Computersabotage (§ 303b StGB)

Computersabotage (§ 303b StGB) – DDoS-Angriffe, Ransomware und Datenvernichtung

§ 303b StGB schützt die Funktionsfähigkeit von Datenverarbeitungsanlagen und ist der zentrale Tatbestand bei Angriffen auf IT-Infrastruktur. Die praktische Bedeutung hat in den letzten Jahren massiv zugenommen – DDoS-Angriffe, Ransomware-Attacken und die gezielte Zerstörung von Unternehmensdaten beschäftigen Gerichte und Ermittlungsbehörden in zunehmendem Maße.

Tatbestand

§ 303b Abs. 1 StGB stellt unter Strafe, wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er:

• eine Tat nach § 303a Abs. 1 StGB begeht – also Daten löscht, unterdrückt, unbrauchbar macht oder verändert (Nr. 1),
• Daten in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder übermittelt (Nr. 2) – erfasst insbesondere DDoS-Angriffe, Spam-Flooding und das Einschleusen von Malware,
• eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert (Nr. 3).

DDoS-Angriffe

Distributed-Denial-of-Service-Angriffe sind der häufigste Anwendungsfall des § 303b Abs. 1 Nr. 2 StGB. Das massenhafte Senden von Anfragen an einen Server mit dem Ziel, diesen zu überlasten und für reguläre Nutzer unerreichbar zu machen, erfüllt den Tatbestand. Das BKA hat mit der Operation PowerOFF (2024/2025) mehrere DDoS-for-Hire-Plattformen abgeschaltet und tausende Nutzer identifiziert. In vielen Fällen verschickt das BKA Warnbriefe an identifizierte Nutzer – ein Ermittlungsverfahren folgt häufig.

Ransomware

Das Verschlüsseln von Daten oder ganzen Systemen mit dem Ziel einer Lösegeldforderung vereint mehrere Tatbestände: Computersabotage (§ 303b StGB), Datenveränderung (§ 303a StGB), Erpressung (§ 253 StGB) und je nach Konstellation Computerbetrug (§ 263a StGB). Bei Angriffen auf kritische Infrastruktur (Krankenhäuser, Energieversorger, Behörden) droht der besonders schwere Fall nach § 303b Abs. 4 StGB mit bis zu zehn Jahren Freiheitsstrafe.

Strafrahmen

Grundtatbestand (§ 303b Abs. 1 StGB): Freiheitsstrafe bis zu drei Jahren oder Geldstrafe.

Wesentliche Bedeutung für fremden Betrieb (§ 303b Abs. 2 StGB): Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe.

Besonders schwerer Fall (§ 303b Abs. 4 StGB): Freiheitsstrafe von sechs Monaten bis zehn Jahren – bei gewerbsmäßiger Begehung, Handeln als Mitglied einer Bande oder bei Beeinträchtigung der Versorgung der Bevölkerung.

Verteidigungsansätze

• Erheblichkeit der Störung. Der Tatbestand setzt eine „erhebliche“ Störung voraus. Kurzzeitige Verlangsamungen, minimale Ausfallzeiten oder Störungen ohne wirtschaftliche Auswirkung können unterhalb der Erheblichkeitsschwelle liegen.
• Wesentliche Bedeutung. Absatz 2 erfordert, dass die Datenverarbeitung „für einen anderen von wesentlicher Bedeutung“ ist. Bei rein privaten oder redundanten Systemen fehlt dieses Merkmal.
• Zurechnung bei Booter/Stresser-Diensten. Wer einen DDoS-Dienst nutzt, muss wissen, dass er einen Angriff durchführt. Bei als „Netzwerk-Stresstest“ beworbenen Diensten ist der Vorsatz streitig.
• Schadensberechnung. Die Höhe des Schadens beeinflusst die Strafzumessung erheblich. Überhöhte Schadensberechnungen der Geschädigten sind angreifbar.

Notfallkontakt bei Durchsuchung oder Festnahme: 0160 / 121 06 16
Kanzlei: 02151 / 569 800 0

→ Kontakt aufnehmen

← Zurück zur Übersicht Cybercrime