Page - 114 - in Austrian Law Journal, Volume 2/2017

ALJ 2/2017 Cyber Crime – Der digitalisierte Täter 114 die Entziehung der Freiheit des Opfers, auch mit digitalisierten Handlungsweisen verwirklicht werden können. II. Medjacking – Attacke auf Herzschrittmacher Ausgangsbeispiel: Y ist auf einen Herzschrittmacher angewiesen, der mit dem System des Kranken- hauses vernetzt ist, in dem Y ständig behandelt wird. Der Täter knackt das System, um Y zu töten. Die Vorgehensweise des Täters ist im Grunde vergleichbar mit dem ersten Beispiel. Auch hier nutzt er die Vernetzung der Systeme aus, dringt in ein Computersystem ein und manipuliert die- ses. Die mögliche Konsequenz wiegt aber wesentlich schwerer und reicht von der bloßen Ge- fährdung des Patienten bis hin zu seinem Tod. Solche Attacken sind nicht bloß bei Herzschrittmachern vorstellbar. Bei Medizinprodukten be- steht ein allgemeiner Trend hin zum Hightech-Produkt, etwa auch bei Insulinpumpen oder Hirn- elektroden.22 Auch solche medizinische Hilfsmittel arbeiten auf Basis der Vernetzung und reagie- ren abgestimmt auf und angepasst an den Bedarf des Patienten. Manipuliert sie der digitalisierte Täter, nachdem er sich Zugang zu den relevanten Systemen verschafft hat, kann der betreffende Patient vom Täter zB aufgrund einer im System herbeigeführten Verabreichung einer Überdosis an Insulin getötet werden. Dass der Täter diesfalls für die verursachten Körperverletzungs- und Tötungsdelikte verantwort- lich ist, steht außer Frage, weil es für die Strafbarkeit auf die technische Art und Weise der Her- beiführung einer Körperverletzung oder Tötung nicht ankommt. Die relevanten Delikte sind näm- lich als Erfolgsverursachungsdelikte23 und somit technikneutral konzipiert. Es stellt sich aber wieder die zusätzliche Frage, ob bereits das Eindringen in das System straf- rechtlich relevant sein kann, ob also strafrechtliche Verantwortung spruchreif wird, bevor über- haupt noch eine Gesundheitsgefahr entsteht. In Frage kommt wieder § 118a StGB. Der Täter verschafft sich Zugang zu einem Computersystem, über das er typischerweise nicht allein verfü- gungsbefugt ist. Er handelt im Ausgangsbeispiel auch in der Absicht, durch Verwendung des Computersystems dem betroffenen Patienten einen Nachteil zuzufügen; er will ihn ja töten.24 Ob § 118a StGB allerdings tatsächlich bereits im Vorfeld greift, wird oftmals davon abhängen, auf welche technische Art und Weise der Zugriff auf das Computersystem erlangt wird. Immer wieder wird nämlich berichtet, dass Zugriffe aufgrund von Sicherheitslücken möglich sind.25 Nutzt der Täter allgemein bekannte Lücken aus und muss er daher für die Erlangung des widerrechtlichen Zugriffs auf das Computersystem gar keine besondere kriminelle Energie aufbringen, dann schei- tert die Anwendung des § 118a StGB idR. Denn dann überwindet er bei seinem Zugriff nicht – wie 22 Ua http://www.tagesanzeiger.ch/sonntagszeitung/Attacke-auf-den-Herzschrittmacher/story/28372909 (abgefragt am 22. 3. 2017). 23 Zu diesem Begriff statt vieler Fuchs, Strafrecht AT I9 Kap 10/41. 24 Denkbar sind freilich auch Fälle, in denen der Täter die Absicht hat, die jeweilige medizinische Einrichtung, die ein solches System betreibt, oder den Hersteller des betreffenden Medizinproduktes mit Geldforderungen zu konfrontieren und für den Fall der Zahlungsverweigerung mit der Schädigung des Patienten zu drohen. 25 Ua http://www.tagesanzeiger.ch/sonntagszeitung/Attacke-auf-den-Herzschrittmacher/story/28372909 (abgefragt am 22. 3. 2017).