverletzung handeln, die – je nach Ausmaß – einen meldepflichtigen Vorgang oder sogar Benachrichtigungspflichten gegenüber den betroffenen Nutzern auslösen kann (Art. 33, 34 DSGVO).
Soweit ein Schaden bei Nutzern entstanden ist, hätten diese Anspruch auf Schadenersatz und Schmerzensgeld (Art. 82 DSGVO). Das größere Haftungsrisiko stellen hier allerdings Bußgelder dar (Art. 83 DSGVO). Die deutschen Datenschutzbehörden haben sich unlängst auf ein Berechnungsmodell geeinigt, wie künftig Bußgelder auf der Basis vom Jahresumsatz eines Unternehmens berechnet werden sollen. Mit welchem Bußgeld bei bestimmten Sicherheitsvorfällen gerechnet werden müsste, kann kostenlos, ohne Anmeldung und anonym über unserer Website www.gesunder-datenschutz.de berechnet werden.
Strafbar macht sich ein Unternehmer dann, wenn er Kenntnis vom browserbasierten Cryptojacking hat und duldet, dass die Malware von seiner Website aus zum Nachteil Dritter agiert. In diesem Fall kommt eine Strafbarkeit als Gehilfe der Haupttaten des Täters in Betracht.
Wie kann ich mich dagegen absichern?
Cyberangriffe auf den Mittelstand sind heute auf der Tagesordnung. Gleichzeitig hängt die wirtschaftliche Existenz vollkommen von der IT ab: Kundendaten, Buchhaltung, E-Mails, Knowhow – stellen Sie sich vor, das ist alles plötzlich weg! Was dann?!
Mittelständische Unternehmen müssen nicht nur in IT-Sicherheit investieren, um für die Zukunft gewappnet zu sein. In vielen Mandaten des Verfassers zeigt sich, dass eine frühzeitige rechtliche Beratung spätere Mehrkosten verhindert hätte. Im Rahmen eines Assessments können so rechtliche Risiken, z.B. im Arbeits-, Fernabsatz- oder Datenschutzrecht ermittelt und bewertet werden. Das Ziel sollte nicht 100% Compliance sein, sondern pragmatische, auf den Betrieb und seine Belegschaft abgestimmte Lösungen. Schulungen im Internet- und Social-Media-Recht sowie zu wichtigen Datenschutzfragen können die Awareness der Belegschaft vor rechtlichen und technischen Risiken verbessern. Auf diese Weise lassen sich nicht nur Compliance-Anforderungen spielend leicht erfüllen, sondern auch Haftungsrisiken für die Geschäftsleitung minimieren.
Wer also mit IT-Sicherheitsmaßnahmen vorsorgt und sich zu den rechtlichen Herausforderungen seines Geschäftsfelds beraten lässt, wird zweifellos auch in Zukunft heil und sicher in den Sonnenuntergang reiten können.