Page - 120 - in Austrian Law Journal, Volume 2/2017

ALJ 2/2017 Christian Bergauer 120 chen zu äußern. Ich kann allerdings in der mir zur Verfügung stehenden Zeit nicht auf alle mir wichtigen Aspekte dieses Vortrags eingehen. Zutreffend thematisierte Reindl-Krauskopf sowohl in ihrem Sachverhaltsbeispiel zum „Smart Home- Hacking“ als auch in ihren Ausführungen zum „Medjacking“ § 118a StGB. Zu dieser Bestimmung ist allerdings anzumerken, dass sie seit ihrer Einführung im Jahr 20024 lange Zeit umstritten war, in den Jahren 20085 und 20166 aus diesem Grund novelliert wurde, und schließlich wohl nach wie vor umstritten ist. Wirft man einen Blick in die gerichtlichen Kriminalstatistiken der Jahre 2002 bis 2015 fällt auf, dass es in 14 Jahren lediglich 8 Verurteilungen österreichweit gab,7 obwohl allein im Jahr 2014 677 Fälle eines Widerrechtlichen Zugriffs auf ein Computersystem angezeigt wur- den.8 Jeder, der sich den Wortlaut dieses Tatbestands ansieht, kann sich leicht selbst ein Bild von der Komplexität dieser Bestimmung machen. In beiden Sachverhaltsbeispielen (Smart Home- Hacking und Medjacking) ist auffällig, dass keine Feststellungen zum jeweiligen computertechni- schen modus operandi bezüglich der „Überwindung einer spezifischen Sicherheitsvorkehrung“ getroffen wurden, sondern dieser Sachverhaltskomplex mit dem Begriff „knacken“ pauschalisiert wurde. Nach dem allgemeinen Sprachgebrauch bedeutet „knacken“ aber nicht nur etwas phy- sisch aufzubrechen oder durch Einwirken auf die Daten- bzw Sachsubstanz „auszuschalten“, wie es im Vortrag verortet wurde, sondern insb auch einen Sperrmechanismus zu überlisten (man denke an die Wendung „einen Code knacken“). In solchen Formen computerspezifischer Hand- lungsweise liegt nun aber gerade das Wesen der Computerkriminalität im Allgemeinen und die besondere Herausforderung der Subsumtion solcher Sachverhalte unter den objektiven Tatbe- stand des § 118a StGB im Besonderen. Es ist daher notwendig, sich mit Fragen bezüglich des Überwindens (in Abgrenzung zur Verletzung und Umgehung9) ebenso auseinanderzusetzen wie mit der Frage, wie geeignet und tauglich eine Sicherheitsvorkehrung zu sein hat und wo eine solche angebracht bzw implementiert sein muss, um dem konkreten Tatobjekt „Computersys- tem“ zurechenbar zu sein (zB im Falle eines LAN).10 Wie sieht es aus, wenn zwei Wege ins Zielsys- tem führen, aber nur einer davon – was der Täter weiß – gesichert ist? Man denke etwa an ein externes Booten des fremden Computersystems oder den schlichten Ausbau der Festplatte, um diese Speichermedien auszulesen, ohne auf einen im System implementierten Sicherheitsme- chanismus stoßen zu müssen. Wie wäre die Tatbestandsmäßigkeit iSd § 118a StGB zu beurteilen, wenn der Täter das zutreffende Passwort gekannt hätte? Wie ist der Täter in einem solchen Fall an das Passwort gelangt und welcher Aufwand ist hierfür notwendig gewesen, um das für eine „Überwindung“ verlangte Mindestmaß an krimineller Energie11 auszuloten und im Einzelfall fest- zustellen.12 Wird darüber hinaus ein Schadprogramm zur Erlangung eines Passworts eingesetzt 4 StRÄG 2002 BGBl I 2002/134. 5 StRÄG 2008 BGBl I 2007/109. 6 StRÄG 2015 BGBl I 2015/112. 7 Siehe dazu die von der Statistik Austria publizierten Verurteilungszahlen auf www.statistik.at (abgefragt am 8. 5. 2017) (diversionelle Erledigungen wurden in diesen Statistiken nicht berücksichtigt). 8 Siehe die parlamentarische Anfragebeantwortung der Innenministerin betreffend die „Internetkriminalität – Strafdelikte durch IT-Medium im Jahr 2014“ (AB 3400 BlgNR 25. GP 1). 9 Ein Überwinden erfordert mE die Konfrontation des Täters mit der spezifischen Sicherheitsvorkehrung, etwa durch Ausarbeitung eines Überwindungsplans und die anschließende direkte Bezwingung der Sicherheitsvor- kehrung und verlangt daher mehr als ein bloßes Umgehen siehe Bergauer, Computerstrafrecht 100 f. 10 Siehe dazu insb Bergauer, Computerstrafrecht 88 ff. 11 Siehe dazu ErläutRV 285 BlgNR 23. GP 7; Reindl-Krauskopf in Höpfel/Ratz (Hrsg), Wiener Kommentar zum Strafge- setzbuch – StGB2 § 118a Rz 28 (Stand 1. 10. 2014, rdb.at); Bergauer, Computerstrafrecht 98 f. 12 Zu diesen Fragestellungen siehe Bergauer, Computerstrafrecht 88 ff.