I.
Persönliche Verhältnisse:
...
Der Angeklagte ... ist nicht vorbestraft und befindet sich in der verfahrensgegenständlichen Sache seit 02.12.2013 ununterbrochen in Untersuchungshaft.
II.
Sachverhalt:
Der Angeklagte ... und der mittlerweile rechtskräftig Verurteilte ... schlossen sich zu einem nicht näher bekannten Zeitpunkt Anfang des Jahres 2012 zusammen, um ein sogenanntes „Botnetz“ („Skynet“) aufzubauen und damit über das sog. „Bitcoin-Mining“ Geld zu verdienen. Für den Aufbau den Netzwerkes wurde, federführend durch ... absprachegemäß eine „Schadsoftware“ entwickelt, die über das sogenannte „Usenet“ verbreitet werden sollte, indem dort Dateien mit der angehängten Schadsoftware zum Download zur Verfügung gestellt werden, die sich nach dem Download beim Entpacken automatisch auf den jeweiligen Rechnern installiert. Um das „Usenet“ nutzen zu können, ist neben einen Internetzugang ein zusätzlicher Zugang notwendig. Dieser kostet mit einer Datenflatrate ca. 10,- € pro Monat. Überwiegend wird das „Usenet“ dazu genutzt, sich anonym illegale Raubkopien von Filmen oder Musikdateien herunterzuladen.
Der Trojaner war für die Betriebssysteme ab Windows XP bis Windows 7 bestimmt, welche standardmäßig eine „Firewall“ aktiviert haben, um derartige Angriffe abzuwehren. Diese Firewall wurde durch den Trojaner umgangen. Das jeweilige Betriebssystem wurde insoweit verändert, als bei der Installation der Schadsoftware ein zusätzlicher Eintrag in der „Registry“ des Systems erfolgte, der dazu führte, dass der Trojaner zusammen mit dem Betriebssystem beim Hochfahren des Computers automatisch startete, ohne das die/der Benutzer es bemerkte.
Die Software hatte die Eigenschaft, dass jede Eingabe am infizierten Rechnersystem an eine von ... und ... angelegte Datenbank übertragen wurde. Des Weiteren hatte die Software die Eigenschaft, bei einer Inaktivität des Benutzers von 120 Sekunden die Rechenleistung des Computers, insbesondere der Grafikkarte für die Lösung komplexer Rechenaufgaben zu nutzen, für deren Bewältigung „Bitcoins“ gutgeschrieben wurden.
Bei „Bitcoins“ handelt es sich um eine hochspekulative virtuelle Währung, die durch das Lösen immer schwerer werdender hochkomplexer Rechenaufgaben nach bestimmten Regeln automatisch generiert wird. „Bitcoins“ werden auf diversen „Internetbörsen“ gehandelt, wobei der Kurswert großen Schwankungen unterliegt. Anfangs war der Kurs im Bereich um die 30,- € angesiedelt, stieg zwischenzeitlich deutlich über 500,- € und lag zum Urteilszeitpunkt bei 268,-€. Der Gewinn hieraus sollte nach Auszahlung der „Spreader“ je zur Hälfte zwischen ... und ... geteilt werden.
Für den Betrieb des „Botnetzes“ war die Anmietung von 7 Servern erforderlich. Ein C+C Server (Command + Control), 1 Masterserver (Hauptserver), 1 Statistikserver und jedenfalls 4 Server zur Bereitstellung der infizierten Dateien zum Download.
Die Anmietung der Server und das Management zur Verbreitung der Schadsoftware wurden absprachegemäß durch den Angeklagten ... durchgeführt bzw. von ihm über sogenannte „Spreader“ organisiert, die insbesondere für das Hochladen der Dateien zu sorgen hatten. Die Übermittlung der für die Anmietung der Server, mit Ausnahme des Hauptservers, notwendigen persönlichen Daten erfolgte durch den Angeklagten ... der hierfür die mit Hilfe des Trojaners ausgespähten Daten aus der Datenbank verwendete. Die Anmietung der Server erfolgte dann entweder durch selbst oder in seinem Auftrag durch ... die Spreader.
Durch die Einnahmen aus dem „Bitcoin-Mining“ und den damit im Zusammenhang stehenden Straftaten wollte sich ... eine längerfristige Einnahmequelle von erheblichem Umfang verschaffen.
1) In Ausführung ihres Planes luden der Angeklagte ... und sein Mittäter ... an mindestens einem, nicht näher bestimmbaren Zeitpunkt, im Zeitraum vom 01.01.2012 bis 04.10.2013 jeweils von ihrer Wohnadresse aus in arbeitsteiliger Weise im bewussten und gewollten Zusammenwirken Softwaredateien, die mit der Schadsoftware versehen wurden, auf verschiedene Server in das Usenet hoch. Später, ab ca. Mitte 2012, bedienten sie sich hierzu mindestens zweier weiterer Personen (sog. „Spreader“), die ihnen bei der Verteilung der Softwaredateien im Internet halfen. Insgesamt wurden mehrere Millionen infizierte Dateien ins Internet hochgeladen.
Im Oktober 2013 entschied sich dann der Angeklagte ... auszusteigen und fuhr den Hauptserver runter. Zuvor hatte er die Software regelmäßig aktualisiert. Die Datenbank zeichnete vom 13.03.2012 bis 04.10.2013 Einträge auf. In diesem Zeitraum luden sich 327.379 Computerbenutzer den Trojaner herunter und infizierten so unbewusst ihren Computer ... und ... war dabei bewusst, dass sie gegen den Willen der jeweiligen Computereigentümer handelten. Von 327.379 verschiedenen Rechnern wurden hierbei zumindest die vom jeweiligen Nutzer vergebenen individuellen Computernamen an die Datenbank übermittelt. Sofern der Trojaner durch Virenprogramme der Nutzer nicht erkannt wurde, wurden außerdem sämtliche Eingabedaten, darunter Zugangsdaten diverser Accounts mit den dazugehörigen Passwörtern, ausgespäht.
Ob bzw. gegebenenfalls wie oft der Trojaner nach dem erstmaligen „Aufspielen“ erkannt und sodann entfernt wurde, konnte nicht festgestellt werden. Jedenfalls in den unter Ziffer 2 genannten Fällen wurden persönliche Daten übermittelt, wobei sich auf der Datenbank 1,9 Milliarden Einträge befanden. Da die Daten täglich und auch doppelt abgegriffen wurden, waren hiervon aber nur ca. 2,75% verwertbar, was mehreren Millionen Datensätzen entspricht.
Soweit erforderlich, hält die Staatsanwaltschaft ein Einschreiten wegen des besonderen öffentlichen Interesses an der Strafverfolgung von Amts wegen für geboten.
Auf den bei ... sichergestellten Rechner konnte ein „Wallet“ (elektronische Geldbörse) mit 895 Bitcoins festgestellt werden. Durch das Bitcoin-Mining erlangte ... insgesamt ca. 11.000,- €, hiervon konnten noch 4.200,- in bar bei ihm in der Wohnung sichergestellt werden. Der Angeklagte ... nannte im Laufe des Ermittlungsverfahrens sein Passwort, so dass die „Bitcoins“ auf einem Wallet der Ermittlungsbehörden gesichert werden konnten.
Auf dem bei dem Angeklagten ... in der Wohnung sichergestelltem Laptop gefundenen verschiedenen „Bitcoin-Wallets“ befanden sich ursprünglich 6.098 über das Botnetz generierte Bitcoins. Hiervon konnten 86 Stück beschlagnahmt werden, die sich auf einem nicht verschlüsselten Wallet befanden. Weitere 1.730 Bitcoins konnten lediglich vorläufig gesichert werden. Grund dafür ist, dass dieses Wallet passwortgeschützt ist. Das Passwort gab der Angeklagte ... nicht preis, ein Entschlüsseln ist nicht möglich. Mit dem Passwort für das Wallet ist Demir in der Lage, über die 1.730 Bitcoins uneingeschränkt zu verfügen und diese zu verwerten.
Der Rest der Bitcoins wurde durch den Angeklagten ... bereits zuvor an die „Spreader“ verteilt, selbst verkauft bzw. eingelöst.
Anlässlich der Wohnungsdurchsuchung wurden beim Angeklagten ... zudem folgende Gegenstände sichergestellt, die der Einziehung unterliegen:
– Laptop Sony VAIO Laptop Sony VAIO
– Externe Festplatte 3,5 Zoll, Trekstar Datastaion (entspricht Tenor Ziff. 5.a) = Asservat Nr. ...
– Externe Festplatte Sharkoon 3,5 Zoll (Tenor Ziff. 5.b) = Asservat Nr. ...
– USB-Stick 8 GB (Tenor Ziff. 5.c) = Asservat Nr. ...
– PC mit 3 Festplatten (Tenor Ziff. 5.d) = Asservat Nr. ...
– externe Festplatte 2,5" (Tenor Ziff. 5.e) = Asservat Nr. ...
Der Angeklagte ... war mit der form- und ersatzlosen Einziehung des Laptop Sony VAIO einverstanden. Die übrigen, teilweise verschlüsselten Speichermedien, wollte er zurück haben. Auf diesen befinden sich entweder Kopien seines „Bitcoin-Wallets“ oder Kopien der verfahrensgegenständlichen Schadsoftware bzw. Kopien der ausgespähten Daten.
2) An den nachfolgend genannten Zeitpunkten zwischen dem 19.11.2012 und dem 17.03.2013 mietete entweder der Angeklagte ... selbst von seiner Wohnanschrift in Buchloe aus oder die hierzu von ihm beauftragten „Spreader“ in insgesamt 18 Fällen aufgrund jeweils neuen Tatentschlusses für den Betrieb des „Skynet“ und die Verbreitung der Schadsoftware unter, wie er wusste, missbräuchlicher Verwendung zuvor ausgespähter Zugangsdaten Server an. Die Freischaltung erfolgte jeweils automatisiert nach elektronischer Übermittlung des Antrages und der Daten. Dadurch wollte ... erreichen, dass er nicht zurückverfolgt werden kann und sich außerdem die entsprechenden Aufwendungen in Form von Anschluss- und Nutzungsgebühren ersparen. In den Fällen, in denen er seine „Spreader“ zur Anmeldung bzw. Anmietung der Server beauftragte, schickte er diesen über seinen DSL-Anschluss die jeweiligen Zugangsdaten, damit diese die Anmeldungen bei den Providerfirmen 1& 1 und in einem Fall der S. AG durchführen konnten.
Dadurch entstand den Anbietern jeweils ein entsprechender Schaden, insgesamt in einer Größenordnung von 7.000,- €. Den durch die missbräuchliche Datenverwendung zunächst betroffenen Kunden wurden die Kosten seitens des Anbieters erstattet.
Im Einzelnen handelt es sich um folgende Taten:
III.
Beweiswürdigung:
1) Einlassung des Angeklagten ...
Der Angeklagte ... bestreitet die Tatvorwürfe. Im Wesentlichen ließ er sich wie folgt ein:
Er habe ab dem Jahr 2009 im Internet über Chats verschiedene Leute kennengelernt. Irgendwann sei sein Rechner dann nicht mehr hochgefahren. Er sei dann in ein Internetcafe gegangen und habe in einem Chat recherchiert, wie er seinen Rechner wieder hochfahren könne. Dabei habe er eine Telefonnummer bekommen, worauf er ein langes Telefongespräch mit einem ... geführt habe. Dieser habe zu ihm gesagt, er könne ihm einen nagelneuen Laptop schicken. Kurz vor Weihnachten 2011 habe er dann diesen Laptop per Post bekommen. Auf dem Laptop sei schon ein sogenannter „Teamviewer“ eingerichtet gewesen, mit dem man den Laptop fernsteuern könne. Im Chat habe ... zu ihm dann gesagt, dass er ab und zu auf den Laptop zugreifen müsse. Dies habe er dann auch gemacht. Er selbst habe sich dabei nichts gedacht. Ein Jahr später sei er dann festgenommen worden. Als er den Vorwurf im Haftbefehl gelesen habe, sei er schockiert gewesen. Er sei selbst Opfer des...
2) Zur Überzeugung der Kammer hat sich der Sachverhalt, entgegen der Angaben des Angeklagten ..., wie unter II. geschildert zugetragen. Bei der Einlassung des Angeklagten ... handelt es sich um eine reine Schutzbehauptung. Dies ergibt sich aus folgenden Umständen:
a) Geständnis sowie Angaben des Mittäters ...
... legte gleich zu Beginn der Hauptverhandlung ein voll umfängliches Geständnis ab, in dem er den Sachverhalt, so wie unter Ziff. II. festgestellt, angab. Er habe Ende 2011 in einem Internetchat einen gewissen ... kennengelernt. In der Folgezeit chattete man regelmäßig und tauschte im weiteren Verlauf auch die Handynummern aus. Man kam dann auf die gemeinsame Idee, ein sogenanntes „Botnetz“ („Skynet“) aufzubauen um Bitcoins zu generieren und Datenabgriffe durchzuführen. Er selbst sei „der Programmierer“ gewesen. Er habe hierzu eine bereits bestehende Schadsoftware erweitert und regelmäßig aktualisiert ... habe sich dagegen eher um die Durchführung gekümmert, d.h. entsprechende Server angemietet und mit weiteren Personen, sogenannte Spreader, die Schadsoftware in das „Usenet“ hochgeladen. Er schätzte, dass 30 Mio. Dateien mit versteckten Trojaner hochgeladen wurden. Es sei vereinbart worden, den Gewinn nach Abzug der Anteile der Spreader hälftig zu teilen.
Das Geständnis ist glaubhaft. Wie der hierzu vernommene Polizeibeamte … glaubwürdig und überzeugend schilderte, hat ... bereits in seiner ersten Vernehmung umfangreiche und sich mit den Ermittlungen deckende Angaben gemacht. Auch wenn sich ... mit seinem Geständnis und seiner Angaben gegenüber seiner Mittäter sicherlich eine entsprechende Strafmilderung versprach, ergaben sich keinerlei Anhaltspunkte, dass er seine Mittäter zu Unrecht belastete. So räumte er auch ein, dass er den Angeklagten ... bzw. seinen Mittäter ... zuvor nie gesehen habe. Inhaltlich konnte er jedoch bestätigen, dass die in der Hauptverhandlung angehörten Telefongespräche mit geführt wurden und die SMS, welche förmlich verlesen wurde, definitiv von seinem Mittäter stammte. Der Angeklagte ... war glaubwürdig.
b) Identifizierung des ... durch Telefongespräche sowie SMS:
– Der Angeklage ... ist im Zusammenhang mit der Aussage ... und den objektiv festgestellten Beweismitteln, zunächst der SMS vom 19.12.2012, 23:53:07 Uhr hinsichtlich des überwachten Anschluss, Rufnummer … H mit dem Inhalt „ein ganz Bestimmter Server ist off “ zweifelsfrei als identifiziert.
Der Angeklagte ... antwortete hierauf seinerseits per SMS vom 19.12.2012, 23:53:12 Uhr, überwachter Anschluss, Rufnummer … mit: „Bin gleich da. Hoffe nicht der wichtigste.“.
... selbst gab zu, diese SMS versandt zu haben, es sei aber ein „Spieleserver“ gemeint gewesen.
Der Angeklagte ... gab im Gegensatz hierzu an, dass er diese SMS von ... bekommen hat und entsprechend geantwortet hat. Tatsächlich sei damals der Masterserver ausgefallen gewesen.
Insoweit ist Behauptung des Angeklagten ... dass er mit der SMS einen Spielerserver gemeint habe, da er mit ... regelmäßig Computerspiele gespielt habe, schon widerlegt. Der Angeklagte ... gab auf nochmaligen Vorhalt der Angaben ... glaubhaft, offen und überzeugend an, dass er mit ... nie gespielt habe und der Ausfall sich ausschließlich auf den Masterserver des Botnetzes bezog.
– Die Tätereigenschaft des ... und die Angaben des ... werden zudem durch das Telefonat des Angeklagten ... mit … alias „Barbara“ über den überwachten Festnetzanschlusses mit der Rufnummer … vom 13.02.2013, 01:08:15 Uhr bis 04:02:56 Uhr eindrucksvoll bestätigt.
In dem Telefonat teilt der Angeklagte ... folgendes mit:
„(…) ich bezahl, ich bezahle ja den Master-Server monatlich, genau. Der Master-Server war offline und zwar wieso? Ich hab den Hoster direkt kontaktiert … weil das hat ... hat das gemacht. Weil den Proxy-Server bezahlt er und den Command und Control auch. Ich schick ihm halt die Kohle. Er tut das dann in Liberty Reserve umwandeln. Er hat gesagt, dass er das Geld geschickt hat. Aber die haben das nicht registriert und somit haben die den Server heruntergefahren (). Die zehn Proxy-Server connecten ja erst zum Master-Server und der Master zum Pool. Und der Master-Server, den ich ja monatlich bezahle mit Dennis zusammen, der war offline gewesen.“
Soweit der Angeklagte, der auch hier einräumte, dass er der Sprecher der angehörten Telefonate ist, hierzu angab, dass der Inhalt der Telefonate nicht der Realität entsprechen würde, sondern er vielmehr fantasiert habe und im Internet in einer Scheinwelt gelebt habe, handelt es sich um eine plumpe Schutzbehauptung.
In diesem Gespräch bestätigt er ja selbst, dass der Masterserver offline war, was seiner eigenen Einlassung, es habe sich um einen Spieleserver gehandelt, geradezu diametral widerspricht.
– Weiter erklärt der Angeklagte ... anlässlich eines weiteren Telefonats über den beim Angeklagten ... überwachten Festnetzanschlusses … vom 10.01.2013 in einem 125minütigen Telefonat, welches auszugsweise vorgespielt sowie verlesen wurde, detailliert das Vorgehen bei Erstellung und Verbreitung von Schadsoftware durch ihn und sein Team. Dabei erläutert ... seinem Gesprächspartner … auch, dass er glaubt, mit dem Bitcoin-Mining Multimillionär werden zu können.
– Der Angeklagte ... wird auch durch weitere Telefonate mit ... die in der Hauptverhandlung angehört wurden, zweifelsfrei als ... identifiziert.
In einem Telefonat vom 03.03.2013, 14:11:52 Uhr bis 14:14:52 Uhr, überwachter Anschluss … erkundigt ... sich bei nach dem Sachstand der Programmierungen ... sagte wörtlich:
„die Leute warten schon, ne? Wir warten ja auch die ganze Zeit schon“. ... antwortet, er habe in letzter Zeit wenig Zeit gehabt, er werde aber heute Abend gegen 20:00 Uhr fertig werden. ... ist erfreut und sagte, dass „(:) hört sich gut an. Ja. Weil ich will endlich loslegen, Digger, ja. Weil das ist nämlich unser Ding, Digger. Weißt du?" Am Schluss des Gesprächs sagt ... zu ... „Ich hoffe, dass es wieder heute irgendwie fertiggeht, ja? Damit meine Leute das dann weiter … Du weißt schon… Das ist wie ein Hindernis, weil wir können nicht mehr das andere in Machen. Du weißt ja, wieso. Weil die sofort unsere Plug-Ins … ja rausschmeißen.“.
In einem weiteren Telefonat vom 09.03.2013, 17:19:25 Uhr bis 17:20:46 Uhr, überwachter Anschluss … kontaktierte den Angeklagten ... und eröffnet das Gespräch mit:
„Digger, Digger! 35 Euro, Digger! Ich brauch dich!.“
Hierbei nimmt der Angeklagte ... Bezug auf den damaligen Bitcoin-Wechselkurs in Höhe von 35,00 Euro. ... fragt im weiteren Verlauf, ob ... alles richtig gemacht habe, wie er es ihm erklärt habe. Es geht in diesem Gespräch um einen Downloader, den ... an ... gegeben hat. antwortet hierzu: „Der Downloader funktioniert doch. Den hab ich zwar nicht getestet ganz, aber der funktioniert natürlich, aber die Stabs, da gibt's Probleme, Digger. Und zwar die lassen sich nicht ausführen, ja? Alle nicht. Dass du Bescheid weißt. Alle nicht!“ ... bestätigt mit den Worten: „Ja, okay, da schau ich nach“.
Die Erstellung von „Stubs“ bezeichnet in diesem Zusammenhang -wie sich aus dem Gutachten … ergabdie Erstellung einer Vielzahl von Varianten der Schadsoftware. Dabei wird die eigentliche Schadsoftware zur nächsten Ausspähung von Programmcode anderer Software sowie beliebiger Zeichenfolgen aufgefüllt. Anschließend wird den so entstandenen „Stubs“ durch eine Umbenennung die Authentizität illegaler neuer im Netz kursierender aktuellen Kinofilmen, kommerziellen Programmen, Computerspielen, etc. verliehen.
In einem weiteren Telefonat vom 24.03.2013, 18:31:10 Uhr bis 18:34:02 Uhr, zwischen ... und ... überwachter Anschluss … freut sich ... über die Gewinne der vergangenen Tage und resümiert, dass „sie beide in den letzten 30 Tagen mehr als 5.000,00 Euro pro Kopf gemacht“ hätten. Hierbei legte er zugrunde, dass der Wechselkurs von 50,00 Euro pro Bitcoin war. Tatsächlich lag der Wechselkurs zu diesem Zeitpunkt ca. bei 49,00 Euro pro Bitcoin.
Diese Gespräche belegen nochmals die von ... erbrachten Programmierleistungen im Hinblick auf die Modifikation der von der Tätergruppierung eingesetzten Schadsoftware und detaillierte Kenntnis des ... von dem Vorhaben wie auch sein Gewinnstreben.
Sofern der Angeklagte ... meinte, der Kammer auftischen zu können, dass es sich hierbei um reine Fantasiegeschichten ohne realen Hintergrund handelte und er gar keine Ahnung von Computer habe, verkennt der Angeklagte ..., dass entsprechend den Inhalten der Telefonate auf den bei ihm sichergestellten Laptop ein „Bitcoin-wallet“ gefunden wurde, auf dem insgesamt 6.098 Bitcoins unter fünf Adressen abgelegt waren und auch tatsächlich 327.379 Rechner infiziert wurden. Auch sofern sich der Angeklagte ... dahingehend einließ, er habe sich in das „Computerthema“ eingelesen, um mit seinem Wissen in den Chats als „Hobbypsychologe“ auftreten zu können, sind seine „Märchengeschichten“ an Absurdität nicht zu übertreffen. Die angeblichen Fantasiegeschichten wurden ja gerade 1:1 in die Tat umgesetzt. Im Übrigen weist der Inhalt der Telefongespräche derart umfangreiches Detailwissen auf, das sich auch mit dem von ihm angeblich lediglich angelesen Computerwissen nicht im Ansatz in Übereinstimmung bringen lässt. Seine Erklärung für die Telefonate ist nur als realitätsfremde Ausrede ohne jegliche Substanz zu bewerten.
c) Würdigung der Einlassung des Angeklagten bzgl. ...
Soweit der Angeklagte behauptet, dass ihm von einem gewissen ... im November 2011 ein Laptop geschickt wurde, glaubt die Kammer ihm auch kein Wort. Zwar wurde anlässlich der Wohnungsdurchsuchung bei ihm ein Karton mit einem Paketaufkleber gefunden, der den Absender ... ausweist. Auch mag es theoretisch möglich sein, in diesem Karton einen Laptop zu verschicken. Die Kammer glaubt aber nicht, dass deshalb die Einlassung des Angeklagten zutreffen könnte. Genauso können sich in diesem Paket andere Gegenstände befunden haben. ... selbst konnte unter o.g. Anschrift nicht ermittelt werden und ist unbekannten Aufenthalts. Eine Person, die unter dieser Identität auftritt, wird wegen Geldwäscheverdacht in Norwegen gesucht. Eine ladungsfähige Adresse ist nicht bekannt, so dass Adem auch nicht geladen werden konnte. Dies wäre im Rahmen des § 244 Abs. 2 StPO vor dem Hintergrund der Telefonate auch nicht veranlasst gewesen. Es ist zwar nicht auszuschließen, dass tatsächlich ein gewisser dem Angeklagten ... irgendwann irgendetwas geschickt hat, jedenfalls aber gibt es keinerlei Anhaltspunkte dafür, dass ... in Unkenntnis des Angeklagten ... die verfahrensgegenständlichen Taten ferngesteuert über den bei ... befindlichen Laptop begangen hat.
Hiergegen sprechen schon die vorgenannten Telefonate des Angeklagten .... Außerdem war auf dem Laptop das „Bitcoin Wallet“ abgelegt. Würde tatsächlich jemand über die Software „Teamviewer“, die auf dem Laptop tatsächlich installiert war, von einem unbekannten Ort fremdgesteuert und mit der Gefahr der jederzeitigen Entdeckung ein „Botnetz“ („Skynet“) betreiben, wäre es absolut lebensfremd, dass diese Person seine Beute (elektronische „Brieftasche“) auf dem fremden Laptop ablegt und damit die Gefahr eingeht, dass dies von dem eigentlichen Nutzer bemerkt wird, mit der Folge, dass er unter Umständen nicht mehr auf seine „Brieftasche“ zugreifen kann.
Dass dem Angeklagten kein Wort geglaubt werden kann, wird auch dadurch plastisch unterstrichen, dass er, obwohl er anlässlich seiner Festnahme in seiner Wohnung, wie durch den Zeugen … glaubhaft berichtet wurde, vor dem eingeschalteten Laptop saß und zu diesem Zeitpunkt die Administratorenseite einer „Pornoseite“ geöffnet war, abstritt, eine „Pornoseite“ betrieben zu haben. Zugriff auf diese Seite hat aber, wie der Sachverständige ... überzeugend darlegte, nur der Betreiber der Seite und gerade nicht der Nutzer. Zwar wäre es auch hier denktheoretisch möglich, dass dies durch einen „Teamviewer“ fremdgesteuert erfolgte. Es ist aber nach den Ausführungen des Sachverständigen … absolut lebensfremd, dass man hiervon nichts bemerkt, zumal wenn man -wie der Angeklagte ...unmittelbar vor dem Laptop sitzt.
Auch wenn der Angeklagte ... dies abstreitet, ist die Kammer aufgrund der vorgenannten Telefoninhalte (s.o) davon überzeugt, dass der Angeklagte ... sehr wohl deutlich über den Durchschnitt hinausgehende Computerkenntnisse hat. Daher ist es auch nicht glaubhaft, dass er von einem über seinen Rechner fremdgesteuerten „Botnetz“ nichts bemerkt haben will, zumal er auch nach seiner eigenen Einlassung ja grundsätzlich gewusst und festgestellt haben will, dass sein Rechner hin und wieder fremdgesteuert wurde.
Wie der Sachverständige ... überzeugend und nachvollziehbar angab, wäre eine solche Fremdsteuerung etwa über „Teamviewer“, überdies für den Nutzer auch im Nachhinein inhaltlich nachvollziehbar. Entsprechende Trojaner-Programme, die dies heimlich erledigen, gibt es zwar, wurden auf dem Laptop aber nicht gefunden.
Dass die Fremdsteuerung etwa heimlich über einen solchen Trojaner erfolgt sei, widerspricht sich zudem mit der Einlassung des Angeklagten ..., wonach er ja gerade Kenntnis von der Fremdsteuerung gehabt haben will und ist daher unter allen Gesichtspunkten auszuschließen.
Auch sofern der Angeklagte ... vorbringt, dass auf dem sichergestellten Laptop Chats aus dem Jahr 2009 u.a. mit dem Inhalt „So etwas ähnliches schon in der Schule gemacht“ festgestellt werden konnten und die Chats u.a. mit dem Namen ... und nicht mit dem vom Angeklagten verwendeten Namen registriert sind, handelt es sich um einen unbehilflichen Einwand.
Denn wie sich aus der Verlesung der entsprechenden Chatverläufe ergab, bezieht sich „So etwas ähnliches in der Schule gemacht“ keinesfalls auf das Betreiben eines „Botnetzes“, sondern darauf, aus Getränkeautomaten unberechtigt Geld „rauszuholen“. Wer sich unter dem Namen ... verbirgt, war daher für die Entscheidung ohne Bedeutung. Die Kammer geht überdies auch nicht davon aus, dass der Angeklagte ... wie von ihm behauptet, erst ab November 2011 Zugriff auf den Laptop Sony gehabt hat. Die Kammer ist bei Zugrundelegung einer lebensnahen Betrachtungsweise vielmehr davon überzeugt, dass der Laptop bereits im Jahr 2009 von dem Angeklagten ... und nicht von einem ... oder sonst einer geheimnisvollen, unbekannten Person benutzt wurde.
Auch der Umstand, dass anlässlich der Wohnungsdurchsuchung beim Angeklagten ... ein Stationsrechner sichergestellt wurde, der nicht mehr hochfährt, kann den Angeklagten nicht entlasten. Auch dies kann seine Einlassung nicht stützen. Dies bedeutet nämlich mitnichten, dass das Laptop ferngesteuert wurde. Ein derartiger Zusammenhang ist nicht herzustellen. Aus vorgenannten Gründen ist die Kammer vielmehr davon überzeugt, dass der Angeklagte ... sich auch diesen Umstand als „Puzzle“ seiner konstruierten, abenteuerlichen Schutzbehauptungen zu Recht gelegt hat.
c) Auch hinsichtlich der unberechtigten Anmietung der Server ist der Angeklagte ... überführt.
Wie die Polizeibeamten … und ... berichteten, konnte über den überwachten DSL-Anschluss von Demir festgestellt werden, dass Demir Zugangsdaten aus der Datenbank abgriff und u.a. an seine „Spreader“ weiterleitete. Der Angeklagte ... hatte Zugriff auf die Datenbank, was auch dadurch bestätigt wurde, dass auf seinem Laptop die entsprechenden Zugangsdaten mit Passwort gefunden wurden. Dies bestätigt im Übrigen nochmals, dass der Angeklagte ... ist. Dies wäre bei einer Fernsteuerung des Laptops durch ... ebenfalls nicht zu erwarten.
Es konnten dann, wie unter II.2 festgestellt, unberechtigt angemeldete und nicht bezahlte Server sowie die Höhe des Schadens über die Anbieter, überwiegend „... AG“ und in einem Fall ... ermittelt werden. Den Kunden, die durch die Anmeldung betroffen waren, wurden die Kosten aber vom Anbieter erstattet.
Soweit ein genauer Schadensbetrag nicht ermittelt werden konnte, trat jedenfalls bereits allein durch die in Täuschungsabsicht erfolgte beantragte Anmietung eines Servers im automatisierten EDV-Verfahren eine konkrete Vermögensgefährdung ein.
Weiter ergibt sich aus einem auszugsweise verlesenen Telefonat vom 02.05.2013, 02:41 Uhr zwischen dem Angeklagten ... und … überwachter Anschluss, dass der Angeklagte ... über die nicht bezahlten Serveranmietungen Bescheid wusste und diese selbst aktiv nutzte.
Der Angeklagte ... berichtet nämlich, dass er „mit vier Servern locker 3 Terrabyte hochgeladen“ und „798 neue Mitglieder im Plug-In-Netzwerk“ hätte. Zudem habe er nun „vier 24 Core-Server geholt, mit denen er nun am hochladen“ sei. Die Frage, ob es nur „zum Compalieren und Uppen“ sei, bestätigt ... und sagt „nur um Plug-Ins zu überstellen“. „Pro Server habe er ca. 50- bis 80.000 erstellt und der vierte habe gerade mal 10 oder 13.000 erstellt“. Wenn es dann 50.000 sind, wolle er den Compiler stoppen. In diesem Zusammenhang erwähnt er erneut das Skript, welches er für den Ablauf geschrieben hat und erklärt, dass es „in den Ordner hineingeht, irgendeine Exe-Datei per Zufall rein nimmt und sie dann nicht raus schiebt, sondern raus kopiert!“. So könne ... sie mehrfach benutzen und es würden pro Server 60- bis 70.000 Plug-Ins völlig ausreichen. Im Hinblick auf die Server erklärt ... bezeichnenderweise dann, dass er „jeweils einen Server mit einer Laufzeit von 4 Wochen habe“, da diese „ja nicht bezahlt“ seien.
Gerade die letzte Äußerung passt zwanglos zu dem objektiven Ermittlungsergebnis, wie es der Zeuge … und die Zeugin ... schlüssig und überzeugend erläuterten.
Sofern der Angeklagte ... hier beanstandete, dass man nicht überprüft habe, unter welcher IP-Adresse die Serveranmeldungen erfolgt seien, ist dies für die Entscheidung ohne Bedeutung. Selbst wenn dabei nicht seine IP-Adresse festgestellt werden könnte, ändert dies an der Überzeugung der Kammer nichts. Einerseits bediente er sich zur Anmeldung auch seiner „Spreader“, so dass in diesen Fällen die Anmeldung zwingend unter einer anderen IP-Adresse erfolgte, andererseits wäre zu erwarten, dass der Angeklagte ... seine IP-Adresse verschleiert hat. Denn wie der Sachverständige … überzeugend angab, ist es ein Leichtes seine eigene IP-Adresse zu verschleiern. Aufgrund seiner beruflichen Erfahrung sei dies auf dem Gebiet der „Cyberkriminalität“ sogar typisch. Selbst wenn also die IP-Adressen nicht für den Angeklagten ausgegeben wurden, da sie nicht mit seiner festen IP-Adresse übereinstimmen, könnte dies die Überzeugung der Kammer aufgrund des vorgenannten Beweisbildes nicht erschüttern. Dies gilt auch für den Einwand, dass die festgestellte IP-Adresse … die unter den unter Ziffer II. 2. genannten Fällen ohnehin nicht festgestellt wurde, mit der für den Angeklagten ... festgestellten dauerhaften zugeteilten IP-Adresse … nicht übereinstimmt.
3) Schuldfähigkeit:
Die Einsichts- oder Steuerungsfähigkeit des Angeklagten war weder aufgehoben, noch erheblich vermindert.
Die Kammer hat hierzu auf Antrag des Angeklagten ... den Sachverständigen … angehört. Der kompetente und erfahrene Sachverständige hat den Angeklagten am 21.10.2014 sowie 27.10.2014 exploriert. Der Sachverständige führte aus, dass er beim Angeklagten im Tatzeitraum keinerlei relevante Auffälligkeiten feststellen konnte, allenfalls würde eine leicht narzisstisch akzentuierte Persönlichkeit vorliegen, die jedoch keinesfalls das Ausmaß einer krankhaften Persönlichkeitsstörung erreiche. Sein Zustand im Rahmen der Festnahme beruhe auf einer kurzfristigen Anpassungsstörung, wobei inzwischen eine Stabilisierung eingetreten sei. Auch in der Vergangenheit befand sich der Angeklagte zu keinem Zeitpunkt in Behandlung oder wurde sonst im Hinblick auf eine psychiatrische Erkrankung auffällig. Zweifellos ist der Angeklagte auch nicht schwachsinnig, ebenso lag keine Bewusstseinsstörung vor. Die Ausführungen des Sachverständigen waren schlüssig und für die Kammer in allen Punkten nachvollziehbar. Sie wurden auch vom Angeklagten und seinen Verteidiger nicht in Zweifel gezogen.
4) „Bitcoin-Wallet“ Eigenschaften/ Wirkungsweise Trojaner und Zahl der infizierten Rechner:
Die Feststellungen zur Funktionsweise, den Eigenschaften der Schadsoftware sowie zur Menge und Art der ausgespähten Daten beruhen auf dem kompetenten, verständlichen und in allen Punkten überzeugenden Ausführungen des Sachverständigen … Cyberanalyst vom BKA Wiesbaden.
Der Sachverständige … schilderte überdies nachvollziehbar, dass auf dem Laptop Sony VAIO 86 Bitcoins beschlagnahmt werden konnten. Weitere 1.730 Bitcoins konnten in einem anderen Wallet festgestellt, aber mangels Passwort nicht beschlagnahmt werden. Hierzu führte der Sachverständige auch aus, dass es bei Kenntnis des Passwortes jederzeit, mithin auch nach einer Haftentlassung, noch möglich ist, auf das Wallet zuzugreifen und auch die sich dort befindlichen 1.730 Bitcoins zu verwerten. Zudem erläuterte der Sachverständige, welche, teilweise verschlüsselten Speichermedien beim Angeklagten ..., wie unter Ziff. II geschildert, sichergestellt wurden und welche Inhalte sich darauf befinden.
5) Gewerbsmäßigkeit:
Dass der Angeklagte ... gewerbsmäßig handelte ergibt sich schon aus den Inhalten der zitierten Telefonate, wonach er glaubte, mit der Betreibung des „Botnetzes“ Multimillionär werden zu können. Auch hatte ... sonst kein eigenes regelmäßiges Einkommen, sondern lebte überwiegend von der Unterstützung seines Vaters. Zudem spricht die professionelle Vorgehensweise beeindruckend dafür, dass ... durch die Tat langfrisitig möglichst viel Geld verdienen wollte. So äußerst er sich begeistert am Telefon gegenüber ... die letzten 30 Tage 5.000,- € pro Kopf gemacht zu haben.
6) Abtrennung ...
Das Verfahren ... wurde ausschließlich zu dessen gesonderten Aburteilung abgetrennt. Nach der Abtrennung wurde nur noch zum persönlichen Werdegang des ... und nicht mehr zur Sache verhandelt. Soweit zum persönlichen Werdegang des ... verhandelt und hierzu Feststellungen getroffen wurden, war dies für die Entscheidung gegen den Angeklagten ... ohne Bedeutung.
IV.
Rechtliche Würdigung
Der Angeklagte war daher schuldig zu sprechen des Ausspähens von Daten in Tateinheit mit Datenveränderung in Tatmehrheit mit Computerbetrug in 18 Fällen jeweils in Tateinheit mit Fälschung beweiserheblicher Daten, §§ 263, 263 a, 269 Abs. 1, 202 a, 205, 303 a, 303 c, 25 Abs. 2, 52, 53 StGB.
V.
Strafzumessung:
1. Gemäß § 202 a Abs. 1 StGB beträgt der Strafrahmen im Fall II. 1) Freiheitsstrafe bis zu 3 Jahren oder Geldstrafe. Eine Strafrahmenverschiebung war nicht veranlasst.
Zu Gunsten des Angeklagten sprach, dass er nicht vorbestraft ist. Strafmildernd wurde auch berücksichtigt, dass die Plattform „Usenet“ überwiegend zum anonymen und illegalen Runterladen von Raubkopien genutzt wird und daher die Betroffenen weniger schutzwürdig sind. Auch wurde das „Botnet“ bereits im Oktober 2013 aufgegeben. Zugunsten des Angeklagten ... war schließlich sein noch junges Alter mit etwa Mitte zwanzig zu berücksichtigen sowie die lange U-Haft von ca. 11 Monaten.
Zu seinen Lasten musste sich dagegen auswirken, dass die Tat durch eine hohe Professionalität gekennzeichnet ist. Es handelt sich zudem über einen längeren Tatzeitraum sowie eine außergewöhnliche hohe Zahl von Geschädigten. Es wurden sage und schreibe 327.379 Computer infiziert.
Unter Berücksichtigung dieser wesentlichen Strafzumessungsgesichtspunkte und deren Gewichtung hielt die Kammer trotz des Umstandes, dass der Angeklagte nicht vorbestraft ist, eine Einzelfreiheitsstrafe von 2 Jahren für tat- und schuldangemessen. Eine Geldstrafe war im Hinblick auf die Vielzahl der infizierten Computersysteme nicht ausreichend.
2. Gemäß §§ 263 a Abs. 1 und Abs. 2 i.V.m. 263 Abs. 3 Satz 2 Nr. 1 StGB beträgt der Strafrahmen in den Fällen des Computerbetrugs gemäß Ziff. II. 2.) jeweils Freiheitsstrafe von 6 Monaten bis zu 10 Jahren. Unter Berücksichtigung sämtlicher Strafzumessungsgesichtspunkte war es nicht geboten, trotz Vorliegen eines Regelfalles nicht von einem besonders schweren Fall gemäß § 263 Abs. 3 Satz 2 StGB auszugehen.
Zugunsten des Angeklagten wurde dabei berücksichtigt,
– dass er nicht vorbestraft ist,
– seine lange U-Haft, sein noch sehr junges Alter und
– dass die Betroffenen durch Nutzung der Plattform „Usenet“ weniger schutzwürdig sind und ihnen die Kosten durch die Anbieter erstattet wurden bzw. auf Bezahlung verzichtet wurde. - dass die Einzelschäden nicht allzu hoch waren.
Zu seinen Lasten musste sich dagegen auch hier auswirken, dass die Taten durch eine hohe Professionalität gekennzeichnet sind.
Mangels Überwiegen von positiven Umständen bei der vorzunehmenden Gewichtung war hier vom gesetzlichen Regelfall auszugehen. Der Regelstrafrahmen erschien dabei vor dem Hintergrund des hochprofessionellen Vorgehens durchaus angemessen.
Innerhalb des Regelstrafrahmens hielt die Kammer unter nochmaliger Berücksichtigung sämtlicher relevanter Strafzumessungsgesichtspunkte, insbesondere auch dem noch relativ jungen Alter des Angeklagten und der langen Untersuchungshaft jeweils eine Einzelfreiheitsstrafe von 1 Jahr für tat- und schuldangemessen. Da es sich stets um die gleiche Vorgehensweise und damit einem vergleichbaren Unrechtsgehalt handelt, war eine Differenzierung nach der Höhe des eingetreten Schadens bzw. dass es sich in 2 Fällen nur um eine konkrete Vermögensgefährdung handelte, nicht vorzunehmen, zumal die Einzelschäden nicht allzu hoch waren.
Gemäß §§ 53, 54 StGB war aus diesen Einzelstrafen eine Gesamtstrafe zu bilden. Dabei hielt die Kammer unter nochmaliger Würdigung sämtlicher vorgenannter Strafzumessungsgesichtspunkte sowie der Person des Angeklagten eine maßvolle Erhöhung der Einsatzstrafe von 2 Jahren auf eine Gesamtfreiheitsstrafe von insgesamt 3 Jahren für tat- und schuldangemessen. Dabei wurde insbesondere berücksichtigt, dass in den Fällen des Computerbetrugs zwar mehrere Einzelfälle vorliegen, es sich jedoch stets um eine gleichgelagerte, fortgesetzte Tatbegehung, gerichtet auf die Aufrechterhaltung des Botnetzes, handelte.
Es liegt daher ein enger sachlicher Zusammenhang zwischen den Taten vor, so dass es letztlich auf die Anzahl der Betrugstaten nicht entscheidend ankam.
VI.
Verfall und Einziehung:
1. a. Gemäß § 73 Abs. 1 S. 1 StGB war der Verfall der beim Angeklagten... beschlagnahmten 86 Bitcoins zu anzuordnen, da er diese aus der Tat Ziff. II 1 erlangt hat.
b. Zudem war gemäß § 73, 73a, 73 e StGB der Verfall von Wertersatz hinsichtlich der 1.730 Bitcoins anzuordnen, die sich in dem verschlüsselten Bitcoin Wallet auf dem Laptop des Angeklagten ... befinden. Da der Angeklagte ... das Passwort nicht preisgab, lagen die Voraussetzungen für die Anordnung des Verfalls von Wertersatz „aus anderen Gründen“ gem. § 73a Abs. 1 S. 1 2. Alt StGB vor. Als Folge war der Verfall eines Geldbetrages, der dem Wert des Erlangten entspricht, anzuordnen. Hierbei ging die Kammer gemäß § 73 e StGB als Schätzungsgrundlage vom Wechselkurs zum Schluss der Hauptverhandlung von 268,- aus, welcher noch zugunsten des Angeklagten... wegen des schwankenden Wechselkurses auf 250,- €/ Bitcoin reduziert wurde. Damit war der Betrag von 432.500,00 Euro (1730x 250 €) als verfallen zu erklären. Veranlassung, gem. § 73c StGB von einer Verfallsentscheidung abzusehen, bestand schon deshalb nicht, weil der Angeklagte... mit seinem Passwort nach wie vor Zugriff auf das Wallet hat und dieses verwerten kann.
2. Folgende Gegenstände waren gemäß § 74 Abs. 1 StGB einzuziehen.
- verschlüsselte externe Festplatte 3,5 Zoll, Trekstar Datastation (entspricht Tenor Ziff. 5.a) = Asservat Nr. ...
- verschlüsselte externe Festplatte Sharkoon 3,5 Zoll (Tenor Ziff. 5.b) = Asservat Nr. ...
- USB-Stick 8 GB mit Datenbankabzügen, Passwörtern und TeamViewer - Setup-Datei (Tenor Ziff. 5.c) = Asservat Nr. ...
- PC mit 3 Festplatten mit „Tor“, „Zeus“, „Crypter“ - Programmen sowie gezippte Datei mit Sourcecode für Dos-Attacken (Tenor Ziff. 5.d) = Asservat Nr. ...
- externe Festplatte 2,5 Zoll mit Kreditkartendaten, Mails aus Angriffen, Bitcoin Wallet ohne Bitcoins (Tenor Ziff. 5.e) = Asservat Nr. …)
Hierbei handelt es sich um Gegenstände die durch eine vorsätzliche Straftat hervorgebracht oder zu ihrer Begehung oder Vorbereitung gebraucht wurden oder bestimmt gewesen sind. Insbesondere wurden auf den Speichermedien ausgespähte Daten abgelegt oder es befinden sich darauf Programme, die zur Begehung der Straftat benutzt wurden. Die Gegenstände waren deshalb einzuziehen.
Soweit es sich um die verschlüsselten Festplatten handelt, ist die Kammer davon überzeugt, dass hierauf verfahrensgegenständliche Daten, mit hoher Wahrscheinlichkeit sogar eine Kopie das Bitcoin Wallets des Angeklagten ..., jedenfalls aber ausgespähte Daten gespeichert sind. Die auf Nachfrage erfolgte Einlassung des Angeklagten ... auf den Festplatten würden sich lediglich Daten aus seiner Zeit als selbständiger „Veranstalter“ befinden, ist eine weitere perfide Schutzbehauptung des Angeklagten .... Würde sich auf den verschlüsselten Festplatten keine aus der verfahrensgegenständlichen Straftaten erlangten Daten befinden, hätte der Angeklagte ... allein schon deshalb das Passwort genannt, um sich zu entlasten. Grund das Passwort zu verschweigen besteht vielmehr nur dann, wenn verfahrensrelevante Daten dort gespeichert sind, insbesondere das Wallet.
VII.
Kosten:
Der Angeklagte hat gemäß § 465 I StPO die Kosten des Verfahrens zu tragen.
Richter Richter am Landgericht am Landgericht Unterschriebenes Urteil zu den Akten gelangt am Urkundsbeamter/in der Geschäftsstelle