Datenbeschädigung

1.

Der Beschuldigte soll sich der

Datenbeschädigung (Art. 144bis Ziff. 2 Abs. 1 StGB),

begangen am 17./18. Juli 2015, vermutungsweise an seinem Wohnort am [...]

in [...], eventuell an einem anderen Ort, schuldig gemacht haben. Dies, indem

er am 17. Juli 2015 via PayPal eine Zahlung von USD 210.00 für die

Schadsoftware «DroidJack» ausgelöst und am Folgetag, 18. Juli 2015, 08:48

Uhr, via Internet die Datei «DroidJack.zip» heruntergeladen sowie auf seinem

Computer Apple iMac 27’’, konkret auf dessen Festplatte […], gespeichert habe.

Er habe damit unbefugt und vorsätzlich auf dem Weg der Datenübertragung die

Schadsoftware «DroidJack» in die Schweiz eingeführt sowie in der Folge

installiert und damit hergestellt. Als EDV-Spezialist habe er gewusst oder

zumindest in Kauf genommen, dass die Schadsoftware «DroidJack» zur illegalen

Verwendung erschaffen worden sei, nämlich mit der Absicht, unbemerkt die

Kontrolle über Android-Geräte zu erlangen, indem sie Drittprogrammen angefügt

werden könne (sog. Trojaner), insbesondere mit dem Zweck, Daten von

Drittpersonen zu verändern, zu löschen oder unbrauchbar zu machen. Zudem habe

er gewollt oder zumindest in Kauf genommen, dass in der Folge mit der von ihm

heruntergeladenen Schadsoftware «DroidJack» Daten einer Drittperson verändert,

gelöscht oder unbrauchbar gemacht würden.

2.

Den Straftatbestand von Art. 144bis

Ziff. 2 Abs. 1 StGB erfüllt, wer Programme, von denen er weiss oder annehmen

muss, dass sie zu den in Ziff. 1 genannten Zwecken verwendet werden sollen,

herstellt, einführt, in Verkehr bringt, anpreist, anbietet oder sonst wie

zugänglich macht oder zu ihrer Herstellung Anleitung gibt. Nach dem

Gesetzeswortlaut ist demgemäss erforderlich, dass die Programme zum Zwecke der

Datenbeschädigung im Sinne von Art. 144bis Ziff. 1 Abs. 1 StGB

verwendet werden sollen, d.h. zum unbefugten Verändern, Löschen oder

Unbrauchbarmachen von elektronisch oder in vergleichbarer Weise gespeicherten

Daten. Art. 144bis Ziff. 2 Abs. 1 StGB pönalisiert

somit ausschliesslich Vorbereitungshandlungen zur Datenbeschädigung nach

Art. 144bis Ziff. 1 Abs. 1 StGB und stellt ein

abstraktes Gefährdungsdelikt dar. Geschütztes Rechtsgut ist bei beiden

Tatbestandsvarianten das Interesse des Verfügungsberechtigten an der

ungestörten Verwendbarkeit von Daten (vgl. Philippe Weissenberger in: Marcel

Alexander Niggli/Hans Wiprächtiger [Hrsg.], Balser Kommentar, Strafrecht II, 4.

Aufl., Basel 2019, Art. 144bis StGB, N 6, N 47;

Stefan Trechsel/Dean Crameri in Stefan Trechsel/Mark Pieth [Hrsg.],

Praxiskommentar Schweizerisches Strafgesetzbuch, 3. Aufl., Zürich/St. Gallen

2018, Art. 144bis StGB N 2 und 12; BGE 129 IV 230,

E. 3.1).

Die Vorinstanz hat auf US 6 - 13 die

objektiven und subjektiven Tatbestandselemente ausführlich und korrekt

dargelegt. Darauf kann vollumfänglich verwiesen werden, in der Folge wird nur

noch auf einzelne, umstrittene Tatbestandselemente eingegangen.

3.

Die Vorinstanz hat auf US 33/34 der

schriftlichen Urteilsbegründung folgende sachverhältliche und rechtliche

Würdigung vorgenommen:

«Gestützt auf die vorhandenen Beweise

ist darauf zu schliessen, dass der Beschuldigte am 17. Juli 2015 eine

PayPal-Zahlung von USD 210.00 mit dem Zahlungsbetreff ‘DroidJack – Android

Remote Administration Tool Single User License’ an den Softwareverkäufer der Software

‘DroidJack 4.0 Beta’ und damit als Entgelt für die Software leistete. Wie

bereits erwähnt, bestritt der Beschuldigte in der polizeilichen Befragung vom

27.

Oktober 2015, die fragliche Überweisung getätigt zu haben. Ebenso

wenig habe er die Webseite ‘http://droidjack.net’ besucht. Seinen Angaben

zufolge soll eine Fremdperson die Zahlung via sein PayPal-Konto getätigt haben.

Dieser Einwand kann jedoch nicht nur gestützt auf die hiervor angeführten

Beweismittel als tatsachenwidrige Schutzbehauptung gewertet werden, sondern

auch deshalb, weil diese Behauptung abwegig erscheint. Denn diesfalls wäre es

der angeblichen Drittperson lediglich darum gegangen, dem Beschuldigten einen

finanziellen Schaden von exakt USD 210.00 zuzufügen. Darüberhinausgehende

‘Vorteile’ für diese Drittperson sind schlichtweg nicht ersichtlich. Zudem

ergab, wie hiervor dargelegt, die forensische Datensicherung und Auswertung des

dem Beschuldigten gehörenden Datenträgers, dass die Datei ‘DroidJack.zip’ am

18.

Juli 2015 um 08:48 Uhr heruntergeladen wurde, auch wenn das

Kontrollprogramm per se nicht gefunden werden konnte. Die zeitliche Nähe des

Herunterladens von ‘DroidJack’ sowie der APK-Datei zur PayPal-Zahlung ist

frappant; so auch das jeweilige Erstellungsdatum der beiden Dokumente

betreffend Sunrise-Gutschrift und ‘Checkliste’ (vgl. die chronologische

Abfolge, AS 165). Nach Feststellungen der Polizei wurde der Trojaner

ausserdem auf dem Datenträger des Beschuldigten in einer virtuellen Maschine

installiert (AS 150 f., 153). Auch wenn die eigentliche Kontrollsoftware –

weder als ZIP-Datei noch als EXE-Datei – auf dem Computer des Beschuldigten

gefunden werden konnte, wie der Beschuldige über seinen Privatverteidiger hat

vorbringen lassen, so wurde doch die mit dem Trojaner ‘DroidJack’ erweiterte Android-App

‘Sunrise My Account’ auf dem Datenträger des Beschuldigten gefunden und

entsprechend analysiert. Die polizeiliche Analyse ergab zudem, dass die

technischen Voraussetzungen für den Einsatz der Software erfüllt waren (vgl.

AS 152 f., 155 ff., insbesondere 159). Das Programm bzw. der Trojaner

‘DroidJack’ war damit bereits einsatzbereit und lauffähig (vgl. AS 159).

Zudem hat der sachverständige Zeuge anlässlich der Hauptverhandlung plausibel

und ohne Aktenkenntnis erklären können, weshalb ein heruntergeladenes Programm

als solches nicht immer ohne Weiteres auf einem Datenträger festgestellt werden

kann. Ohne Kenntnis davon zu haben, dass der Datenträger des Beschuldigten über

zwei virtuelle Maschinen verfügt, hat der sachverständige Zeuge dargelegt, dass

eine der Möglichkeiten des Nichtauffindens darin liegen könne, dass sich die

Datei auf einer virtuellen Maschine in einem verschlüsselten Container befinde.

Vorliegend wurde, wie schon erwähnt, durch die Polizei festgestellt, dass der

Trojaner auf dem Datenträger des Beschuldigten in einer virtuellen Maschine

installiert ist. Damit erscheint es ohne Weiteres plausibel, dass sich die

entsprechende ZIP-Datei als solche in einem verschlüsselten Container auf der

virtuellen Maschine befindet. Jedenfalls vermag das Nichtauffinden der

eigentlichen Kontrollsoftware die polizeilichen Schlussfolgerungen, die in

jeder Hinsicht schlüssig erscheinen, und die vorhandenen Beweismittel

(Dokumente Sunrise-Gutschrift, Checkliste etc.), die klar für die Täterschaft

des Beschuldigten sprechen, nicht in Frage zu stellen.

Dem Gesagten zufolge bestehen bei

objektiver Würdigung der Beweislage keine erheblichen Zweifel daran, dass der

Beschuldigte am 17. Juli 2015 den Trojaner ‘DroidJack’ kaufte und diesen

am 18. Juli 2015 auf seinen Computer herunterlud.

Beim dem vom Beschuldigten

heruntergeladenen Trojaner ‘DroidJack’ handelt es sich um ein Programm im Sinne

von Art. 144bis Ziff. 2 Abs. 1 StGB. So besitzt es die

wesentliche Eigenschaft und Zweckausrichtung, unbemerkt in ein

Datenverarbeitungssystem eines Dritten eingeschleust zu werden und Daten eines

Dritten im Sinne von Ziff. 1 der vorgenannten Bestimmung zu beschädigen,

insbesondere zu verändern und zu löschen. Dies hat nicht nur das Gutachten der

Polizei Bielefeld ergeben (vgl. AS 031 ff.), sondern auch die Aussagen des

sachverständigen Zeugen (vgl. AS 286 ff.). Wie bereits unter Ziff. 2.2, b)

ausgeführt, gilt ein Programm bereits dann als Tatmittel im Sinne der

Bestimmung, wenn damit fremde Datenverarbeitungssysteme ausspioniert und fremde

Daten an Dritte weiterversandt werden können, denn damit werden Daten im Sinne

der Bestimmung verändert. Der Trojaner ‘DroidJack’ besitzt unter anderem diese

Eigenschaften: Mit dem Programm ist es nicht nur möglich fremde Datenverarbeitungssystem

auszuspionieren, sondern auch Daten zu verändern und zu löschen (vgl.

AS 014 ff., 031 ff., 157). Der Einwand des Beschuldigten, wonach es sich

vorliegend nicht um ein Programm im Sinne von Art. 144bis Ziff. 2

Abs. 1 StGB handle, da es nicht die Eigenschaft zur Selbstreplikation

besitze, ist nicht zu hören. Wie bereits ausführlich dargelegt, kann dieser

Ansicht nicht gefolgt werden (vgl. dazu Ziff. 2.2, b). Als gefährlichste

Malware fallen auch sog. Trojanische Pferde und damit auch das hier in Frage

stehende Programm ‘DroidJack 4.0 Beta’ unter den Begriff des Programms im Sinne

von Art. 144bis Ziff. 2 Abs. 1 StGB.

Durch das Herunterladen des Programms

ist die Tathandlung des Herstellens im Sinne von Art. 144bis Ziff. 2

Abs. 1 StGB erfüllt. Wie bereits aufgezeigt wurde, fand der Download gemäss

Computer-Zeitstempel am 18. Juli 2015 über die Webseite

‘www.droidjack.net/DroidJack.zip’ statt. Zudem wurde das Programm von einem im

Ausland stationierten Server heruntergeladen und damit per Datenübertragung in

die Schweiz eingeführt (vgl. AS 075 f.), womit auch die Tathandlung des

Einführens nach Art. 144bis Ziff. 2 Abs. 1 StGB gegeben

ist. Daran vermag auch der vom Beschuldigten vorgebrachte Einwand, wonach der

abschliessende Nachweis des Standorts des Servers für die Domain

"droidjack.net" fehle, nichts zu ändern. Aus den Ermittlungen des BKA

und der KOBIK geht nämlich klar hervor, dass die entsprechende Domain unter der

IP-Adresse […] gehostet wurde. Diese IP-Adresse ist der US-amerikanischen Firma

[…] zugeordnet. Laut Whois-Auszug befand sich der Standort des Servers auf den

Britischen Jungferninseln (BVI). Physisch befand sich der Server aber gemäss

Auskunft der US-amerikanischen Behörden in den USA (vgl. AS 075 f.).

Demzufolge befand sich der Server der Verkaufsplattform zweifelsohne im

Ausland, entweder in den USA oder aber auf den BVI. Dies hat denn auch der

sachverständige Zeuge anlässlich der Hauptverhandlung bestätigt (vgl.

AS 294). Dabei kann der genaue Standort offen bleiben. Fakt ist, dass sich

der Server im Ausland und nicht in der Schweiz befand. Der objektive Tatbestand

der Datenbeschädigung gemäss Art. 144bis Ziff. 2 Abs. 1 StGB

ist damit zu bejahen.

Der Beschuldigte handelte sodann auch

mit direktem Vorsatz. Er wusste, dass er die Schadsoftware bzw. den Trojaner

‘DroidJack’ herunterlud und in die Schweiz einführte. Er war auch über die

entsprechenden Funktionen von ‘DroidJack’ im Bilde, gab er doch anlässlich der

polizeilichen Einvernahme vom 27. Oktober 2015 an, dass er als Spezialist

wisse, was ein Trojaner sei und wie dieser funktioniere. Somit wusste er, dass

es sich hierbei um Malware und damit um ein Programm im Sinne der fraglichen

Bestimmung handelte. Genau dies wollte er denn auch. Die auf seinem Datenträger

des Beschuldigten gefundene Datei mit dem Namen ‘Checkliste’ gibt Aufschluss

darüber, wie er das heruntergeladene Programm einzusetzen beabsichtigte. Der

Beschuldigte wollte das Programm unbemerkt in das Mobiltelefon der Zielperson B.___

einschleusen, um ihre Daten auszuspionieren und einer oder mehreren

Drittpersonen weiterleiten zu können. Weiter wollte er eine von ihm verfasste

Nachricht im Namen der Zielperson an eine Drittperson senden, wonach sie

fremdgegangen sei. Die Weiterleitung von Daten und das Hinzufügen einer solchen

Nachricht stellt zweifelsohne eine Veränderung von Daten und damit eine

Datenbeschädigung im Sinne von Art. 144bis Ziff. 1 Abs. 1

StGB dar. Das zusätzliche subjektive Tatbestandsmerkmal des sog.

Verwendungszwecks, nämlich zu illegalen Zwecken, ist demnach ebenfalls erfüllt.

Dementsprechend hat auch der subjektive Tatbestand der Datenbeschädigung nach

Art. 144bis Ziff. 2 Abs. 1 StGB als erfüllt zu gelten.»

4.

In der Berufungsbegründung vom 21.

August 2018 wird zusammengefasst Folgendes geltend gemacht:

Der Beschuldigte bestreite die ihm zur

Last gelegten Tathandlungen vollumfänglich. Er bestreite damit auch, die

inkriminierte Software gekauft sowie vom Ausland in die Schweiz eingeführt und

durch Installation auf seinem Computer hergestellt zu haben. Dies sei vom

Berufungsgericht von Amtes wegen zu prüfen. Er konzentriere sich darauf, zu

belegen, dass aus der Anklageschrift kein strafbares Verhalten hervorgehe und

ihm die Vorinstanz Sachverhalte zur Last lege, die aufgrund der

Umgrenzungsfunktion des Anklageprinzips nicht Gegenstand der Beweiswürdigung

hätten sein dürfen.

Vorgehalten werde dem Beschuldigten beim

objektiven Tatbestand, er habe die Datei «DroidJack.zip» auf seinen iMac

geladen. Damit habe er «Schadsoftware» in die Schweiz eingeführt. Indem er sie

dann auf seinem Computer installiert habe, habe er die Schadsoftware zudem

hergestellt. Vorgeworfen würden ihm damit zwei Tatbestandsvarianten, nämlich

das Einführen und das Herstellen. Alles andere sei nicht Beweisthema und damit

unbeachtlich, zumal es von der Anklage nicht erfasst sei. Das gelte

insbesondere für die umfangreichen Ausführungen der Vorinstanz über die

Beziehung des Berufungsklägers zu einer B.___.

Beim subjektiven Tatbestand werde dem

Beschuldigten zunächst vorgeworfen, er habe unbefugt oder vorsätzlich auf dem

Weg der Datenübertragung die Schadsoftware «DroidJack» in die Schweiz

eingeführt. Er habe gewusst oder zumindest in Kauf genommen, dass sie zur

illegalen Verwendung erschaffen worden sei (was gemäss Lehre im Übrigen ein

objektives Erfordernis sei). Konkret laute der Vorwurf, der Beschuldigte habe

gewollt oder zumindest in Kauf genommen, dass mit der Schadsoftware Daten einer

(in der Anklage nicht genannten) Drittperson verändert, gelöscht oder

unbrauchbar gemacht würden. Nicht geltend gemacht werde in der Anklage, ob und

wozu der Berufungskläger die Software tatsächlich habe benützen wollen. Ohne

diesen Vorwurf sei die Verurteilung bereits deshalb ausgeschlossen, weil Art.

144bis Ziff. 2 StGB als Vorbereitungshandlung konzipiert sei. Es

gehe nach dem klaren Wortlaut des Gesetzes somit zunächst nicht darum, zu

welchen Zwecken das inkriminierte Programm abstrakt dienen könnte, sondern

darum, wozu es konkret dienen solle. Der Täter müsse demnach wollen (in Kauf

nehmen), dass die Software unbefugt i.S.v. Ziff. 1 eingesetzt werde. Das werde

dem Beschuldigten in der Anklage gerade nicht vorgeworfen, weshalb er von

Vorneherein nicht verurteilt werden könne. Anders zu entscheiden würde u.a. den

Anklagegrundsatz verletzen.

Im Übrigen sei der Vorwurf, der

Beschuldigte habe gewollt oder in Kauf genommen, dass mit der von ihm

heruntergeladenen Software Daten einer Drittperson verändert, gelöscht oder

unbrauchbar gemacht würden, jedenfalls solange unhaltbar, als der Hersteller

die Kontrolle über die Software behalte, sie also gerade nicht unbefugt

installiere und sie damit sich selbst oder einem Dritten überlasse. Gemäss

Anklage habe der Beschuldigte das Programm ausschliesslich auf seinem eigenen

Rechner installiert. Das geschützte Rechtsgut, nämlich das Interesse des

Verfügungsberechtigten an der ungestörten Verwendbarkeit von Daten, sei

unbestrittenermassen nie verletzt oder auch nur gefährdet gewesen. Letzteres

ergebe sich aus dem vorinstanzlichen Beweisergebnis, wonach es der Berufungskläger

gewesen sein solle, welcher die inkriminierte Software auf einer Virtual

Machine seines eigenen Computers installiert habe. Im Ergebnis sei der

Beschuldigte dafür verurteilt worden, dass er als ausgewiesener Computerexperte

ein Computerprogramm auf einer auf seinem eigenen Computer eingerichteten

Virtual Machine installiert habe. Wenn die Vorinstanz darüber spekuliere, dass

der Beschuldigte das Programm eingeführt habe, um es dann unbemerkt auf dem

Mobiltelefon der genannten Frau Morina zu installieren, verkenne sie die

Fakten. Installiert gewesen sei das Programm auf dem Computer der Beschuldigten

selbst und nirgendwo anders. Der Beschuldigte habe auch entgegen der Anklage

weder gewollt noch in Kauf genommen, dass mit der von ihm herunter geladenen

Software «DroidJack» Daten einer Drittperson verändert, gelöscht oder

unbrauchbar gemacht würden.

Handlungsobjekt sei nach dem

Gesetzestext ein «Programm». Programme seien codierte Arbeitsanweisungen an ein

EDV-System. Dieses müsse die Anweisungen lesen können und – weil das Programms

selbst nicht denken und entscheiden könne – ohne weiteres Zutun eines Menschen

ausführen. Ein Programm im Sinne des Gesetzes müsse also selbständig Daten

beeinträchtigen. Es müsse mit anderen Worten das tun, was Ziffer 1 der Norm verbiete,

also Daten von anderen Personen verändern, löschen oder unbrauchbar machen. Zur

Frage nach den Eigenschaften von «DroidJack» könne auf die zutreffenden

Ausführungen des sachverständigen Zeugen anlässlich der erstinstanzlichen

Hauptverhandlung verwiesen werden. Im Wesentlichen ermögliche das Programm das

Herstellen von Applikationen (in der Folge kurz «Apps» oder «APK-Paket» – erst

ein solches Paket stelle gemäss dem sachverständigen Zeugen inkriminierte

Schadsoftware dar), die – einmal auf dem System einer anderen Person

installiert – deren Daten verändern, löschen oder unbrauchbar machen solle. Die

App, die mit «DroidJack» hergestellt werden könnten (also gerade nicht

«DroidJack» selbst, sondern, beispielsweise «SandroRAT») ermögliche beispielswiese

den Fernzugriff auf Nachrichten, Telefonlisten, Kontaktdaten oder den Standort

des Geräts, auf dem sie – mit oder ohne Wissen des Besitzers – installiert

worden sei. Das Kürzel «RAT» stehe für «Remote Administration Tool», was mit

Fernbedienung übersetzt werden könne. Sie schneide bspw. Telefonate mit, könne

die Kamera kontrollieren, Daten verändern und kopieren, Nachrichten versenden

etc. Nur ein Teil dieser Anwendungsmöglichkeiten sei strafbar i.S.v. Ziff. 1.

Die Vorbereitungshandlung müsse sich aber natürlich auf einen strafbaren Zweck,

z.B. das Verändern, beziehen und das werde dem Beschuldigten nicht vorgeworfen.

Entsprechend habe der sachverständige Zeuge anlässlich der vorinstanzlichen

Verhandlung ausgeführt, diese Möglichkeiten würden das Programm nicht bösartig

machen. Die Bösartigkeit ergebe sich aus der Tatsache, dass man es auf einem

Zielgerät unbemerkt verstecken könne. Das Programm selbst, also die mit der

Software «DroidJack» herstellbare App «SandroRAT», die im fremden System

einzuschleusen sei, sei erst dann ein tatbestandsmässiges Programm, wenn es

über die Fähigkeit verfüge, sich selbst zu vervielfältigen und damit weitere

als die ursprünglich betroffenen Datenbestände zu verseuchen (Verweis auf

Stratenwerth/Jenny/Bommer, § 14 N 65). Dazu könne auf ein Urteil des

Obergerichts des Kantons Zürich verwiesen werden, das mit BGE 129 IV 230 E.

2.1.2

bestätigt worden sei. «DroidJack» sei nach diesen Erwägungen des

Bundesgerichts eindeutig kein Programm i.S.v. Art. 144bis Ziff. 2

StGB. Das gelte sogar für APK-Pakete, die mit «DroidJack» erstellt werden

könnten. Dabei handle es sich um das Programm, die eigentliche Schadsoftware,

auf welches die Anklage im vorliegenden Fall ziele. Es sei nicht denkbar, dass

die APK-Pakete sich vervielfältigten und Datenbestände verseuchten. Sie als

Programme im Sinne von Ziffer 2 der Strafnorm zu qualifizieren, würde jedes

Programm als tatbestandsmässig erscheinen lassen, mit dem ein Fernzugriff

möglich sei.

Der sachverständige Zeuge habe auf S. 31

f. des angefochtenen Urteils ausführlich dargelegt, was nötig sei, um aus

«DroidJack» ein Programm machen zu können, das seines Erachtens

tatbestandsmässig sein könnte (ohne allerdings die Voraussetzungen von BGE 129

IV 230 E. 2.1.2 auch nur annähernd zu erfüllen). Zusammengefasst habe er

dargelegt, dass zuerst Software herunter geladen und installiert werden müsse

(das habe der Beschuldigte jedenfalls gemäss Anklage getan). Anschliessend

müsse eine sog. DNS-Weiterleitung eingerichtet werden. «DroidJack» müsse dann

ein entsprechender Domainname gegeben werden. Diese DNS-Einrichtung sei der

zweite Schritt nach der Installation der Schadsoftware. Dann sei zu

entscheiden, mit welchen Funktionen die Software ausgestattet sein solle.

Zuletzt könne man einen Knopf drücken, um zusätzlich eine APK-Datei zu

erzeugen. Das Programm generiere sodann im Hintergrund diese Schadsoftware,

also das fragliche APK-Paket. Der letzte Schritt sei sodann, das APK-Paket auf

das Zielgerät zu bringen. Eine solche APK-Datei, welche man mit «DroidJack» generieren

könne, sei nicht fähig, sich wurmartig und unkontrolliert selbständig weiter zu

verbreiten und weitere Geräte zu infizieren.

Die Vorinstanz weiche in Bezug auf die

Auslegung des Begriffs «Programm» bewusst von der bundesgerichtlichen

Rechtsprechung in BGE 129 IV 230 ab, womit bestätigt worden sei, dass unter

Art. 144bis Ziff. 2 StGB nur Programme fielen, die dazu bestimmt

seien, in die Datenverarbeitungsprogramme anderer eingeschleust zu werden (E.

2.1

). Die Vorinstanz vertrete die Auffassung, heute werde der ungestörte

Umgang mit Daten kaum mehr bzw. nur noch in seltenen Fällen allein durch

Schadprogramme gefährdet. Es würden andere Schadprogramme überwiegen, deren

Schädigungspotential man sich erst im Nachgang zur Ausarbeitung von Art. 144bis

StGB bewusst geworden sei. Neben Computerviren fielen auch andere Formen von

Schadprogrammen unter den Tatbestand von Art. 144bis Ziff. 2 StGB.

Es könne daher nicht mehr darauf ankommen, dass der ausschliessliche Zweck des

Programms in der Datenbeschädigung liege. Auch die Selbstreplikationsfähigkeit,

die Computerviren im Gegensatz zu Trojanern aufwiesen, sei als einschränkendes

Zusatzkriterium für den Begriff des Programms abzulehnen. Die Vorinstanz

verkenne dabei, dass es Sache des Gesetzgebers sei, angeblich nicht mehr

zeitgemässe Strafbestimmungen zu ändern. Bereits der völlig unbestimmte Begriff

«Programm» sei unter dem Aspekt des Bestimmtheitsgebots hoch problematisch.

Definitiv nicht mehr vertretbar sei jedenfalls im Strafrecht, in dem das

Analogieverbot herrsche, tatbestandsmässige Begriffe einfach über den Umfang

auszudehnen, der ihnen vom Gesetzgeber zuerkannt worden sei. Es sei Sache des

Gesetzgebers, neue Strafbestimmungen zu schaffen, wenn er dies für notwendig

erachte. Es sei aber nicht Sache des Richters, Bundesstrafgesetze auszudehnen,

die er nicht mehr als zeitgemäss erachte. Das verletzte das Prinzip der

Gewaltentrennung. Schliesslich sei darauf hinzuweisen, dass die Rechtsprechung

des Bundesgerichts bei der Auslegung von Bundesgesetzen für den kantonalen

Richter verbindlich sei. Nur so sei garantiert, dass Bundesrecht einheitlich

angewendet werde. Im Ergebnis setze sich die Vorinstanz über die

bundesgerichtliche Rechtsprechung hinweg, die zumindest indirekt – nämlich in

Bestätigung der Rechtsprechung des Obergerichts des Kantons Zürich – nur

Programme erfasse, die über die Fähigkeit verfügten, sich selbst zu

vervielfältigen.

Im Sinne eines Exkurses werde

bestritten, dass «DroidJack» nur illegal verwendet werden könne. Das Deutsche

Bundesverfassungsgericht habe im Jahr 2009 entschieden, dass es nicht

ausreiche, dass ein Programm für die Begehung von Computerstraftaten geeignet

oder auch besonders geeignet sei. So habe es im Sinne eines IT-Fachmannes, der

Schadsoftware zur Analyse von Kunden eingesetzt habe, entschieden, aber auch

eines Dozenten, der Schadsoftware zu Ausbildungszwecken seinen Studenten

zugänglich gemacht habe, und eines IT-Experten, der Dual-Use-Software auf

Linux-Systemen eingesetzt habe. Das Gericht habe dargelegt, dass jede Software

auch legal eingesetzt werden könne und dass es einen entsprechenden Vorsatz

brauche. Ein solcher Vorsatz sei auch im vorliegenden Fall nicht ersichtlich,

auch wenn die Vorinstanz ausserhalb der Anklage darüber spekuliere. Das sei für

den beantragten Freispruch aber wohl nicht zentral und auch die

Dual-Use-Problematik erscheine für das schweizerische Recht nicht entscheidend.

Entscheidend sei aber, dass das Programm nach Ziffer 1 «verwendet werden

solle». Dies treffe im vorliegenden Fall nicht zu.

5.

Die Vorinstanz hat eine ausführliche

Beweiswürdigung vorgenommen, aufgrund welcher sie zutreffend schloss, der

Anklagesachverhalt sei rechtsgenüglich nachgewiesen. Es kann deshalb

grundsätzlich auf die betreffenden Erwägungen des Amtsgerichtspräsidenten auf

US 14 bis 34 verwiesen werden, welche nachfolgend teilweise zitiert werden.

Zusammenfassend können folgende zentralen Umstände aufgeführt werden, welche

den Beweis für den angeklagten Sachverhalt liefern:

-

Am 17. Juli 2015 um 14:25

Uhr wurde via dem Online-Zahlungsdienst PayPal eine Zahlung von USD 210.00 von

der Email-Adresse des Beschuldigten «[...]» an den Empfänger

«01.droidjack@gmail.com» getätigt. Dieser Betrag entspricht demjenigen, der auf

der Internetseite http://droidjack.net für den Erwerb der Schadsoftware

«DroidJack 4.0 Beta» verlangt wurde. Zudem stimmt die Email-Adresse des

Zahlungsempfängers «01.droidjack@gmail.com» mit derjenigen überein, die auf der

entsprechenden Verkaufsplattform «www.droidjack.net» angegeben wurde (US 14

f.).

-

Bei der forensischen

Datensicherung und Auswertung der sichergestellten Festplatte des Computers

iMac des Beschuldigten wurden zahlreiche Hinweise für das in der Anklage

vorgehaltene Vorgehen des Beschuldigten gefunden: In der Datenbank, in welcher

alle getätigten Downloads verzeichnet werden, konnte der Eintrag

«http://www.droidjack.net/DroidJack.zip» festgestellt werden. Gemäss

Zeitstempel wurde die Datei «DroidJack.zip» am 18. Juli 2015 um 8:48 Uhr

(Lokalzeit) heruntergeladen (US 15). In Bezug auf die weiteren technischen

Details kann vollumfänglich auf die Darlegungen der Vorinstanz auf US 15 bis 17

verwiesen werden, welche im Berufungsverfahren nicht bestritten wurden.

Insbesondere wurde nicht mehr bestritten, dass der Beschuldigte das Programm

«DroidJack» auf seinen Computer herunter geladen hat. Die Vorinstanz schliesst

(US 17):

«Der Trojaner

‘DroidJack’ wurde ursprünglich über die Webseite

‘http://www.droidjack.net/DroidJack.zip’ – und damit als ZIP-Datei –

heruntergeladen und auf dem Datenträger des Beschuldigten installiert.

Ausserdem wurde der Trojaner ‘DroidJack’ der Android-App ‘Sunrise My Account’

hinzugefügt. Wie sogleich noch aufzuzeigen sein wird, gehörte die Tarnung des

genannten Trojaners als Sunrise-App zum Tatplan des Beschuldigten. Auch die Zurverfügungstellung

der mit ‘DroidJack’ infizierten ‘Sunrise’-App zum Direktdownload über den

‘Vesort’-Server gehörte zu dessen Tatplan (vgl. die nachfolgenden Ausführungen

unter c).»

-

Auf der Festplatte des

Beschuldigten kam eine Datei mit dem Namen «134CD175-9210-49E3-BB226-D5E0A41BBCEE»

und der inhaltlichen Textüberschrift «Checkliste» zum Vorschein (Wortlaut siehe

US 18). Zu dieser Checkliste verweigerte der Beschuldigte die Aussage (AS 100).

Aus der Checkliste schloss die Vorinstanz zu Recht Folgendes (US 18/19):

«Diese

‘Checkliste’ spiegelt offensichtlich den Tatplan bzw. das Vorhaben des

Beschuldigten mit dem Programm ‘DroidJack’ wider. Daraus geht deutlich hervor,

dass der Beschuldigte den Trojaner ‘DroidJack’ als Sunrise-App tarnen wollte;

dies tat er dann auch (dazu sogleich unter d) und e). Sodann wollte er eine SMS

an die weibliche Zielperson senden mit dem Absendernamen ‘Sunrise’. In dieser

Nachricht sollte der Link zum Download der Schadsoftware ‘DroidJack’ – getarnt

als Sunrise-App – versendet werden, wobei der Download über ‘Vesort’ laufen

sollte. Dies entspricht denn auch den Feststellungen der Polizei, wonach unter

der Domain ‘vesort.com’ die App zur Verfügung gestellt worden sei. Des Weiteren

wollte der Beschuldigte in der Nachricht den bereits von ihm entworfenen und

vermeintlich von Sunrise stammenden Text versenden, in welchem für die Nutzung

dieser (mit ‘DroidJack’ erweiterten) Sunrise-App eine Gutschrift von

CHF 150.00 versprochen wird (dazu sogleich unter d). Mit dem Herunterladen

dieser App durch die Zielperson wäre dann deren Mobiltelefon mit ‘DroidJack’

infiziert gewesen (‘DroidJ vorbereiten und als Sunrise tarnen’; ‘SMS Absender

als Sunrise ausgeben’; ‘Link mit google url kürzer tarnen’; ‘direkt download

link über vesort laufen lassen’; ‘Infect her phone’). Hierauf wollte der

Beschuldigte die Mobiltelefondaten dieser weiblichen Zielperson sammeln

(‘collect all Data’ etc.). Weiter wollte er diese Daten über das infizierte

Mobiltelefon selbst an eine Drittperson weiterleiten (‘Plan 1: Über ihr Handy

alle Nachrichten inkl. Beweisen an victim 2 senden’). Schliesslich wollte er

eine von ihm verfasste Nachricht über das Mobiltelefon und damit im Namen der

weiblichen Zielperson an eine Drittperson senden, welche dahingehend hätte

lauten sollen, dass sich die weibliche Zielperson bei dieser Drittperson für

das Fremdgehen entschuldige (‘Plan 2: 1 Nachricht über ihr Hand[y] das sie

fremdgegangen ist und es ihr leid tue’). Wie noch zu sehen sein wird, lassen

weitere Beweismittel darauf schliessen, dass es sich bei der weiblichen

Zielperson um B.___ handelte, an welcher sich der Beschuldigte mit diesem

Vorgehen rächen wollte (vgl. die E-Mail des Beschuldigten an B.___,

AS 105, und die diesbezüglichen Ausführungen unter f) sowie die Aussagen

von B.___ unter Ziff. 3.3.3.»

-

Im Rahmen der forensischen

Datensicherung und Auswertung wurde auch eine Datei festgestellt, die am 17.

Juli 2015,10:17 Uhr, auf dem Datenträger des Beschuldigten gespeichert wurde.

Diesem Dokument ist folgender Text zu entnehmen: «Lad unsere Sunrise Mein

Konto-App herunter, nutze diese 1 Monat und wir vergueten dir auf deine

naechste Rechnung 150 CHF. Deine Sunrise» (vgl. AS 106, 162). Diese Datei bzw.

deren Inhalt geht mit dem Inhalt der soeben erwähnten «Checkliste» einher: Die

Textnachricht hätte den Anschein erwecken sollen, dass sie von Sunrise stamme.

Der Beschuldigte wollte damit offensichtlich sicherstellen, dass die mit dem

Trojaner «DroidJack» erweiterte Sunrise-App von der Zielperson tatsächlich auch

heruntergeladen wird. Die versprochene Gutschrift von CHF 150.00 hätte den

Anreiz dafür schaffen sollen.

-

Unter lit. e) auf US 19 -

21.

wird ausgeführt:

«Laut der von der Polizei

durchgeführten Analyse der vorgefundenen Datei bzw. App ‘sunrise.apk’ (vgl.

AS 155 ff.) wurde diese gemäss Zeitstempel am 18. Juli 2015, 13:53

Uhr, auf der Festplatte des Beschuldigten unter dem Pfad ‘/Download’ abgelegt.

Zusätzlich wurde eine weitere Datei ‘ch.sunrise.mein.konto-1.apk’ festgestellt,

die identisch mit der ‘sunrise.apk’ ist. Dazu wird im Bericht festgehalten, es

falle auf, dass das Paket ‘net.droidjack.server’ darin enthalten sei. Darin

befinde sich wiederum eine Datei ‘bk’, die die Zeilen "a =

prohiring.ddns.net' und ‘b = 1337’ aufweise. Erstere stelle die Domain und

Letztere den Port dar. Beide seien auch in der Datei

‘Sandrorat_Configuration_Database’ gefunden worden und würden als Verbindung

zum Kontrollserver verwendet. Weiter seien unter anderem folgende

Berechtigungen entdeckt worden: SMS / MMS abfangen, lesen, schreiben und versenden;

vom externen Speicher (SD-Karte) lesen und darauf schreiben; genaue Position

des Geräts abfragen; Kontakte lesen und schreiben; Anrufliste lesen und

schreiben; Bowserverlauf lesen; laufende Prozesse abfragen; Anrufe tätigen

sowie Zugriff aufs Internet. Gemäss Bericht ist diese hohe Anzahl an

Berechtigungen ungewöhnlich und stellt ein Hinweis dar, dass sich der Trojaner

‘DroidJack’ in der App befindet. Weiter würden auch die in der App definierten

Services und Activities aufgrund ihrer Namen, die jeweils die Bezeichnung

‘net.droidjack.server’ mitenthalten, darauf hinweisen, dass sich der Trojaner

‘DroidJack’ in der Datei befinde. Ein Vergleich mit der ‘echten’ Referenzdatei,

also der öffentlichen von Sunrise angebotenen App ‘Sunrise My Account’ mit dem

Paketnamen ‘ch.sunrise.mein.konto’, zeige, dass diese deutlich weniger

Berechtigungen enthalte. Auch würden darin die gefundenen Activities und

Services fehlen.

Zusammenfassend hält der

Analyse-Bericht fest, dass die gefundene Datei ‘sunrise.apk’ eine mit DroidJack

erweiterte Version der App ‘Sunrise My Account’ ist; dies aufgrund der

folgenden Merkmale:

-

Der Paketname

‘net.droidjack.server’ deutet darauf hin, dass es sich hierbei um ‘DroidJack’

handelt, welcher auch im Bericht zur IT-Untersuchung des Trojaners ‘DroidJack’

von der Polizei Nordrhein-Westfalen / Bielefeld erwähnt wird.

-

Die App fordert zusätzliche

Berechtigungen an, die in der öffentlichen Version von ‘Sunrise My Account’

nicht notwendig sind.

-

Die in der Datei ‘bk’ in

‘sunrise.apk’ gefundene Datei enthält Hinweise auf den Kontrollserver, der

gemäss IP-Adresse im Raum Solothurn stationiert war.

Im

Analysebericht wird schliesslich ausgeführt, dass die gefundenen APK-Dateien

keine Hinweise auf die Kontrollsoftware enthalten würden, mit der diese Dateien

erzeugt worden seien. Es könne daher nicht belegt werden, dass sich die

Kontrollsoftware auf einem der Geräte befinde oder befunden habe, jedoch könne

dies auch nicht ausgeschlossen werden. Allerdings könne gesagt werden, dass die

technischen Voraussetzungen für den Einsatz der Kontrollsoftware auf den

Geräten erfüllt seien.

Damit kann als

erstellt gelten, dass der Beschuldigte entsprechend seinem Tatplan

(‘Checkliste’) die Sunrise-App bereits mit dem Trojaner ‘DroidJack’ erweitert

hatte (‘DroidJ vorbereiten und als Sunrise tarnen’). Das Programm bzw. der

Trojaner ‘DroidJack’ war einsatzbereit. Der Trojaner ‘DroidJack’ musste nur

noch auf das Mobiltelefon der Zielperson eingeschleust werden und zwar mittels

der oben beschriebenen Schritte.»

-

Der Beschuldige sandte am

8.

Juli 2015 eine längere E-Mail an B.___ (AS 105). Aus dieser Nachricht wird

sehr deutlich, dass der Beschuldigte verletzt und enttäuscht von B.___ und auch

wütend auf sie war. Er fühlte sich ausgenutzt und von ihr in die Irre geführt,

nachdem sie ihm gewissermassen einen Korb gegeben hatte bzw. keine

Liebesbeziehung mit ihm eingehen wollte, sondern zurück zu ihrem Ex-Freund ging

(vgl. dazu die Aussagen von B.___ zur Hintergrundgeschichte unter Ziff. 3.3.3;

AS 108 ff.). In der E-Mail an B.___ schilderte der Beschuldigte, seine Gefühle

für sie seien nun endgültig ausgelöscht. Er sprach insbesondere davon, dass er

gewisse Personen bereits über das Geschehene informiert habe, diese das Ganze

weitererzählen würden und er noch weitere darüber informieren werde. Am Schluss

würden alle, die B.___ kennen würden, darüber Bescheid wissen; schliesslich

hätten es alle verdient, die Wahrheit über sie zu erfahren. Er habe auch genug

Beweise; er sei immer auf das Schlimmste vorbereitet und habe alles

protokolliert sowie archiviert: unter anderem jede SMS, jede E-Mail, ihr

Übernachten bei ihm und überhaupt alles, was mit ihr zu tun habe. Weiter ist

der Nachricht zu entnehmen, dass dies erst der Anfang sei. Jede Leiche, die sie

im Keller beherberge, werde nun ans Tageslicht kommen. Denn jede Person solle im

Leben nach seinen eigenen Taten «gekennzeichnet» sein. Schliesslich bedankte

sich der Beschuldigte in ironischer Art und Weise, dass sie ihn in den Abgrund

«gstüpft» und noch «dri gshuttet» habe, denn erst dann habe es bei ihm «klick»

gemacht. Sie habe immer gedacht, wenn A nicht mehr hier sei, dann sei B noch

da; nun seien weder A noch B da. Dies habe sie sich selbst angetan und stelle

Gerechtigkeit dar.

Diese E-Mail an B.___

veranschaulicht, dass der Beschuldigte aus seiner Enttäuschung und Wut heraus

nach Rache – aus seiner Sicht «Gerechtigkeit» («justice») – dürstete. Er war

offensichtlich verliebt in B.___; nachdem er diese nicht für sich gewinnen

konnte und sie wieder zurück zu ihrem Ex-Freund gegangen war, wollte er sich

insofern an ihr rächen, als dass die «Wahrheit» über sie und ihn ans Tageslicht

kommen sollte. All ihre Freunde, ihre Familie und insbesondere ihr Freund und

dessen Umfeld hätten erfahren sollen, was zwischen ihm und ihr gelaufen war

(vgl. dazu auch die Aussagen von B.___ zur Vorgeschichte mit dem Beschuldigten

unter Ziff. 3.3.3; AS 108 ff., welche die Vorgänge bestätigen). Zur

genannten E-Mail und zu den Angaben von B.___ verweigerte der Beschuldigte die

Aussage (AS 101 ff.). B.___ verwendete zur Tatzeit ein Samsung-Handy mit

Android-Betriebssystem (AS 113).

-

Beim Beschuldigten handelt

es sich um einen IT-Fachmann, welcher problemlos zur Ausführung dieser

technisch anspruchsvollen Handlungen in der Lage war.

6.

Nach dem Anklagegrundsatz bestimmt

die Anklageschrift den Gegenstand des Gerichtsverfahrens (Umgrenzungsfunktion;

Art. 9 und Art. 325 StPO; Art. 29 Abs. 2 und Art. 32 Abs. 2 BV; Art. 6 Ziff. 1

und Ziff. 3 lit. a und b EMRK). Das Gericht ist an den in der Anklage

wiedergegebenen Sachverhalt gebunden (Immutabilitätsprinzip), nicht aber an

dessen rechtliche Würdigung durch die Anklagebehörde (Art. 350 StPO). Die

Anklage hat die der beschuldigten Person zur Last gelegten Delikte in ihrem

Sachverhalt so präzise zu umschreiben, dass die Vorwürfe in objektiver und

subjektiver Hinsicht genügend konkretisiert sind. Der Anklagegrundsatz bezweckt

zugleich den Schutz der Verteidigungsrechte der beschuldigten Person und dient

dem Anspruch auf rechtliches Gehör (Informationsfunktion; BGE 131 IV 132 E.

3.4

; 140 IV 188 E. 1.3; je mit Hinweisen). Unter dem Gesichtspunkt der

Informationsfunktion muss die beschuldigte Person aus der Anklage ersehen

können, wessen sie angeklagt ist. Dies bedingt eine zureichende Umschreibung

der Tat. Entscheidend ist, dass die beschuldigte Person genau weiss, welcher

konkreten Handlungen sie beschuldigt und wie ihr Verhalten rechtlich

qualifiziert wird, damit sie sich in ihrer Verteidigung richtig vorbereiten

kann. Sie darf nicht Gefahr laufen, erst an der Gerichtsverhandlung mit neuen

Anschuldigungen konfrontiert zu werden (vgl. BGE 103 Ia 6 E. 1b; Urteile

6B_492/2015 vom 2.12.2015 E. 2.2, nicht publiziert in: BGE 141 IV 437;

6B_1151/2015 vom 21.12.2016 E. 2.2; je mit Hinweisen). Solange für die

beschuldigte Person klar ist, welcher Sachverhalt ihr vorgeworfen wird, kann

auch eine fehlerhafte und unpräzise Anklage nicht dazu führen, dass es zu

keinem Schuldspruch kommen darf. Die nähere Begründung der Anklage erfolgt an

den Schranken; es ist Sache des Gerichts, den Sachverhalt verbindlich

festzustellen (Urteil 6B_894/2016 vom 14.3.2017 E. 1.1.1 mit Hinweisen).

Eine Verletzung des Anklagegrundsatzes

kann vorliegend nicht ausgemacht werden: Die Anklage umschreibt den dem

Beschuldigten vorgeworfenen Lebenssachverhalt im Hinblick auf die inkriminierte

Strafnorm klar und ausreichend: Wenn der Beschuldigte moniert, es stehe nicht

in der Anklage, ob und wozu er die inkriminierte Software tatsächlich habe

benutzen wollen, so ist dies zwar richtig: Man hätte in der Anklage durchaus

auf die geplante Verwendung auf dem Mobiltelefon von B.___ hinweisen können.

Dies war aber zur Einhaltung des Anklageprinzips nicht nötig: Dem Beschuldigen

wird vorgehalten, er habe gewollt oder in Kauf genommen, dass in der Folge mit

der von ihm heruntergeladenen Schadsoftware «DroidJack» Daten einer Drittperson

verändert, gelöscht oder unbrauchbar gemacht würden. Dass es sich bei der

«Drittperson» um B.___ handelt, geht aus den Akten eindeutig hervor und wurde

dem Beschuldigten auch immer wieder vorgehalten. Dieser wusste damit genau, was

ihm vorgeworfen wurde und eine Einschränkung seiner Verteidigungsrechte ist

nicht erkennbar. Es kann auf die obigen allgemeinen Ausführungen verwiesen

werden. Im Übrigen würde eine allfällig unzureichende Anklage nicht zum

Freispruch führen, sondern zu einer Rückweisung an die Staatsanwaltschaft.

7.

Der Beschuldigte liess geltend

machen, der Vorwurf, der Beschuldigte habe gewollt oder in Kauf genommen, dass

mit der von ihm heruntergeladenen Software Daten einer Drittperson verändert,

gelöscht oder unbrauchbar gemacht würden, sei jedenfalls solange unhaltbar, als

der Hersteller die Kontrolle über die Software behalte, sie also gerade nicht

unbefugt installiere und sie damit sich selbst oder einem Dritten überlasse.

Dieser Einwand ist nicht nachvollziehbar, handelt es sich doch vorliegend um

ein abstraktes Gefährdungsdelikt, strafbar ist eben gerade das Herunterladen

des Programmes (auch) auf den eigenen Computer im Wissen oder in der Annahme,

dass dieses zu den in Ziffer 1 von Art. 144bis StGB genannten

Zwecken verwendet würde (im vorliegenden Fall durch den Beschuldigten selber).

Verhindert werden soll damit gerade das Beschaffen solcher Schadsoftware aus

dem Internet mittels Herunterladen auf den eigenen Computer (was nach

bundesgerichtlicher Rechtsprechung zur Pornographie einem «Herstellen» im Sinne

des Gesetzes entspricht). Ob nun der Täter selbst oder ein (ihm bekannter)

Dritter das Programm danach zu einem der genannten Zwecke verwenden will, ist

nicht von Relevanz. Die vom Strafrecht verpönte Gefährdung der Rechte Dritter

lag nach dem obigen Beweisergebnis vor.

8.

Der Haupteinwand des Beschuldigten

betrifft das Handlungsobjekt. Er macht geltend, nach den Ausführungen des

sachverständigen Experten vor dem Amtsgerichtspräsidenten sei es gerade nicht

die Datei «DroidJack» gewesen, welche auf dem Handy von B.___ hätte Schaden

anrichten sollen. Es sei vielmehr die App, die mit dem Programm «DroidJack»

hergestellt werden könne, die den Fernzugriff auf das betroffene Gerät (hier

Handy) ermögliche.

Das war aber nicht die Aussage des

Experten: Er sagte aus, zur Qualifikation als Schadsoftware habe der Umstand

geführt, dass das Programm, das die Software sei, ein sogenanntes APK-Paket

erzeugen könne. Diese Funktion biete, dass man es anderen Programmen anhängen

könne und dass das quasi unbemerkt im Hintergrund laufe. Wenn man es schaffe,

ein Gerät mit dieser Schadsoftware zu infizieren, habe man Zugriff auf die

wesentlichen Funktionen, die wichtig seien, um die Kommunikation zu überwachen.

Man könne auf Telefongespräche zugreifen, SMS abfangen, den WhatsApp-Chat

auslesen, aber auch Daten löschen etc. Es könne durchaus sein, dass man das

machen möchte aus der Ferne, aber die Funktion, die sie in seinen Augen

wirklich «bösartig» mache, sei die Tatsache, dass man es verstecken könne auf

dem Gerät. Dass der Benutzer, der das Gerät bediene, nichts mitbekomme. Dass

die Software drauf sei, wenn er nicht gezielt danach suche. Und «gezielt danach

suchen», heisse nicht einfach anschauen, sondern er müsse recht tief in das

System hineingreifen, damit er wirklich sehen könne, dass die Software da sei

(AS 289 Rz. 117 ff.). Die unmittelbar darauf folgende Frage des

Amtsgerichtspräsidenten, der Punkt, den der Sachverständige soeben beschrieben

habe, sei also, dass man die Schadsoftware einem anderen Programm anhängen

könne: Man könne also einem Dritten ein anderes Programm schicken und damit

könne auch der Trojaner als Schadsoftware mitgeschickt werden, hat der

Sachverständige bestätigt (AS 289 Rz. 138 ff.). Auf die entsprechende Frage

führte er aus, wenn jemand wie er (der Sachverständige) diese Software

interessehalber oder aus wissenschaftlichen Gründen ausprobiere, müsse er das

Schadensprogramm dafür sicher nicht koppeln an ein anderes Programm, man lade

dann nur die Schadensoftware auf den Computer herunter. Das sei korrekt. Er

habe das Programm «Droidjack», das ja einerseits aus der Schadsoftware selbst

bestehe, andererseits auch aus einem Programm zur Erzeugung dieser

Schadsoftware oder aus einem anderen Programm, das ermögliche, diese

Schadsoftware zusammenzuführen (AS 290 Rz. 159 ff.). Der Sachverständige

erklärte auch, die fragliche Schadsoftware biete sich selbst als «Remote

Administration Tool» an (AS 294 Rz. 357 f.).

Schon auf dem Titelblatt des Berichts

vom 24. September 2015 des sachverständigen Zeugen C.___ (fedpol/KOBIK) wird

folgendes ausgeführt:

«Käuflicher Erwerb einer Schadsoftware,

welche es ermöglicht, diese in bestehende Softwarepakete für das

Android-Betriebssystem einzuschleusen und unerlaubt über das Internet die

Kontrolle über ein Handy, inklusive Zugriff auf SMS, Mails und

Applikationsdaten, zu erlangen» (AS 9).

Es solle somit die Schadsoftware

«DroidJack» in das Android-Betriebssystem eingeschleust werden. Genau so wird

es auf Seite 2 (AS 10) des betreffenden Berichts umschrieben:

«Die Webseite http://droidjack.net ist

eine Verkaufsplattform für die Schadsoftware ‘DroidJack’. Sofern auf einem

Gerät mit dem Android-Betriebssystem installiert, erlaubt es die Schadsoftware

einem Angreifer, die totale Kontrolle über das Gerät zu erlangen, inklusive

Zugang zu Applikationsdaten wie SMS-Speicher, E-Mails, Standortdaten etc. Zudem

erlaubt die Schadsoftware die Manipulation der auf dem Gerät gespeicherten

Daten. Des Weiteren geht aus der Beschreibung der Software auf der Webseite

hervor, dass diese in beliebige so genannte APK-Pakete (Programm-Dateien für

Geräte mit Android-Betriebssystem) eingeschleust werden kann. Ein Angreifer

kann somit ein bereits existierendes (gutartiges) Programm übernehmen und mit

geringem Aufwand die zusätzlichen (bösartigen) Funktionen hinzufügen. Das

überarbeitete Programm erfüllt weiterhin alle Funktionen des

Original-Programms, gibt jedoch dem Angreifer zusätzlich die totale Kontrolle

über das infizierte Gerät. Im beigelegten Memorandum kommt das deutsche

Bundeskriminalamt zum Schluss, dass es sich bei der Software DroidJack nicht um

ein so genanntes Dual-Use-Programm handle, das sowohl Potential für einen

legitimen Einsatz als auch Missbrauchspotential aufweist. Vielmehr handelt es

sich aufgrund der Fähigkeiten, der Art und Weise der Präsentation auf der

Webseite http://droidjack.net und dem spezifischen Design des Quellcodes um ein

Programm, welches mit der Absicht erschaffen wurde, unbemerkt die Kontrolle

über Android-Geräte zu erlangen, indem es Drittprogrammen angefügt werden kann

(so genanntes ‘Trojanisches Pferd’, kurz: ‘Trojaner’). Dementsprechend

schliesst das BKA, dass für Personen, welche dieses Programm erwerben, der

dringende Verdacht besteht, dass diese dies mit der Absicht tun, einen

bösartigen Programmcode auf Android-basierte Geräte einzuschleusen.»

Gleich ist die Beschreibung im

«Gutachten der Polizei Bielefeld zu Fähigkeiten von DroidJack 4.0 Beta» vom 12.

Februar 2015 (AS 031 ff.):

«Bei dem Tool DroidJack handelt es sich

um ein sogenanntes Remote Administration Tool (R.A.T.), das zur Fernsteuerung

von Android-Smartphones mittels Microsoft Windows-PC oder Apple Mac genutzt

werden kann» (AS 34).

«DroidJack besteht aus zwei Teilen. Der

Kontrollsoftware, welche in Java programmiert wurde und auf den

Betriebssystemen Mac OS und Windows (nicht Linux!) lauffähig ist, so wie der

eigentlichen Schadensoftware, welche mit der Kontrollsoftware vorbereitet und

im Anschluss auf beliebigen Android-Geräten installiert werden kann, um diese

fernzusteuern» (AS 35).

«Zusammenfassung: Wie die Analyse zeigt,

handelt es sich bei DroidJack 4.0 Beta um ein Remote Administration Tool,

welches alle angegebenen Funktionen bietet. Dabei wurde offensichtlich ein

besonderer Schwerpunkt auf die Verschleierung der Anwesenheit der Software

gelegt. Somit ist die Software allem Anschein nach primär auf das unbemerkte

Überwachen und Fernsteuern von Android-Smartphones ausgelegt» (AS 63).

Auch im Internet wird das Programm

«DroidJack» als Trojaner beschrieben (Bericht vom 10.8.2015 auf

besucht am 17.3.2019):

«Die Absender fordern den Empfänger auf,

ein in der Mail verlinktes Sicherheitsupdate mit dem Dateinamen

CVE-2015-1538.apk über Sideloading zu installieren. Dabei handelt es sich

jedoch nicht um einen Security-Patch, sondern um einen Android-Trojaner. Eine

Sandbox-Analyse von heise Security und Untersuchungen des CISPA zeigen, dass es

sich offenbar um das kommerzielle Remote-Administration-Tool (RAT) DroidJack

handelt, das einen weitreichenden Fernzugriff auf das Android-Gerät erlaubt.»

9.

Letztlich macht der Beschuldigte

geltend, es handle sich vorliegend nicht um ein Schadprogramm, das sich selbst

reproduziere und damit gemäss BGE 129 IV 230 E. 2.1.2 ein Programm im

Sinne von Art. 144bis StGB sei. Der Sachverständige bestätigte vor

der Vorinstanz, es sei ihm nicht bekannt, dass sich die Schadsoftware

«DroidJack» wurmartig und unkontrolliert weiterverbreiten könne (AS 297 Rz. 535

ff.). Etwas laienhafter ausgedrückt wird damit vorgebracht, die Strafnorm

stelle nur die Verwendung von Viren (die sich reproduzieren und sich so

wurmartig weiterverbreiten), nicht aber die Verwendung von Trojanern wie

«DroidJack» unter Strafe.

Die Vorinstanz hat sich unter Ziffer 2.2

lit. b) auf US 7 ff. eingehend mit diesem Einwand unter Bezugnahme auf

entsprechende Literatur auseinandergesetzt und hat ihn zu Recht verworfen. Auf

diese zutreffenden Erwägungen des Amtsgerichtspräsidenten kann vorweg

vollumfänglich verwiesen werden.

BGE 129 IV 230 lag folgender Sachverhalt

zu Grunde: Der Beschuldigte vertrieb CD-ROMs. Die CD-ROM war über ein

Web-Browser-Programm (z.B. Microsoft, Internet-Explorer, Netscape) lesbar. Sie

enthielt im Inhaltsverzeichnis unter anderem einen Bereich, der mit «VIRUS»

betitelt war. Dieser Teil, der in fünf Unterbereiche gegliedert war, enthielt

zwar kein lauffähiges Virusprogramm. Es fanden sich dort jedoch Instruktionen

und Hinweise zur Erzeugung von Programmen, die Daten infizieren, zerstören oder

unbrauchbar machen. Das Bundesgericht zitiert in der vom Beschuldigten in der

Berufungsbegründung genannten und wörtlich wieder gegebenen Erwägung 2.1.2 aber

die Vorinstanz (= Obergericht Kanton Zürich): Diese habe erwogen, unter die

Tatbestandsvariante von Art. 144bis Ziff. 2 StGB fielen nur solche

Programme, die dazu bestimmt seien, in die Datenverarbeitungsprogramme anderer

eingeschleust zu werden. Sie müssten zudem über die Fähigkeit verfügen, sich

selbst zu vervielfältigen. Wenn in der Berufungsbegründung nun diese

Voraussetzung als bundesgerichtliche Rechtsprechung bezeichnet wird, ist das

somit zumindest nicht präzis. Dazu kommt, dass der Gesetzestext keinerlei Einschränkung

enthält, wonach nur Programme pönalisiert würden, welche «über die Fähigkeit

verfügen, sich selbst zu vervielfältigen». Es mag sein, dass bei der Schaffung

der Strafnorm vor allem Virusprogramme im Fokus standen, der Wortlaut der

Strafnorm ist aber klar: Es geht um Programme, welche es ermöglichen, dass

unbefugt elektronisch oder in vergleichbarer Weise gespeicherte oder

übermittelte Daten verändert, gelöscht oder unbrauchbar gemacht werden. Eine

Beschränkung auf Virenprogramme ergibt sich daraus in keiner Weise. Folglich

ist auch die Einfuhr und die Herstellung des Trojaners «DroidJack» strafbar, da

dieses Programm über die genannten Fähigkeiten verfügt, wie sich aus der obigen

Sachverhaltsfeststellung ergibt. Ebenso ist es das Beweisergebnis, dass der

Beschuldigte das Programm im Sinne des Gesetzes zu diesen Zwecken verwenden

wollte. Er kannte die schädliche Wirkung des Programmes. Der Schuldspruch der

Vorinstanz ist deshalb zu bestätigen.

Nur noch der Vollständigkeit halber:

Wenn das Bundesgericht im genannten Entscheid die Handlungen des

Beschwerdeführers einzig unter dem Gesichtspunkt der letzten der aufgeführten

Tatbestandsvarianten von Art. 144bis Ziff. 2 Abs. 1 StGB prüfte,

nämlich der Anleitung zur Herstellung von Programmen, die zu einem der in Ziff.

1.

genannten Zwecke verwendet werden sollen, hatte das einen besonderen Grund:

Die inkriminierte CD-ROM war über ein Web-Browser-Programm (z.B. Microsoft,

Internet-Explorer, Netscape) lesbar. Sie enthielt im Inhaltsverzeichnis unter anderem

einen Bereich, der mit «VIRUS» betitelt war. Dieser Teil, der in fünf

Unterbereiche gegliedert war, enthielt zwar kein lauffähiges Virusprogramm. Es

fanden sich dort jedoch Instruktionen und Hinweise zur Erzeugung von

Programmen, die Daten infizieren, zerstören oder unbrauchbar machen (lit. A.

des Urteils).

10.

Unter diesen Umständen ist die

Festplatte […] (aus dem Apple iMac 27 stammend) gestützt auf Art. 69 Abs. 1

StGB einzuziehen und durch die Polizei Kanton Solothurn zu vernichten. Es kann

dazu auf die Ausführungen der Vorinstanz auf US 40 f. (Ziff. IV.) verwiesen

werden.

III. Strafzumessung

1.

Gemäss Art. 47 Abs. 1 StGB misst das

Gericht die Strafe nach dem Verschulden des Täters zu. Es berücksichtigt das

Vorleben und die persönlichen Verhältnisse sowie die Wirkung der Strafe auf das

Leben des Täters. Die Bewertung des Verschuldens wird in Art. 47 Abs. 2 StGB

dahingehend präzisiert, dass dieses nach der Schwere der Verletzung oder

Gefährdung des betroffenen Rechtsguts, nach der Verwerflichkeit des Handelns,

den Beweggründen und Zielen des Täters sowie danach bestimmt wird, wie weit der

Täter nach den inneren und äusseren Umständen in der Lage war, die Gefährdung

oder Verletzung zu vermeiden. Nach Art. 50 StGB hat das Gericht die für die

Zumessung der Strafe erheblichen Umstände und deren Gewichtung festzuhalten.

Der Begriff des Verschuldens muss sich

auf den gesamten Unrechts- und Schuldge-halt der konkreten Straftat beziehen.

Innerhalb der Kategorie der realen Strafzumessungsgründe ist zwischen der

Tatkomponente, welche nun in Art. 47 Abs. 2 StGB näher umschrieben wird, und

der in Abs. 1 aufgeführten Täterkomponente zu unterscheiden (vgl. Stefan

Trechsel/Marc Thommen in: Stefan Trechsel/Mark Pieth [Hrsg.], Praxiskommentar

Schweizerisches Strafgesetzbuch, 3. Aufl., Zürich/St. Gallen 2018,

Art. 47 StGB N 16 mit Hinweisen auf die bundesgerichtliche Praxis).

2.

Die Datenbeschädigung gemäss Art. 144bis

Ziff. 2 StGB wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe

bestraft. Der Beschuldigte gefährdete mit seinem Verhalten das Rechtsgut der

ungestörten Verwendbarkeit von Daten. Dass der Gesetzgeber mit Art. 144bis

Ziff. 2 StGB typische Vorbereitungshandlungen zur eigentlichen

Datenbeschädigung zu einem eigenständigen Delikt erhoben hat, zeigt, dass

diesem Rechtsgut ein beachtlicher Rang zukommt. Ein grösserer – auch

finanzieller – Aufwand für die Beschaffung des Programms war für den

Beschuldigten nicht nötig, sein Vorgehen war aber - wie dies die Vorinstanz zu

Recht festhält - überaus gut durchdacht und nur mit besonderen Fachkenntnissen

durchführbar. Aus den Akten ergeben sich keine Anhaltspunkte, wonach der

Beschuldigte neben B.___ weitere Personen im Visier hatte. Andererseits wollte

er immerhin auch Mitteilungen ab dem Handy von B.___ und in deren Namen versenden

und sie damit in ihrem Umfeld blossstellen. Der Beschuldigte handelte mit

direktem Vorsatz und er hätte sich ohne weiteres rechtskonform verhalten

können. Sein Motiv war Rache und damit ein niedriger Beweggrund. Mit der Vorinstanz

ist insgesamt von einem noch leichten Tatverschulden auszugehen. Aus den

Täterkomponenten ergeben sich keine für die Strafzumessung relevanten Umstände,

es kann dazu auf die Ausführungen der Vorinstanz auf US 38 f. verwiesen werden.

Die vom Amtsgerichtspräsidenten ausgefällte Geldstrafe von 150 Tagessätzen ist

angemessen und zu bestätigen. Gleiches gilt für den Tagessatz von CHF 90.00;

aus den von Amtes wegen eingeholten Steuerzahlen ergäben sich zwar höhere

Werte, eine Erhöhung des Tagessatzes ist aber wegen des

Verschlechterungsverbots nicht möglich. Dem Beschuldigten ist der bedingte

Strafvollzug mit einer Probezeit von zwei Jahren zu gewähren.

IV. Kosten und Entschädigungen

Bei diesem Verfahrensausgang hat der

Beschuldigte die Kosten des erst- und zweitinstanzlichen Verfahrens zu

bezahlen. Die Urteilsgebühr für das Berufungsverfahren ist auf CHF 2'000.00

festzusetzen. Der Antrag auf Ausrichtung einer Parteientschädigung ist

abzuweisen.

Demnach wird in Anwendung von Art. 34,

42.

Abs. 1, Art. 44 Abs. 1, Art. 47, Art. 69, Art. 144bis Ziff. 2

Abs. 1 StGB, Art. 379 ff., 398 ff. sowie Art. 426 StPO erkannt:

1.

Der Beschuldigte A.___ hat sich der

Datenbeschädigung, begangen am 17./18. Juli 2015, schuldig gemacht.

2.

A.___ wird zu einer Geldstrafe von 150 Tagessätzen zu je

CHF 90.00 verurteilt, unter Gewährung des bedingten Vollzugs

bei einer Probezeit von 2 Jahren.

3.

Die sichergestellte

Festplatte ([…], aus dem Apple iMac 27" stammend, aufbewahrt bei der

Polizei Kanton Solothurn, Fachbereich Asservate) wird eingezogen und ist durch

die Polizei des Kantons Solothurn nach Rechtskraft des Urteils zu vernichten.

4.

Es wird

festgestellt, dass gemäss rechtskräftiger Ziffer 4 des Urteils des

Amtsgerichtspräsidenten von Bucheggberg-Wasseramt vom 18. Januar 2018 die

folgenden beim Beschuldigten sichergestellten Gegenstände (alles aufbewahrt bei

der Polizei Kanton Solothurn, Fachbereich Asservate) diesem nach Rechtskraft

des Urteils herausgegeben werden:

a) Computer Apple iMac 27", […],

ohne Festplatte;

b)

Laptop Apple MacBook Pro, inkl. Datenträger Samsung SSD, […];

c) Mobiltelefon

iPhone 6, […], inkl. allfälliger SIM-Karte;

d) SIM-Karte Turkcell […].

5.

Der Antrag des

Beschuldigten auf Ausrichtung einer Parteientschädigung für das erst- und

zweitinstanzliche Verfahren wird abgewiesen.

6.

Die Kosten des

erstinstanzlichen Verfahrens mit einer Urteilsgebühr von CHF 2’000.00,

total CHF 4’145.00, sowie des zweitinstanzlichen Verfahrens mit einer

Urteilsgebühr von CHF 2'000.00, total CHF 2'020.00, hat der Beschuldigte zu bezahlen.

Rechtsmittel: Gegen diesen Entscheid kann innert

30.

Tagen seit Erhalt des begründeten Urteils beim Bundesgericht Beschwerde

in Strafsachen eingereicht werden (Adresse: 1000 Lausanne 14). Die Frist

beginnt am Tag nach dem Empfang des begründeten Urteils zu laufen und wird

durch rechtzeitige Aufgabe bei der Post gewahrt. Die Frist ist nicht

erstreckbar. Die Beschwerdeschrift hat die Begehren, deren Begründung mit

Angabe der Beweismittel und die Unterschrift des Beschwerdeführers oder seines

Vertreters zu enthalten. Für die weiteren Voraussetzungen sind die Art.

78.

ff. und 90 ff. des Bundesgerichtsgesetzes massgeblich.

Im Namen der Strafkammer des

Obergerichts

Der

Präsident Die

Gerichtsschreiberin

Kiefer Lupi

De Bruycker